End-of-Day report
Timeframe: Montag 08-04-2019 18:00 - Dienstag 09-04-2019 18:00
Handler: Robert Waldner
Co-Handler: Stephan Richter
News
ShadowHammer-Angriffe zielten auch auf die Gaming-Industrie
Die Shadowhammer-Attacken 2018 trafen neben ASUS mindestens drei asiatische Spielehersteller. Und damit auch die Rechner von mindestens 96.000 Gamern.
http://heise.de/-4367681
Duqu Remained Active After Operations Were Exposed in 2011
The discovery of Duqu 1.5 shows that the threat actor behind the malware did not go dark - as previously believed - after their operations were exposed by security researchers in 2011. read more
https://www.securityweek.com/duqu-remained-active-after-operations-were-exposed-2011
Probleme bei Buchungen über galahotels.com
Vorsicht bei Hotelbuchungen über galahotels.com. Uns liegen zahlreiche Berichte zu ausbleibenden Rückzahlungen nach Stornierung und anderen Problemen vor. In den schlimmsten Fällen stehen Betroffene ohne Unterkunft am Zielort da. Da das Unternehmen den Sitz in der Türkei hat, ist eine Rechtsdurchsetzung oft schwierig und der einzige Weg zum eigenen Geld führt häufig über den Kreditkartenanbieter.
https://www.watchlist-internet.at/news/probleme-bei-buchungen-ueber-galahotelscom/
Betrügerische Billa- und Amazon-Umfragen locken in Abo-Falle!
Vorsicht vor gefälschten E-Mails im Namen von Amazon und Billa, die für die Teilnahme an einer Umfrage Belohnungen versprechen. Konsument/innen, die den Buttons in den Mails folgen, landen auf gefälschten Websites der Unternehmen. Wer die eigenen Daten bekanntgibt, rutscht in eine Abo-Falle und erhält die versprochenen iPhone XS, Samsung Galaxy S10+ oder Gutscheine nie!
https://www.watchlist-internet.at/news/betruegerische-billa-und-amazon-umfragen-locken-in-abo-falle/
Aktuelle Malspam Kampagne
CERT.at möchte auf eine aktuelle Malspam-Kampagne hinweisen zu der wir aus ganz Österreich Anfragen erhalten haben. Beschreibung Der Betreff der E-Mails enhält einen Hinweis darauf, dass es sich um eine Rechnung oder einen Scan handelt. Der From-Header ist gefälscht und enthält als angezeigten Namen den lokalen Part der Domäne an die die E-Mail geht. Der Linktext scheint auf ein internes .doc-Dokument zu verweisen, de facto [...]
http://www.cert.at/services/blog/20190409151309-2416.html
Vulnerabilities
Security Bulletins Posted
Adobe has published security bulletins for Adobe Acrobat and Reader (APSB19-17), Adobe Flash Player (APSB19-19), Adobe Shockwave player (APSB19-20), Adobe Dreamweaver (APSB19-21), Adobe XD (APSB19-22), Adobe InDesign (APSB19-23) ,Adobe Experience Manager Forms (APSB19-24) and Adobe Bridge CC (APSB19-25).
https://blogs.adobe.com/psirt/?p=1735
DLL injection in Go < 1.12.2 [CVE-2019-9634]
Golang before 1.12.2 linked against various DLLs that were same-directory injectable and generally its library loading mechanism did not use LoadLibraryEx, allowing the classic DLL injection attacks, especially with regards to executables saved to the Downloads/ folder
https://www.openwall.com/lists/oss-security/2019/04/09/1
Security updates for Tuesday
Security updates have been issued by Debian (poppler, proftpd-dfsg, suricata, and systemd), Fedora (kernel, kernel-headers, kernel-tools, and wget), Gentoo (clamav, emerge-delta-webrsync, and mailman), openSUSE (bash), Red Hat (kernel and openssh), Scientific Linux (python), SUSE (gnuplot, libtcnative-1-0, and sqlite3), and Ubuntu (clamav, lua5.3, openjdk-7, samba, systemd, and wget).
https://lwn.net/Articles/785367/
Synology-SA-19:15 Samba
CVE-2019-3880 allows remote authenticated users to create arbitrary files or obtain sensitive information via a susceptible version of DiskStation Manager (DSM) and Synology Router Manager (SRM).None of Synology products are affected by CVE-2019-3870 as the vulnerability only affect Samba 4.9.0 and later.
https://www.synology.com/en-global/support/security/Synology_SA_19_15
[20190403] - Core - Object.prototype pollution in JQuery $.extend
https://developer.joomla.org/security-centre/779-20190403-core-object-prototype-pollution-in-jquery-extend.html
[20190402] - Core - Helpsites refresh endpoint callable for unauthenticated users
https://developer.joomla.org/security-centre/778-20190402-core-helpsites-refresh-endpoint-callable-for-unauthenticated-users.html
[20190401] - Core - Directory Traversal in com_media
https://developer.joomla.org/security-centre/777-20190401-core-directory-traversal-in-com-media.html
IBM Security Bulletin: BigFix Platform 9.5.x affected by multiple vulnerabilities (CVE-2019-4013, CVE-2018-5407, CVE-2012-5883, CVE-2012-6708, CVE-2015-9251)
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-bigfix-platform-9-5-x-affected-by-multiple-vulnerabilities-cve-2019-4013-cve-2018-5407-cve-2012-5883-cve-2012-6708-cve-2015-9251/
SSA-141614 (Last Update: 2019-04-09): Denial-of-Service in SIMOCODE pro V EIP
https://cert-portal.siemens.com/productcert/txt/ssa-141614.txt
SSA-307392 (Last Update: 2019-04-09): Denial-of-Service in OPC UA in Industrial Products
https://cert-portal.siemens.com/productcert/txt/ssa-307392.txt
SSA-324467 (Last Update: 2019-04-09): OS Command Injection in Spectrum Power 4.7
https://cert-portal.siemens.com/productcert/txt/ssa-324467.txt
SSA-436177 (Last Update: 2019-04-09): Multiple Vulnerabilities in SINEMA Remote Connect
https://cert-portal.siemens.com/productcert/txt/ssa-436177.txt
SSA-451142 (Last Update: 2019-04-09): Multiple Vulnerabilities in RUGGEDCOM ROX II
https://cert-portal.siemens.com/productcert/txt/ssa-451142.txt
SSA-480230 (Last Update: 2019-04-09): Denial-of-Service in Webserver of Industrial Products
https://cert-portal.siemens.com/productcert/txt/ssa-480230.txt
GnuTLS vulnerability CVE-2015-0294
https://support.f5.com/csp/article/K54022413
GnuTLS vulnerability CVE-2014-8155
https://support.f5.com/csp/article/K53330207
SAP Basic Components (BC): Mehrere Schwachstellen ermöglichen Privilegieneskalation
http://www.cert-bund.de/advisoryshort/CB-K19-0279
Symantec Endpoint Encryption: Schwachstelle ermöglicht Privilegieneskalation
http://www.cert-bund.de/advisoryshort/CB-K19-0281