End-of-Day report
Timeframe: Montag 07-01-2019 18:00 - Dienstag 08-01-2019 18:00
Handler: Robert Waldner
Co-Handler: n/a
News
Digging Up the Past: Windows Registry Forensics Revisited
Introduction FireEye consultants frequently utilize Windows registry data when performing forensic analysis of computer networks as part of incident response and compromise assessment missions. This can be useful to discover malicious activity and to determine what data may have been stolen from a network. Many different types of data are present in the registry that can provide evidence of program execution, application settings, malware persistence, and other valuable artifacts.
http://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Software auf vielen Routern nutzt etablierte Sicherheitsmechanismen nicht
Sicherheitsforscher von Cyber-ITL haben sich die Software auf 28 Router mit ARM- und MIPS-Architektur für den Heimgebrauch angeschaut und herausgefunden, dass viele Modelle ihr Sicherheitspotenzial nicht ausschöpfen: Viele Firmware-Versionen setzen in der Linux-Basis eigentlich vorhandene Sicherheitsmechanismen wie Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) nicht ein.
http://heise.de/-4268046
Bitcoin-Erpressung mit Masturbationsvideo
Internet-User/innen finden E-Mails mit dem Betreff -Hohe Gefahr. Konto wurde angegriffen.- in ihrem Posteingang. Die Versandadresse entspricht fälschlicherweise der Empfangsadresse. Eine angebliche Hacker/in droht damit, ein Selbstbefriedigungs-Video der Empfänger/in zu veröffentlichen. Der geforderte Bitcoin-Betrag darf nicht bezahlt werden, denn das Video existiert nicht.
https://www.watchlist-internet.at/news/bitcoin-erpressung-mit-masturbationsvideo/
Vulnerabilities
Security Bulletins Posted
Adobe has published security bulletins for Adobe Flash Player (APSB19-01), Adobe Connect (APSB19-05) and Adobe Digital Editions (APSB19-04). Adobe recommends users update their product installations to the latest versions using the instructions referenced in the bulletin.
https://blogs.adobe.com/psirt/?p=1685
Google Android: Mehrere Schwachstellen
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Android ausnutzen. Als Folge kann der Angreifer die Kontrolle über das Gerät übernehmen, Daten ausspionieren, das Gerät zum Absturz bringen oder unbrauchbar machen. Zur erfolgreichen Ausnutzung der Schwachstellen genügt es, eine manipulierte App zu öffnen oder einen Link anzutippen, der zu einer bösartigen Software führt.
https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/01/warnmeldung_tw-t19-0003.html
Security updates for Tuesday
Security updates have been issued by Debian (libav), Fedora (krb5), Red Hat (source-to-image), and SUSE (gpg2, libgit2, and libsoup).
https://lwn.net/Articles/776215/
SAP: Mehrere Schwachstellen
Ein entfernter anonymer oder lokaler Angreifer kann mehrere Schwachstellen in verschiedenen SAP Produkten ausnutzen, um dadurch die Vertraulichkeit, Verfügbarkeit und die Integrität der Anwendung zu gefährden.
http://www.cert-bund.de/advisoryshort/CB-K19-0012
VU#317277: Texas Instruments CC2640 and CC2650 microcontrollers vulnerable to heap overflow and insecure update
https://kb.cert.org/vuls/id/317277
Vulnerability in Java Deserialization Affecting Cisco Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization
SIP User Directory Information Disclosure
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060802-sip
IBM Security Bulletin: IBM i is affected by networking BIND vulnerability CVE-2018-5741
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-i-is-affected-by-networking-bind-vulnerability-cve-2018-5741/
IBM Security Bulletin: Multiple Vulnerabilities affect IBM Sterling Secure Proxy
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilities-affect-ibm-sterling-secure-proxy/
SSA-180635 (Last Update: 2019-01-08): Denial-of-Service Vulnerabilities in S7-1500 CPU
https://cert-portal.siemens.com/productcert/pdf/ssa-180635.pdf
SSA-293562 (Last Update: 2019-01-08): Vulnerabilities in Industrial Products
https://cert-portal.siemens.com/productcert/pdf/ssa-293562.pdf
SSA-306710 (Last Update: 2019-01-08): Denial-of-Service Vulnerability in SIMATIC S7-300 CPU
https://cert-portal.siemens.com/productcert/pdf/ssa-306710.pdf
SSA-559174 (Last Update: 2019-01-08): Multiple Vulnerabilities in CP1604 and CP1616 devices
https://cert-portal.siemens.com/productcert/pdf/ssa-559174.pdf
SSA-579309 (Last Update: 2019-01-08): Denial-of-Service in SICAM A8000 Series
https://cert-portal.siemens.com/productcert/pdf/ssa-579309.pdf
SSA-325546 (Last Update: 2019-01-08): Denial-of-Service Vulnerabilities in EN100 Ethernet Communication Module of SWT3000
https://cert-portal.siemens.com/productcert/pdf/ssa-325546.pdf
Java SE vulnerability CVE-2018-3136
https://support.f5.com/csp/article/K16940442
Java SE vulnerability CVE-2018-3139
https://support.f5.com/csp/article/K65481741
GnuTLS vulnerability CVE-2018-16868
https://support.f5.com/csp/article/K18955141
Nettle vulnerability CVE-2018-16869
https://support.f5.com/csp/article/K45616155