Tageszusammenfassung - 08.01.2019

End-of-Day report

Timeframe: Montag 07-01-2019 18:00 - Dienstag 08-01-2019 18:00 Handler: Robert Waldner Co-Handler: n/a

News

Digging Up the Past: Windows Registry Forensics Revisited

Introduction FireEye consultants frequently utilize Windows registry data when performing forensic analysis of computer networks as part of incident response and compromise assessment missions. This can be useful to discover malicious activity and to determine what data may have been stolen from a network. Many different types of data are present in the registry that can provide evidence of program execution, application settings, malware persistence, and other valuable artifacts.

http://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html


Software auf vielen Routern nutzt etablierte Sicherheitsmechanismen nicht

Sicherheitsforscher von Cyber-ITL haben sich die Software auf 28 Router mit ARM- und MIPS-Architektur für den Heimgebrauch angeschaut und herausgefunden, dass viele Modelle ihr Sicherheitspotenzial nicht ausschöpfen: Viele Firmware-Versionen setzen in der Linux-Basis eigentlich vorhandene Sicherheitsmechanismen wie Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) nicht ein.

http://heise.de/-4268046


Bitcoin-Erpressung mit Masturbationsvideo

Internet-User/innen finden E-Mails mit dem Betreff -Hohe Gefahr. Konto wurde angegriffen.- in ihrem Posteingang. Die Versandadresse entspricht fälschlicherweise der Empfangsadresse. Eine angebliche Hacker/in droht damit, ein Selbstbefriedigungs-Video der Empfänger/in zu veröffentlichen. Der geforderte Bitcoin-Betrag darf nicht bezahlt werden, denn das Video existiert nicht.

https://www.watchlist-internet.at/news/bitcoin-erpressung-mit-masturbationsvideo/

Vulnerabilities

Security Bulletins Posted

Adobe has published security bulletins for Adobe Flash Player (APSB19-01), Adobe Connect (APSB19-05) and Adobe Digital Editions (APSB19-04). Adobe recommends users update their product installations to the latest versions using the instructions referenced in the bulletin.

https://blogs.adobe.com/psirt/?p=1685


Google Android: Mehrere Schwachstellen

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Android ausnutzen. Als Folge kann der Angreifer die Kontrolle über das Gerät übernehmen, Daten ausspionieren, das Gerät zum Absturz bringen oder unbrauchbar machen. Zur erfolgreichen Ausnutzung der Schwachstellen genügt es, eine manipulierte App zu öffnen oder einen Link anzutippen, der zu einer bösartigen Software führt.

https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/01/warnmeldung_tw-t19-0003.html


Security updates for Tuesday

Security updates have been issued by Debian (libav), Fedora (krb5), Red Hat (source-to-image), and SUSE (gpg2, libgit2, and libsoup).

https://lwn.net/Articles/776215/


SAP: Mehrere Schwachstellen

Ein entfernter anonymer oder lokaler Angreifer kann mehrere Schwachstellen in verschiedenen SAP Produkten ausnutzen, um dadurch die Vertraulichkeit, Verfügbarkeit und die Integrität der Anwendung zu gefährden.

http://www.cert-bund.de/advisoryshort/CB-K19-0012


VU#317277: Texas Instruments CC2640 and CC2650 microcontrollers vulnerable to heap overflow and insecure update

https://kb.cert.org/vuls/id/317277


Vulnerability in Java Deserialization Affecting Cisco Products

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization


SIP User Directory Information Disclosure

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060802-sip


IBM Security Bulletin: IBM i is affected by networking BIND vulnerability CVE-2018-5741

https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-i-is-affected-by-networking-bind-vulnerability-cve-2018-5741/


IBM Security Bulletin: Multiple Vulnerabilities affect IBM Sterling Secure Proxy

https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilities-affect-ibm-sterling-secure-proxy/


SSA-180635 (Last Update: 2019-01-08): Denial-of-Service Vulnerabilities in S7-1500 CPU

https://cert-portal.siemens.com/productcert/pdf/ssa-180635.pdf


SSA-293562 (Last Update: 2019-01-08): Vulnerabilities in Industrial Products

https://cert-portal.siemens.com/productcert/pdf/ssa-293562.pdf


SSA-306710 (Last Update: 2019-01-08): Denial-of-Service Vulnerability in SIMATIC S7-300 CPU

https://cert-portal.siemens.com/productcert/pdf/ssa-306710.pdf


SSA-559174 (Last Update: 2019-01-08): Multiple Vulnerabilities in CP1604 and CP1616 devices

https://cert-portal.siemens.com/productcert/pdf/ssa-559174.pdf


SSA-579309 (Last Update: 2019-01-08): Denial-of-Service in SICAM A8000 Series

https://cert-portal.siemens.com/productcert/pdf/ssa-579309.pdf


SSA-325546 (Last Update: 2019-01-08): Denial-of-Service Vulnerabilities in EN100 Ethernet Communication Module of SWT3000

https://cert-portal.siemens.com/productcert/pdf/ssa-325546.pdf


Java SE vulnerability CVE-2018-3136

https://support.f5.com/csp/article/K16940442


Java SE vulnerability CVE-2018-3139

https://support.f5.com/csp/article/K65481741


GnuTLS vulnerability CVE-2018-16868

https://support.f5.com/csp/article/K18955141


Nettle vulnerability CVE-2018-16869

https://support.f5.com/csp/article/K45616155