Highlights der Redaktion
Aufgrund der Winterferien etwas später als üblich, hier eine Zusammenfassung der Ereignisse bei WithSecure Elements im Dezember 2025.
Extended Detection and Response
Endpoint Protection
MitSecure Agent für Windows and Server
Eine neue Version der Endpunkt-Clients ist verfügbar. Mit diesem Release ist die Elements Agent Version 25.5 verfügbar (interne Version 25.5.416).
Die Endpunkte aktualisieren sich automatisch, ohne dass ein Neustart erforderlich ist.
Diese Version führt neue Funktionen ein (mit Profile Editor Update).
Software Updater Engine
Die Software-Updater-Engine wird jetzt direkt vom Update-Server heruntergeladen, anstatt mit dem MSI-Installationsprogramm gebündelt zu werden, was zu einer effizienteren Bereitstellung von Updates führt.
Verbesserte Agent Verbindungsdiagnose
Die agent liefert jetzt umfassendere Informationen zum Verbindungsstatus an das Portal, was eine bessere Fehlerbehebung und Diagnose von Problemen mit der Sensorverbindung ermöglicht.
Browsing-Schutz - Sperrung neu registrierter Domänen
Der Browsing-Schutz blockiert jetzt neu registrierte Domains, wenn diese Funktion über das Portal aktiviert wird. Dies bietet einen verbesserten Schutz vor potenziellen Bedrohungen durch neu erstellte Domains.
Verbesserte Verwaltung der Proxy-Einstellungen
Ab dieser Version werden alle Proxy-Einstellungen, die während der Installation angegeben wurden, nach der ersten erfolgreichen Profilzuweisung automatisch durch den Proxy-Wert aus dem zugewiesenen Profil ersetzt, was eine bessere administrative Kontrolle ermöglicht.
MitSecure Agent für Mac
WithSecure Elements Agent macOS 25.5 ist veröffentlicht worden.
Diese Version bringt
- Aktualisierte Sensorversion 25.2.188
- Sensor kennt jetzt "blockierte" Ereignisse von der Firewall
- macOS 26 Liquid Glass Update für Elements Agent Benutzeroberfläche
- Erstellt mit Xcode 26 SDKs
- Eingestellte Unterstützung für macOS 13
Elements Agent macOS 25.5 unterstützt die folgenden macOS-Versionen:
- macOS 26 Tahoe
- macOS 15 Sequoia
- macOS 14 Sonoma
MitSecure Agent für Mobile Protection für IOS
Ein Update für die WithSecure Elements Mobile Protection App für iOS (25.12.12002) wurde veröffentlicht.
Neue Funktionen:
- Es wurde Unterstützung für die Identifizierung und Blockierung neu registrierter Domänen hinzugefügt, die möglicherweise neue Bedrohungen beherbergen.
- Die App kann nun Proxy-Einstellungen aus der Ferne über das WithSecure-Portal Elements Endpoint Protection empfangen und anwenden, was die zentrale Verwaltung verbessert.
- Die Safari-Erweiterung wurde um die Funktion der sicheren Suche erweitert, um eine Funktionsgleichheit mit der bestehenden Chrome-Erweiterung zu erreichen.
- Verbesserungen bei der Bearbeitung von Genehmigungsanfragen.
- Verbesserungen an der Stabilität der Anwendung und der Benutzeroberfläche
WithSecure Agent für Mobile Protection für Android
Ein Update für die WithSecure Elements Mobile Protection App für Android (25.5.0023466) wurde veröffentlicht
Sie enthält die folgenden neuen Funktionen und Verbesserungen:
- Es wurde Unterstützung für die Identifizierung und Blockierung neu registrierter Domänen hinzugefügt, die möglicherweise neue Bedrohungen beherbergen.
- Die App und das Portal WithSecure Elements Endpoint Protection unterstützen jetzt die Einstellung von Remote-Proxy-Servern
- Die App zeigt jetzt Scanergebnisse an, wenn Anwendungen aktualisiert werden
- Die Unterstützung von Android 10 bis Android 12.1 wurde eingestellt.
- Verbesserungen bei der Bearbeitung von Genehmigungsanfragen
- Verbesserungen der Stabilität der App
MitSecure Agent für Linux
Elements Agent für Linux und Linux Security 64 sind jetzt sowohl für AMD64- als auch für ARM64-Architekturen in den neuesten Distributionsversionen verfügbar:
- Red Hat Enterprise Linux (RHEL) 10
- Rocky Linux 10
- AlmaLinux 10
- Oracle Linux 10
- Debian 13
Hinweis: Die Remote-Operation eines vollständigen Systemspeicherauszugs wird für die Distributionen RHEL 10, Rocky Linux 10, AlmaLinux 10 und Oracle Linux 10 noch nicht unterstützt.
