End-of-Day report
Timeframe: Donnerstag 13-01-2022 18:00 - Freitag 14-01-2022 18:00
Handler: Stephan Richter
Co-Handler: n/a
News
Microsoft Defender weakness lets hackers bypass malware detection
Threat actors can take advantage of a weakness that affects Microsoft Defender antivirus on Windows to learn locations excluded from scanning and plant malware there.
https://www.bleepingcomputer.com/news/security/microsoft-defender-weakness-lets-hackers-bypass-malware-detection/
Nach Log4J: Google will zusammen mit Regierungen Open Source absichern
Seit langem sucht Google nach Wegen, Open-Source-Software besser abzusichern. Nach der Log4J-Lücke kommen nun auch Regierungen ins Spiel.
https://www.golem.de/news/nach-log4j-google-will-zusammen-mit-regierungen-open-source-absichern-2201-162428-rss.html
Microsoft Yanks Buggy Windows Server Updates
Since their release on Patch Tuesday, the updates have been breaking Windows, causing spontaneous boot loops on Windows domain controller servers, breaking Hyper-V and making ReFS volume systems unavailable.
https://threatpost.com/microsoft-yanks-buggy-windows-server-updates/177648/
A closer look at Flubot-s DoH tunneling
[...] The following blog post will take a closer look at Flubot version 4.9, and in particular its Command and Control (C&C) communication, based on the data F-Secure gathered during that campaign.
https://blog.f-secure.com/flubot_doh_tunneling/
Verwundbare Exchange-Server der öffentlichen Verwaltung
20 Exchange-Server in öffentlicher Hand waren für eine Sicherheitslücke anfällig. Kriminelle hätten die Kontrolle übernehmen können.
https://heise.de/-6320504
Citrix liefert Sicherheitsupdates für Workspace App und Hypervisor
Sicherheitslücken in der Citrix Workspace App for Linux und im Hypervisor ermöglichten Angreifern die Rechteausweitung oder DoS-Attacken auf den Host.
https://heise.de/-6327171
Aus für iOS 14? Verwirrung über fehlende Sicherheits-Updates
Neben iOS 15 stellte Apple erstmals Updates für die Vorjahresversion des Betriebssystems in Aussicht. Es fehlen aber wichtige Patches für iOS 14.
https://heise.de/-6327709
Sicherheitsupdates: Admin-Lücke bedroht Cisco Unified Contact Manager
Admins von Cisco-Hard- und -Software sind gefragt, ihre Systeme abzusichern.
https://heise.de/-6327050
Schadcode-Schlupflöcher in Qnap NAS geschlossen
Die Qnap-Entwickler haben ihr NAS-Betriebssystem und zwei Apps gegen mögliche Attacken abgesichert.
https://heise.de/-6327201
Juniper Networks stopft zahlreiche Sicherheitslücken
In Geräten und Diensten von Juniper hätten Angreifer Schwachstellen etwa für DoS-Angriffe, die Ausweitung von Rechten oder Schlimmeres missbrauchen können.
https://heise.de/-6327645
Signierte Kernel-Treiber - unbewachte Zugänge zum Windows-Kern
ESET Forscher untersuchen Schwachstellen in signierten Windows-Treibern, die trotz Gegenmaßnahmen immer noch ein Sicherheitsproblem darstellen.
https://www.welivesecurity.com/deutsch/2022/01/13/signierte-kernel-treiber-unbewachte-zugaenge-zum-windows-kern/
Telefon-Betrug: Drücken Sie nicht die Taste 1!
LeserInnen der Watchlist Internet melden uns derzeit betrügerische Anrufe: Dabei werden willkürlich Personen angerufen und mit einer Bandansage darauf hingewiesen, dass es einen Haftbefehl gegen sie gäbe. Um mehr zu erfahren, solle die Taste 1 gedrückt werden. Machen Sie das auf keinen Fall! Die BetrügerInnen wollen Sie damit in eine Kostenfalle locken.
https://www.watchlist-internet.at/news/telefon-betrug-druecken-sie-nicht-die-taste-1/
Schwachstellen in AWS Glue und AWS Cloud Formation entdeckt
Das Orca Security Research Team hat Sicherheitslücken im Amazon Web Services AWS Glue-Service sowie zur Zero-Day-Schwachstelle BreakingFormation erkannt. Beide Unternehmen konnten binnen weniger Tagen die Fehler beheben.
