End-of-Shift report
Timeframe: Mittwoch 08-02-2017 18:00 − Donnerstag 09-02-2017 18:00
Handler: Robert Waldner
Co-Handler: n/a
Lifting the (Hyper) Visor: Bypassing Samsung's Real-Time Kernel Protection
Posted by Gal Beniamini, Project ZeroTraditionally, the operating system's kernel is the last security boundary standing between an attacker and full control over a target system. As such, additional care must be taken in order to ensure the integrity of the kernel.
http://googleprojectzero.blogspot.com/2017/02/lifting-hyper-visor-bypassing-samsungs.html
FortiManager TLS certificate validation failure
FortiManager does not properly validate TLS certificates when probing for devices to administer. This leads to potential pre-shared secret exposure.
http://fortiguard.com/advisory/FG-IR-16-055
Gefälschte iTunes-Rechnung: Danke für Ihren Einkauf
Mit einer gefälschten iTunes-Rechnug wollen Kriminelle Empfänger/innen dazu bewegen, dass sie eine Website aufrufen. Auf dieser sollen Besucher/innen Kreditkarteninformationen bekannt geben, damit sie einen nicht gewollten Einkauf stornieren können. Es handelt sich um einen Datendiebstahlsversuch. Sie dürfen die Daten nicht bekannt geben.
https://www.watchlist-internet.at/phishing/gefaelschte-itunes-rechnung-danke-fuer-ihren-einkauf/
Security Advisory - Privilege Escalation Vulnerability in Huawei Smart Phones
http://www.huawei.com/en/psirt/security-advisories/2017/huawei-sa-20170209-01-smartphone-en
Analysis of security measures deployed by e-communication providers
ENISA's new report provides a collection of good practices, implemented security measures and approaches by e-communication providers in the EU, to mitigate the main types of incidents in the telecommunication sector.
https://www.enisa.europa.eu/news/enisa-news/analysis-of-security-measures-deployed-by-e-communication-providers
Security and Privacy Guidelines for the Internet of Things
Lately, I have been collecting IoT security and privacy guidelines. Heres everything Ive found:
https://www.schneier.com/blog/archives/2017/02/security_and_pr.html
iCloud schlampt offenbar beim Löschen des Browser-Verlaufs
Aus dem Verlauf von Apples Browser Safari gelöschte Webseiten-Besuche verschwinden zwar von den synchronisierten Geräten, lassen sich aber noch rund ein Jahr später aus iCloud rekonstruieren, warnt der Hersteller eines Forensik-Tools.
https://heise.de/-3621063
Brute Force RDP Attacks Plant CRYSIS Ransomware
... brute force RDP attacks are still ongoing, affecting both SMEs and large enterprises across the globe. In fact, the volume of these attacks doubled in January 2017 from a comparable period in late 2016.
http://blog.trendmicro.com/trendlabs-security-intelligence/brute-force-rdp-attacks-plant-crysis-ransomware/
DFN-CERT-2017-0237: ISC BIND: Eine Schwachstellen ermöglicht einen Denial-of-Service-Angriff
Das Internet Systems Consortium (ISC) ... veröffentlicht die neuen Programmversionen BIND 9.9.9-P6, 9.10.4-P6, 9.11.0-P3 und 9.9.9-S8 (letztere nur für ISC Support Kunden), in denen die Schwachstellen behoben sind. Die Schwachstelle kann durch Deaktivierung von DNS64 oder RPZ umgangen werden, bis das Sicherheitsupdate eingespielt werden kann.
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0237/
GNU Bash code execution vulnerability in path completion
GNU Bash from version 4.4 contains two bugs in its path completion feature leading to a code execution vulnerability. An exploit can be realized by creating a file or directory with a specially crafted name. A user utilizing GNU Bash's built-in path completion by hitting the Tab button (f.e. to remove it with rm) triggers the exploit without executing a command itself.
https://cxsecurity.com/issue/WLB-2017020061
DFN-CERT-2017-0240: F5 Networks BIG-IP Systeme: Eine Schwachstelle ermöglicht das Ausspähen von Informationen
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.0, <= 11.4.1
Ein entfernter, einfach authentifizierter Angreifer kann durch Wiederaufnahme einer SSL-Verbindung zu einer betroffenen F5 BIG-IP-Appliance Informationen ausspähen, da der Server abhängig von der Größe des gesendeten Sitzungsidentifizierers (Session ID) als Antwort bis zu 31 Bytes aus nicht initialisiertem Speicher zurücksendet.
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0240/
Erpressungs-Trojaner Erebus umgeht erfolgreich UAC-Abfrage von Windows
Sicherheitsforschern zufolge verbiegt Erebus die Windows-Registry dahingehend, sodass der Schädling schlimmstenfalls mit Admin-Rechten operieren kann. Dank einer Windows-Einstellung kann man das aber unterbinden.
https://heise.de/-3619820
BSI veröffentlicht Leitfaden für sicheres Android mit Samsung Knox
Administratoren können sich von der Website des BSI Empfehlungen für Samsungs Sicherheitsplattform laden. Zweck ist der Schutz von Android-Geräten.
https://heise.de/-3620713
Manipuliertes Word-Dokument: Makro-Malware geht den Mac an
Mit manipulierten Word-Dokumenten wollen Angreifer nun auch Schadcode auf Macs einschleusen. Damit wird die macOS-Schutzfunktion Gatekeeper umgangen.
https://heise.de/-3621092
IBM Security Bulletins
IBM Security Bulletin: Vulnerability in GNU C Library affects IBM Flex System EN6131 40Gb Ethernet / IB6131 40Gb Infiniband Switch firmware (CVE-2016-1234)
https://support.podc.sl.edst.ibm.com/support/home/docdisplay?lndocid=MIGR-5099541
IBM Security Bulletin: Vulnerabilities in NTP affect IBM Flex System FC3171 8Gb SAN Switch and SAN Pass-thru, QLogic 8Gb Intelligent Pass-thru Module & SAN Switch Module for BladeCenter and QLogic Virtual Fabric Extension Module for IBM
https://support.podc.sl.edst.ibm.com/support/home/docdisplay?lndocid=MIGR-5099497
IBM Security Bulletin: Vulnerabilities in NTP affect IBM Flex System FC3171 8Gb SAN Switch and SAN Pass-thru, QLogic 8Gb Intelligent Pass-thru Module & SAN Switch Module for BladeCenter and QLogic Virtual Fabric Extension Module for IBM
https://support.podc.sl.edst.ibm.com/support/home/docdisplay?lndocid=MIGR-5099498