Exposure Management
Exposure Management für Unternehmen
Die neue Version enthält Aktualisierungen der Angriffsweg-Visualisierung und der Seite Umgebung→Netzwerk:
AttackPath-Visualisierung
- Die AttackPath-Visualisierung wurde jetzt aktualisiert, um verifizierte Verbindungen zwischen Knoten in den Angriffspfaddiagrammen anzuzeigen.
- In der Hauptansicht der Angriffspfad-Visualisierung wurde eine Option zur Anzeige verifizierter Netzwerkverbindungen hinzugefügt. Diese Option ist standardmäßig aktiviert und kann über das Bedienfeld umgeschaltet werden.
- Verbindungen sind grün, wenn verifizierte Verbindungsergebnisse verfügbar sind. Verbindungen werden als gestrichelte Linien angezeigt, wenn keine Verifizierungen verfügbar sind. Überprüfungen sind nicht möglich, wenn auf dem Knoten source nicht der EDR agent installiert ist. Das Schritt-Flyout enthält nun Felder, die anzeigen, welche Ports vom source -Knoten aus erreichbar sind.
- Das Legendenfeld enthält einen neuen erklärenden Text und einen Schlüssel für die neuen Linienstile.
- Der Attack Path Simulator verwirft Befunde, die älter als 30 Tage sind.
Umgebung → Seite Netzwerk
- Liste der unternehmensexternen Assets in der neuen Standard-Landingpage auf der Seite Umwelt → Netzwerk
- Das Design der Seite wurde aktualisiert, wobei alle Funktionen beibehalten wurden.
- Die Registerkarte Internet wurde als sekundäre Registerkarte verschoben und bietet die Möglichkeit, nach öffentlich sichtbaren Assets zu suchen.
- Das Design der Seite wurde aktualisiert, wobei alle Funktionen beibehalten wurden.
- Die Suchergebnisse enthalten nun auch einen Indikator (Häkchen), wenn öffentlich sichtbare Assets bereits zur Suchgruppe hinzugefügt wurden
MitSecure Vulnerability Management Portal
- Es wurde eine Pop-up-Benachrichtigung hinzugefügt, um die Benutzer über die bevorstehende Entfernung der Seite Geräte → Schwachstellen-Assets bis Ende 2025 zu informieren.
- Es wurde ein Problem behoben, das dazu führte, dass das Dashboard Vulnerability Management auf der Registerkarte Home → Übersicht leere Ergebnisse anstelle von Daten über Sicherheitsrisiken anzeigte.
Exposure Management System Scan
Unterstützung für die Erkennung von Sicherheitslücken in den folgenden Produkten wurde dem Authenticated Scanning hinzugefügt:
- Apache-Synkope
- AWS JDBC-Wrapper
- Spring Cloud Gateway
Zusätzlich wurde die Erkennung der Oracle E-Business Suite Remote Code Execution Vulnerability (CVE-2025-61882) hinzugefügt.
Authenticated Scanning for Windows wurde um Unterstützung für die Erkennung von Sicherheitslücken in den folgenden Produkten erweitert:
- Ankitekten Anki
- Apache Causeway
- Asustor Backup Plan
- Asustor EZ Sync
- Autodesk 3ds Max
- Autodesk Fusion und Fusion 360
- AWS PGSQL ODBC
- AWS Wickr-Desktop-Clients
- Fließendes Bit
- GoSign Schreibtisch
- HP System Event Utility
- Intel GeschenkMon
- Intel Thread Director-Visualisierungsprogramm
- Joplin
- Lite XL
- MongoDB BI-Anschluss ODBC
- MongoDB-Konnektor für BI
- N-able Take Control Agent
- N-zentrale Fenster agent und N-zentrale Sonde
- Opera-Browser-Editionen
- Razer Synapse
- SigTest
- SigTest Phoenix
- Synology ActiveProtect Agent
- Kommandant gesamt
- WatchGuard Mobile VPN mit SSL-Client
Elements Foundations
Integrationen
Elements API
Neue API Endpunkte für die Verwaltung von Elements API Credentials
Wir haben neue Endpunkte eingeführt, um die Verwaltung der API Schlüssel für die Elements API zu automatisieren:
API Schlüssel erstellen
POST /api-Schlüssel/v1/create
- Erzeugen Sie einen neuen API Schlüssel für den Zugriff auf Elements API .
- Schlüssel können auf der Ebene der Organisation oder des Service Organisation Partners (SOP) erstellt werden.
- Standardmäßig sind die Schlüssel aus Sicherheitsgründen schreibgeschützt. Optional können Sie readOnly für den Schreibzugriff auf false setzen.
