Tageszusammenfassung - 07.07.2026

End-of-Day report

Timeframe: Montag 06-07-2026 18:00 - Dienstag 07-07-2026 18:00 Handler: Michael Schlagenhaufer Co-Handler: Guenes Holler

News

Angreifer können Balkonkraftwerke aus der Ferne abschalten

Geräte des chinesischen Herstellers Hoymiles lassen sich durch eine Sicherheitslücke fernsteuern.

https://futurezone.at/digital-life/balkonkraftwerk-sicherheitsluecke-hoymiles-pv-anlage-passwort/403174823

Air-Gapped-Systeme: Malware leitet Daten über Monitorkabel aus

Air Gapping schützt vor einer unerwünschten Datenausleitung. Ein neuartiger Angriff umgeht diesen Schutz über das Monitor-Kabel - und das ziemlich performant.

https://www.golem.de/news/air-gapped-systeme-malware-leitet-daten-ueber-monitorkabel-aus-2607-210592.html

Geheimdienstbericht in Kanada: Cyberoperationen im Ausland

Kanadas Nachrichtendienst führt Cyberangriffe gegen Drogenhändler, Extremisten und Cyberkriminelle durch. Ungewöhnlich ist das öffentliche Bekenntnis.

https://www.heise.de/news/Geheimdienstbericht-in-Kanada-Cyberoperationen-im-Ausland-11355701.html

OpenSSH bringt erstmals hybride Post-Quantum-Signaturen

OpenSSH 10.4 behebt mehrere Sicherheitslücken in SSH, SCP und SFTP. Zudem gibt es Protokollverschärfungen und experimentelle Post-Quantum-Signaturen.

https://www.heise.de/news/OpenSSH-bringt-erstmals-hybride-Post-Quantum-Signaturen-11356381.html

Woodruff: You shouldnt trust trusted publishing

Trusted Publishing is a mechanism for establishing trust between an external machine identity (like a CI/CD workflow) and one or more projects on a package index/registry. The "trust" in "Trusted Publishing" refers to that trust relationship, and not to anything else. It is not, and cannot be, a signal for package trust or quality. You cannot use it to determine whether a package is safe or "good," and PyPI consciously stymies attempts to misuse it for that purpose by not rendering it as a "green checkmark" or anything else of the sort. Or as another framing: Trusted Publishing is just a form of authentication. It doesn't tell you anything other than that an upload was authenticated, which all uploads to PyPI are.

https://lwn.net/Articles/1081690/

Scattered Spider-Mitglied Peter Stokes durch Windows GUID identifiziert und überführt

Vor einiger Zeit wurde Peter Stokes als mutmaßliches Mitglied der Cybergang Scattered Spider in Finnland verhaftet und ist inzwischen in die USA ausgeliefert worden. Aus Gerichtsdokumenten geht nun hervor, dass die von Windows vergebene eindeutige GDID, per Telemetrie - samt weiteren Daten - an Microsoft übertragen, Stokes bei seinen Aktivitäten, die er bestmöglich verschleierte, verraten und zu seiner Identifizierung geführt hat.

https://borncity.com/blog/2026/07/06/scattered-spider-mitglied-peter-stokes-durch-windows-guid-identifiziert-und-ueberfuehrt/

Joomla Helix3-Lücke: Hacked by Antonkill

Kurzer Hinweis für Leute, die eine Joomla-Instanz betreiben oder eine solche Installation in ihrem Umfeld kennen. Eine Schwachstelle im Helix3-Framework von JoomShaper wird durch ein Botnetz ausgenutzt, um Joomla-Instanzen zu infizieren. Dort taucht dann die Meldung "Hacked by AntonKill" oder auch "Hacked by trenggalek6etar" auf.

https://borncity.com/blog/2026/07/07/joomla-helix3-luecke-hacked-by-antonkill/

Reducing Microsoft Sentinel Costs Without Compromising Detection - Part 2: The Firewall Quest

Continuing our journey through Sentinel ingestion cost reduction, this part focuses on one of the most expensive log sources: firewalls, and more specifically, network traffic events.

https://blog.nviso.eu/2026/07/07/reducing-microsoft-sentinel-costs-without-compromising-detection-part-2-the-firewall-quest/

UAT-7810 continues building ORB networks using new malware

Talos assesses with high confidence that UAT-7810 is a China-nexus threat actor based on the infrastructure that it provides to secondary China-nexus APTs such as UAT-5918. Open-source reporting has also illustrated overlapping tooling between UAT-5918 and UAT-7810. However, at this time, Talos considers UAT-5918 and UAT-7810 separate APT actors tasked with their own set of objectives and targets.

