End-of-Day report
Timeframe: Freitag 30-09-2022 18:00 - Montag 03-10-2022 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Stephan Richter
News
Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
October 2, 2022 updates: Added to the Mitigations section: we strongly recommend Exchange Server customers to disable remote PowerShell access for non-admin users in your organization. Guidance on how to do this for single user or multiple users is here. Updated Detection section to refer to Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and [...]
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082
MSTIC observed activity related to a single activity group in August 2022 that achieved initial access and compromised Exchange servers by chaining CVE-2022-41040 and CVE-2022-41082 in a small number of targeted attacks.
https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/
Achtung, Phishing boomt! Security-Checkliste zu den 6 meist verbreiteten Methoden
Dass Phishing derzeit besonders häufig von Cyberkriminellen eingesetzt wird, um in IT-Systeme einzudringen, belegen viele aktuelle Statistiken.
https://sec-consult.com/de/blog/detail/6-common-types-of-phishing-attacks/
Sicherheitsupdate Drupal: Angreifer könnten auf Zugangsdaten zugreifen
Es gibt ein wichtiges Sicherheitsupdate für das Content Management System Drupal.
https://heise.de/-7282401
Jetzt patchen! Attacken auf Atlassian Bitbucket Server
Sicherheitsforscher und eine US-Sicherheitsbehörde warnen davor, dass Angreifer Bitbucket Server im Visier haben.
https://heise.de/-7282369
Backdoor in Windows-Logo versteckt
Eine Hackergruppe hat bei Angriffen auf Regierungen Steganografie verwendet, um Schadsoftware über harmlos aussehende Bitmaps nachzuladen.
https://heise.de/-7282730
Fake-Shops fälschen Klarna-Zahlungsprozess
Die Online-Shops schmitt-drogerie.com und ohnesorge-fachhandel.com sind betrügerisch. Produkte, die Sie hier bestellen, werden nicht geliefert. Die Bezahlung erfolgt angeblich per -Klarna Sofortüberweisung-. Doch Vorsicht: Der Zahlungsprozess wurde gefälscht. Sie sind nicht auf der echten Klarna-Zahlungsseite, sondern auf einer nachgebauten Website, mit der Ihre Bankdaten gestohlen werden.
https://www.watchlist-internet.at/news/fake-shops-faelschen-klarna-zahlungsprozess/
11 old software bugs that took way too long to squash
In 2021, a vulnerability was revealed in a system that lay at the foundation of modern computing. An attacker could force the system to execute arbitrary code. Shockingly, the vulnerable code was almost 54 years old-and there was no patch available, and no expectation that one would be forthcoming. Fortunately, thats because the system in question was Marvin Minskys 1967 implementation of a Universal Turing Machine, [...]
https://www.csoonline.com/article/3620948/10-old-software-bugs-that-took-way-too-long-to-squash.html
Vulnerabilities
IBM Security Bulletins 2022-09-30
IBM MQ, IBM Tivoli Monitoring Basic Services, IBM Event Streams, The IBM® Engineering Requirements Management, Rational Change Fix Pack, BM Tivoli Monitoring Data Provider, IBM Virtualization Engine, IBM Content Manager OnDemand, IBM Security Identity Governance and Intelligence, IBM Robotic Process Automation, IBM Jazz Technology, IBM Tivoli Composite Application Manager, IBM Case Manager, IBM Cloud Pak for Business Automation, Rational Synergy.
https://www.ibm.com/blogs/psirt/
macOS: Apps können Festplattenvollzugriff des Terminals missbrauchen
Programme, die nicht in einer Sandbox laufen, können den Systemschutz TCC von macOS umgehen, sobald man dem Terminal Festplattenvollzugriff gestattet.-
https://heise.de/-7282104
Thunderbird: Angreifer könnten Absender verschlüsselter Nachrichten fälschen
Sicherheitslücken im Matrix-Chat-SDK machen den Mail-Client Thunderbird verwundbar. Eine aktualisierte Version schafft Abhilfe.
https://heise.de/-7282339
Security updates for Monday
Security updates have been issued by Debian (chromium, gdal, kernel, libdatetime-timezone-perl, libhttp-daemon-perl, lighttpd, mariadb-10.3, node-thenify, snakeyaml, tinyxml, and tzdata), Fedora (enlightenment, kitty, and thunderbird), Mageia (expat, firejail, libjpeg, nodejs, perl-HTTP-Daemon, python-mako, squid, and thunderbird), Scientific Linux (firefox and thunderbird), SUSE (buildah, connman, cosign, expat, ImageMagick, python36, python39, slurm, and webkit2gtk3), and Ubuntu (linux, [...]
https://lwn.net/Articles/910161/
K21600298: OpenSSL vulnerabilities CVE-2022-1292 and CVE-2022-2068
https://support.f5.com/csp/article/K21600298?utm_source=f5support&utm_medium=RSS
Update - 0-day Exploit Remote Code Execution in Microsoft Exchange On-Premise - Workaround verfügbar
https://cert.at/de/warnungen/2022/10/0-day-exploit-remote-code-execution-in-microsoft-exchange-on-premise-workaround-verfugbar