https://www.zdnet.de/88398803/schwachstellen-in-aws-glue-und-aws-cloud-formation-entdeckt/
Detection Rules for Sysjoker (and How to Make Them With Osquery)
On January 11, 2022, we released a blog post on a new malware called SysJoker. SysJoker is a malware targeting Windows, macOS, and Linux. At the time of the publication, the Linux and macOS versions were not detected by any scanning engines on VirusTotal. As a consequence to this, we decided to release a followup [...]
https://www.intezer.com/blog/cloud-security/detection-rules-sysjoker-osquery/
Adobe Acrobat (Reader) DC 21.011.20039, Installationsfehler und offene Bugs
Kurzer Sammelbeitrag zum Acrobat Gelump, was Adobe auf die Rechner der Nutzer kippt. Zum 11. Januar 2022 gab es ein Sicherheitsupdate für den Adobe Acrobat (Reader) DC auf die Version 21.011.20039. Weiterhin haben mich die letzten Tage einige Nutzer auf eine Latte an offenen Bugs hingewiesen, die ich hier mal einfach einstellen will. Soll ja niemand behaupten, ich ließe die "Qualitätsupdates" von Adobe zum Acrobat unerwähnt.
https://www.borncity.com/blog/2022/01/14/adobe-acrobat-reader-dc-21-011-20039-installationsfehler-und-offene-bugs/
Vulnerabilities
Positive Technologies Uncovers Vulnerability in IDEMIA Biometric Identification Devices That Can Unlock Doors and Turnstiles
Positive Technologies researchers, Natalya Tlyapova, Sergey Fedonin, Vladimir Kononovich, and Vyacheslav Moskvin have discovered a critical vulnerability (VU-2021-004) in IDEMIA biometric identification devices used in the world-s largest financial institutions, universities, healthcare organizations, and critical infrastructure facilities. By exploiting the flaw, which received a score of 9.1 on the CVSS v3 scale, attackers can unlock doors and turnsites.
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-uncovers-vulnerability-in-idemia-biometric-identification-devices-that-can-unlock-doors-and-turnstiles/
Security updates for Friday
Security updates have been issued by Debian (firefox-esr), Fedora (cockpit, python-cvxopt, and vim), openSUSE (libmspack), Oracle (webkitgtk4), Scientific Linux (firefox and thunderbird), SUSE (kernel and libmspack), and Ubuntu (firefox and pillow).
https://lwn.net/Articles/881407/
Mitsubishi Electric MELSEC-F Series
This advisory contains mitigations for a Lack of Administrator Control Over Security vulnerability in the Mitsubishi Electric MELSEC-F Series FX3U-ENET Ethernet-Internet block.
https://us-cert.cisa.gov/ics/advisories/icsa-22-013-01
Mitsubishi Electric MELSEC-F Series
This advisory contains mitigations for an Improper Initialization vulnerability in the Mitsubishi Electric MELSEC-F Series FX3U-ENET Ethernet-Internet block,
https://us-cert.cisa.gov/ics/advisories/icsa-22-013-07
Mitsubishi Electric MELSEC iQ-R, Q and L Series (Update B)
[...] 4.1 AFFECTED PRODUCTS [...]
Begin Update B Part 1 of 1
- L 02/06/26 CPU (-P), L 26 CPU - (P) BT, serial number 23121 and earlier
End Update B Part 1 of 1
https://www.cisa.gov/uscert/ics/advisories/icsa-20-303-01
Trane Symbio (Update B)
[...] 3. RISK EVALUATION
Begin Update B Part 1 of 1
Successful exploitation of this vulnerability could allow a user to execute arbitrary code on the controller.
End Update B Part 1 of 1
https://www.cisa.gov/uscert/ics/advisories/icsa-21-266-01
Ivanti Updates Log4j Advisory with Security Updates for Multiple Products
Ivanti has updated its Log4j Advisory with security updates for multiple products to address CVE-2021-44228. An unauthenticated attacker could exploit this vulnerability to take control of an affected system. CISA encourages users and administrators to review the Ivanti security advisories pages for Avalanche; File Director; and MobileIron Core, MobileIron Sentry (Core/Cloud), and MobileIron Core Connector and apply the necessary updates and workarounds.
https://us-cert.cisa.gov/ncas/current-activity/2022/01/14/ivanti-updates-log4j-advisory-security-updates-multiple-products
IBM Security Bulletins
https://www.ibm.com/blogs/psirt/
MediaWiki: Mehrere Schwachstellen
https://www.cert-bund.de/advisoryshort/CB-K22-0050
ClamAV: Schwachstelle ermöglicht Denial of Service
https://www.cert-bund.de/advisoryshort/CB-K22-0052