https://blog.talosintelligence.com/uat-7810/

Software vom BSI und Fraunhofer: Wie KI ihre eigenen Deepfakes entlarvt

Forschende vom Fraunhofer-Institut und Bundesamt für Sicherheit haben ein neues Verfahren entwickelt, um Deepfakes zu erkennen. Doch es bietet noch mehr.

https://heise.de/-11355899

Sicherheitsalbtraum Wechselrichter: Hoymiles lässt Nachbarschaften verstummen

Schwere Funkschwachstellen bei Hunderttausenden PV-Anlagen erlauben laut Forschern das Abschalten im Vorbeifahren und sogar die physische Zerstörung der Geräte.

https://heise.de/-11357067

Entra Agent ID: Protect, detect, respond

This post continues and concludes our series on Agent ID, by outlining steps that an administrator or security team can take to secure blueprints and agent identities created in their local Entra ID tenant.

https://securitylabs.datadoghq.com/articles/agent-id-protect-detect-respond/

KYC : Bypass age verification using generative video models

Historically reserved for the banking sector, the KYC (Know Your Customer) process is now making its way into many online services, driven by increasingly strict legislation on anonymity and age verification. To comply, platforms deploy significant measures aimed at guaranteeing the "proof of life" of the user behind their webcam or smartphone. However, the meteoric rise of generative video AI models completely reshuffles the deck, offering attackers formidable and accessible tools to fool these systems. The French PVID framework aims to counter this new threat.

https://www.synacktiv.com/en/publications/kyc-bypass-age-verification-using-generative-video-models.html

Phishing poses as big-brand job interview to steal Google accounts

A phishing campaign is impersonating more than 30 well-known brands, including Adobe, Netflix, Coca-Cola, and OpenAI, in fake job interviews to steal Google account credentials from marketing professionals.

https://www.bleepingcomputer.com/news/security/phishing-poses-as-big-brand-job-interview-to-steal-google-accounts/

Vulnerabilities

BeyondTrust warns of critical flaws in remote access software

BeyondTrust warned customers to patch two critical security flaws in its Remote Support (RS) and Privileged Remote Access (PRA) software that could allow attackers to bypass authentication.

https://www.bleepingcomputer.com/news/security/beyondtrust-warns-of-critical-flaws-in-remote-access-software/

Tenda firmware (multiple versions) contains hidden authentication backdoor

Several versions of Tenda firmware contain an undocumented authentication backdoor that grants administrative access to the devices' web management interfaces. An attacker can expoit this vulnerability, tracked as CVE-2026-11405, to bypass the password verification process and obtain full administrative control without valid credentials.

https://kb.cert.org/vuls/id/213560

Samsung-Sicherheitsupdate: Juli-Patches für Galaxy-Geräte

Samsung hat sein Security-Bulletin für Juli 2026 veröffentlicht und verteilt wichtige Sicherheitspatches vor allem für die Topmodelle der Galaxy-Reihe.

https://www.heise.de/news/Samsung-Sicherheitsupdate-Juli-Patches-fuer-Galaxy-Geraete-11356339.html

Zimbra Collaboration Suite: Kritische Lücke macht Classic Web Client angreifbar

Die Zimbra-Entwickler haben im Zuge eines Patch Release Updates auf Version 10.1.19 der Zimbra Collaboration Suite (ZCS) auf ein mögliches Sicherheitsrisiko aufmerksam gemacht. Laut Patch Release Notes kann die zugrundeliegende Schwachstelle ausschließlich über die Komponente Classic Web Client missbraucht werden, wird in diesem Kontext allerdings als -kritisch- bezeichnet.

https://www.heise.de/news/Zimbra-Collaboration-Suite-Kritische-Luecke-macht-Classic-Web-Client-angreifbar-11356522.html

Cloudsysteme gefährdet: 16 Jahre alte KVM-Lücke ermöglicht VM-Ausbruch unter Linux

Eine seit 2010 bestehende Lücke im KVM-Code des Linux-Kernels gefährdet unter anderem Cloudsysteme. Angreifer können damit VM-Hosts kapern.

https://www.golem.de/news/cloudsysteme-gefaehrdet-16-jahre-alte-kvm-luecke-ermoeglicht-vm-ausbruch-unter-linux-2607-210581.html

LWN Security updates for Tuesday

https://lwn.net/Articles/1081644/