- Das ist wichtig: clientSecret wird nur einmal während der Erstellung zurückgegeben und sicher gespeichert.
Löschen API Taste
DELETE /api-keys/v1/api-keys/{clientId}
- Dauerhaftes Entfernen eines API Schlüssels anhand seiner ID.
- Gelöschte Schlüssel können nicht wiederhergestellt oder zur Authentifizierung verwendet werden.
Liste API Schlüssel
GET /api-Schlüssel/v1/api-Schlüssel
- Rufen Sie alle API Schlüssel für die aktuelle Organisation ab oder geben Sie eine organizationId an, wenn Sie auf SOP-Ebene abfragen.
Alle Einzelheiten, einschließlich Anfrage-/Antwortformaten und Beispielen, finden Sie in der API Dokumentation.
Andere Themen von Interesse
Möchten Sie über neue Changelogs benachrichtigt werden?
Die Changelogs sind umgezogen! Sie können jetzt alle Änderungsprotokolle für Produkte hier finden: Produkt-Changelogs
Möchten Sie über neue Changelogs benachrichtigt werden?
- Für alle Produkte: Klicken Sie auf die Folgen Sie auf der Schaltfläche Changelog-Startseite um E-Mail-Benachrichtigungen zu erhalten, wenn neue Changelogs veröffentlicht werden.
- Nur für bestimmte Produkte: Im Moment sind E-Mail-Benachrichtigungen für einzelne Produktänderungsprotokolle noch nicht auf Community verfügbar. Wir arbeiten aktiv daran, E-Mail-Benachrichtigungen für einzelne Änderungsprotokolle zu aktivieren und werden Sie informieren, sobald diese Funktion verfügbar ist.
- Damit Sie in der Zwischenzeit keine Aktualisierungen verpassen, empfehlen wir Ihnen ein Abonnement für alle Änderungsprotokoll-Benachrichtigungen (siehe oben).
- Sie können die Benachrichtigungen auch in Elements Security Center oder speichern Sie die Seite mit dem Änderungsprotokoll des Produkts als Browser-Lesezeichen für den schnellen Zugriff.
Falls Sie es verpasst haben
Wichtiges Update: Sample Submission ist auf eine neue Plattform umgezogen
Ab Anfang 2026 wird der Dienst "Sample Submission" auf eine neue Plattform umgestellt. Weitere Einzelheiten finden Sie in einer Spezialartikel.
TangleCrypt: ein ausgeklügelter, aber fehlerhafter Malware-Packer
Zusammenfassung
Die STINGR-Gruppe von WithSecure veröffentlicht eine detaillierte technische Analyse von TangleCrypt, einem bisher nicht dokumentierten Packer für Windows-Malware. Der Packer wurde in zwei ausführbaren Dateien gefunden, die bei einem kürzlich erfolgten Ransomware-Angriff verwendet wurden, und ihre Nutzdaten wurden beide als EDR Killer mit dem Namen STONESTOP identifiziert, der den bösartigen ABYSSWORKER-Treiber nutzt.
Wichtige Erkenntnisse über TangleCrypt:
- Die Nutzdaten werden in den PE-Ressourcen über mehrere Schichten von base64-Kodierung, LZ78-Kompression und XOR-Verschlüsselung gespeichert.
- Der Lader unterstützt zwei Methoden zum Starten der Nutzlast: im selben Prozess oder in einem Kindprozess. Die gewählte Methode wird durch einen String definiert, der an die eingebettete Nutzlast angehängt wird.
- Um die Analyse und Erkennung zu erschweren, verwendet er einige gängige Techniken wie String-Verschlüsselung und dynamische Import-Auflösung, die jedoch alle relativ einfach zu umgehen sind. Das Fehlen fortschrittlicher Anti-Analyse-Mechanismen macht auch das manuelle Entpacken der Nutzdaten recht einfach.
- Obwohl der Packer insgesamt ein interessantes Design hat, haben wir mehrere Fehler in der Implementierung des Laders festgestellt, die zum Absturz der Nutzlast führen oder ein anderes unerwartetes Verhalten zeigen können.
Lesen Sie mehr darüber HIER
Teilen Sie Ihre Ideen mit uns
Unser Ziel ist es, die Welt gemeinsam mit Ihnen zu sichern - jetzt als WithSecure™. Um die bestmöglichen Produkte und Dienstleistungen im Bereich der Cybersicherheit mitzugestalten, empfehlen wir Ihnen, uns Ihre Ideen mitzuteilen über den Abschnitt Ideen auf der WithSecure Communitydie jetzt direkt über WithSecure™ Elements Security Center zugänglich ist.
Weitere Informationen
Changelogs und Versionshinweise für alle Teile von WithSecure™ Elements finden Sie auf der Hilfe-Center