End-of-Day report
Timeframe: Donnerstag 29-09-2022 18:00 - Freitag 30-09-2022 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Stephan Richter
News
Zero-Day-Attacken auf Microsoft Exchange Server - Sicherheitspatches fehlen
Aufgrund von Angriffen und bislang fehlenden Patches sollten Admins Exchange Server über einen Workaround absichern.
https://heise.de/-7280460
Microsoft warnt: Angriffe mit Linkedin und präparierter Open-Source-Software
Laut Microsoft führen staatliche Hacker derzeit Angriffe auf Linkedin durch. Dabei arbeiten sie mit um Schadfunktionen erweiterter Open-Source-Software.
https://www.golem.de/news/microsoft-warnt-angriffe-mit-linkedin-und-praeparierter-open-source-software-2209-168641.html
Hacking group hides backdoor malware inside Windows logo image
Security researchers have discovered a malicious campaign by the Witchetty hacking group, which uses steganography to hide a backdoor malware in a Windows logo.
https://www.bleepingcomputer.com/news/security/hacking-group-hides-backdoor-malware-inside-windows-logo-image/
Detecting Mimikatz with Busylight
In 2015 Raphael Mudge released an article [1] that detailed that versions of mimikatz released after 8th of October, 2015 had a new module that was utilising certain types of external USB devices to flash lights in different colours if mimikatz was executed. The technique presented in the article required certain kind of busylights that [...]
https://research.nccgroup.com/2022/09/30/detecting-mimikatz-with-busylight/
CISA Publishes User Guide to Prepare for Nov. 1 Move to TLP 2.0
CISA has published its Traffic Light Protocol 2.0 User Guide and Traffic Light Protocol: Moving to Version 2.0 fact sheet in preparation for its November 1, 2022 move from Traffic Light Protocol (TLP) Version 1.0 to TLP 2.0. Managed by the Forum of Incident Response and Security Teams (FIRST), TLP is a system of markings that communicates information sharing permissions.
https://us-cert.cisa.gov/ncas/current-activity/2022/09/29/cisa-publishes-user-guide-prepare-nov-1-move-tlp-20
Mandiant, VMware und US-CERT warnen vor Malware, die auf VMware ESXi Server zielt
Der von Google übernommene Sicherheitsanbieter Mandiant ist auf eine neue Malware-Familie (VirtualPITA, VirtualPIE und VirtualGATE) gestoßen, die es auf Virtualisierunglösungen wie VMware ESXi Server abgesehen hat und spezialisierte Techniken zum Eindringen verwendet. VMware hat einen entsprechenden Sicherheitshinweis veröffentlicht, [...]
https://www.borncity.com/blog/2022/09/30/mandiant-vmware-und-us-cert-warnen-vor-malware-die-auf-vmware-esxi-server-zielt/
Vulnerabilities
ZDI-22-1325: SolarWinds Network Performance Monitor UpdateActionsDescriptions SQL Injection Privilege Escalation Vulnerability
This vulnerability allows remote attackers to escalate privileges on affected installations of SolarWinds Network Performance Monitor. Authentication is required to exploit this vulnerability.
http://www.zerodayinitiative.com/advisories/ZDI-22-1325/
IBM Security Bulletins 2022-09-29
IBM Robotic Process Automation, Content Collector for Email, Content Collector for File Systems, Content Collector for Microsoft SharePoint, Content Collector for IBM Connections, IBM Spectrum Fusion HCI, IBM MQ, IBM MQ Blockchain bridge, IBM QRadar User Behavior Analytics.
https://www.ibm.com/blogs/psirt/
Security updates for Friday
Security updates have been issued by Debian (libsndfile and libvncserver), Fedora (bash), Red Hat (httpd24-httpd, java-1.7.1-ibm, and java-1.8.0-ibm), and SUSE (krb5-appl, libjpeg-turbo, python310, and slurm_20_02).
https://lwn.net/Articles/909947/
GitLab: Mehrere Schwachstellen ermöglichen Cross-Site Scripting
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in GitLab ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1582
vim: Mehrere Schwachstellen ermöglichen Codeausführung
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in vim ausnutzen, um beliebigen Programmcode auszuführen oder einen Denial of Service Zustand herbeizuführen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1584
F-Secure und WithSecure Produkte: Schwachstelle ermöglicht Denial of Service
Ein entfernter Angreifer kann eine Schwachstelle in F-Secure und WithSecure Produkten ausnutzen, um einen Denial of Service Angriff durchzuführen.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1591
BookStack vulnerable to cross-site scripting
https://jvn.jp/en/jp/JVN78862034/