End-of-Shift report
Timeframe: Dienstag 23-12-2014 18:00 − Montag 29-12-2014 18:00
Handler: Alexander Riepl
Co-Handler: n/a
DSA-3110 mediawiki - security update
A flaw was discovered in mediawiki, a wiki engine: thumb.php outputswikitext messages as raw HTML, potentially leading to cross-sitescripting (XSS).
https://www.debian.org/security/2014/dsa-3110
Multiple vulnerabilities in Info-ZIP UnZip
http://xforce.iss.net/xforce/xfdb/99371
http://xforce.iss.net/xforce/xfdb/99373
http://xforce.iss.net/xforce/xfdb/99372
Evolution of Banking Malwares
Why are malware authors so interested in banking malware? Simply because this is where the money is! Nowadays, banking malware, specifically banking Trojans, are reaching alarming new levels of sophistication. Each day, new names ..
http://resources.infosecinstitute.com/evolution-banking-malwares-part-1/
http://resources.infosecinstitute.com/evolution-banking-malwares-part-2/
New Malware Campaign - WPcache-Blogger - Affects Thousands more WordPress Websites via RevSlider
If SoakSoak wasn't enough, we are starting to see a new malware campaign leveraging the RevSlider vulnerability and compromising thousands of WordPress sites in the last few days.
http://blog.sucuri.net/2014/12/new-malware-campaign-wpcache-blogger-affects-thousands-more-wordpress-websites-via-revslider.html
IBM Security AppScan Enterprise Bugs Let Remote Users Conduct Cross-Site Scrpting Attacks and Gain Full Control of the Target System
Several vulnerabilities were reported in IBM Security AppScan Enterprise. A remote user can execute arbitrary code on the target system. A remote authenticated user can execute arbitrary code on the target system. A remote user can conduct cross-site scripting attacks.
http://www.securitytracker.com/id/1031427
Multiple vulnerabilities in IPCop
http://xforce.iss.net/xforce/xfdb/99397
http://xforce.iss.net/xforce/xfdb/99396
http://xforce.iss.net/xforce/xfdb/99398
ICANN: Phishing-Angriff keine Gefahr für die Rootzone
Von dem in der vergangenen Woche bekannt gewordenen Phishing-Angriff auf die ICANN ging keine Gefahr für die Sicherheit der Rootzone aus, versichert die Internetverwaltung. Dennoch könnte der Vorfall der ICANN politisch schaden.
http://www.heise.de/security/meldung/ICANN-Phishing-Angriff-keine-Gefahr-fuer-die-Rootzone-2506658.html
ISC.org website hacked: Scan your PC for malware if you stopped by
Cryptographically signed BIND, DHCP code safe, were told The website for the Internet Systems Consortium, which develops the BIND DNS and ISC DHCP tools and runs some DNS root servers, has been hacked.
http://www.theregister.co.uk/2014/12/26/isc_org_hacked/
Vawtrak challenges almighty ZeuS as king of the botnets (The Register)
Crooks behind Vawtrak, a dangerous banking Trojan, are ramping up its reach and sophistication, security firms have warned. Vawtrak currently ..
http://www.theregister.co.uk/2014/12/27/vawtrak_challenges_almighty_zeus_as_king_of_the_botnets/
Online-Banking und SS7-Hack: SMS-TANs sind unsicher
Gleich drei Vorträge am ersten Tag des jährlichen Chaos-Kongresses widmen sich Hacks rund um Mobilfunkstandards. Bereits jetzt ist klar: Sicherheitsanwendungen, die auf SMS setzen, werden unbrauchbar. Der gute alte TAN-Zettel aus Papier dürfte mehr Sicherheit bieten.
http://www.golem.de/news/online-banking-und-ss7-hack-sms-tans-sind-unsicher-1412-111360.html
Wieso ein Foto ausreicht, um Fingerabdruckscanner auszutricksen
Wissenschaftler verwendeten Foto von Händen der deutschen Verteidigungsministerin um Fingerabdruck-Attrappe zu erstellen
http://derstandard.at/2000009814288
Honey Pot Entertainment - SSH, (Sat, Dec 27th)
The Christmas period is a nice time to play with some honeypots and share some of the info they have been collecting. Currently I only have two functioning, both of them are located in the US. Each receives 20K or more login attempts per day. Im using a standard kippo installation, running as a non root user and using authbindto run the honeypoton port 22. Results are sent to a logging server for collection. One of the honeypots has no valid password so it will always fail Im mainly interested
https://isc.sans.edu/diary.html?storyid=19121&rss
31C3: Thunderstrike greift MacBooks über Thunderbolt an
Über eine EFI-Schwachstelle lässt sich die Firmware von MacBooks manipulieren. Einmal infiziert,lässt sich der Schädling nicht einmal durch den Austausch der Festplatte entfernen.
http://www.heise.de/security/meldung/31C3-Thunderstrike-greift-MacBooks-ueber-Thunderbolt-an-2506839.html
C-Programmierung: Schutz für Code Pointer
Bugs in der Speicherverwaltung von C-Programmen gehören zu den häufigsten Sicherheitslücken. Da es aussichtslos sein dürfte, alle Lücken zu beheben, hat Mathias Prayer eine Strategie vorgestellt, mit der sich die meisten verhindern lassen.
http://www.golem.de/news/c-programmierung-schutz-fuer-code-pointer-1412-111364.html
Rocket Kitten: Die Geschichte einer Malware-Analyse
Mit der Analyse von Malware für eine großflächige Spearphising-Attacke konnten Datenexperten die Angreifer enttarnen. In detektivischer Kleinarbeit haben sie dabei ausgefeilte Komponenten aufgedeckt und ein Land hinter dem Angriff ausgemacht.
http://www.golem.de/news/rocket-kitten-die-geschichte-einer-malware-analyse-1412-111367.html
Bots übernehmen Herrschaft über das Internet
56 Prozent aller Webseitenbesuche nicht mehr von Menschen – Zunahme an gefährlichen Algorithmen
http://derstandard.at/2000009572838
Directory traversal vulnerabilities in multiple Wordpress themes
http://xforce.iss.net/xforce/xfdb/99444
http://xforce.iss.net/xforce/xfdb/99452
http://xforce.iss.net/xforce/xfdb/99449
http://xforce.iss.net/xforce/xfdb/99447
http://xforce.iss.net/xforce/xfdb/99445
Massive Sicherheitslücken bei Kredit- und Bankomatkarten enthüllt
IT-Sicherheitsforscher zeigen am 31C3, dass Systeme trotz PIN einfach zu knacken sind ..
http://derstandard.at/2000009849645
Null Byte Injection in PHP
The null character is a control character with the value zero. It is presented in many character sets such as ASCII (American Standard Code of for Information Interchange), Unicode (Universal Character Set) and EBCDIC ..
http://resources.infosecinstitute.com/null-byte-injection-php/
Lücken in Industrieanlagen: Nicht nur Banken und Webseiten sollen verteidigt werden
Hacker sollen sich nicht mehr um die Sicherheit des Geldes und Daten von anderen kümmern. Stattdessen gilt es, den Fokus auf Industrieanlagen zu richten, auch, um Menschenleben zu schützen. (31C3, Netzwerk)
http://www.golem.de/news/luecken-in-industrieanlagen-nicht-nur-banken-und-webseiten-sollen-verteidigt-werden-1412-111369-rss.html
Prying Eyes: Inside the NSAs War on Internet Security
US and British intelligence agencies undertake every effort imaginable to crack all types of encrypted Internet communication. The cloud, it seems, is full of holes. The good news: New Snowden documents show that some forms of encryption still cause problems for the NSA.
http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html