End-of-Shift report
Timeframe: Freitag 25-11-2016 18:00 − Montag 28-11-2016 18:00
Handler: Robert Waldner
Co-Handler: n/a
Mirai goes TR-069
Zu Mirai hab ich hier schon viel geschrieben. Bis jetzt hat sich dieses Botnet rein über das Erraten von Passwörtern auf Telnet-Interfaces weiterverbreitet. Das hat sich jetzt geändert: Am 7. November hat jemand einen Proof-of-concept exploit für ein CPE (Customer premise equipment -- also DSL-Modem, Kabelmodem & co) veröffentlicht, der zeigt, wie man per TR-069 dem Gerät Schadsoftware unterschieben kann.
http://www.cert.at/services/blog/20161128173929-1823.html
DSA-3725 icu - security update
Several vulnerabilities were discovered in the International Componentsfor Unicode (ICU) library.
https://www.debian.org/security/2016/dsa-3725
[2016-11-28] Denial of service & heap-based buffer overflow in Guidance Software EnCase Forensic
EnCase Forensic Imager and the EnCase Forensic suite are widely used by computer forensic experts to analyze hard disks. Due to flaws in these products an attacker could manipulate a hard disk to keep an investigator from fully analyzing it (denial of service). Potentially, an attacker could execute malicious code on the investigators machine.
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20161128-0_Guidance_Software_Encase_DoS_heap_buffer_overflow_vulnerabilities_v10.txt
DFN-CERT-2016-1949/">ImageMagick: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe
Mehrere Schwachstellen in ImageMagick ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe sowie das Ausspähen von Informationen.
Debian stellt für die Distribution Debian Jessie (stable) ein Sicherheitsupdate bereit.
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1949/
Erpressungs-Trojaner: Locky setzt auf .zzzzz-Endung, Cerber geht in Version 5.0.1 um
Kriminelle sollen Berichten nach aktuell neue Versionen von Cerber und Locky verbreiten. Vorsicht: Viele Viren-Wächter springen offensichtlich noch nicht auf Cerber an.
https://heise.de/-3506049