Tageszusammenfassung - 03.02.2023

End-of-Day report

Timeframe: Donnerstag 02-02-2023 18:00 - Freitag 03-02-2023 18:00 Handler: Michael Schlagenhaufer Co-Handler: Robert Waldner

News

Hackers weaponize Microsoft Visual Studio add-ins to push malware

Security researchers warn that hackers may start using Microsoft Visual Studio Tools for Office (VSTO) more often as method to achieve persistence and execute code on a target machine via malicious Office add-ins.

https://www.bleepingcomputer.com/news/security/hackers-weaponize-microsoft-visual-studio-add-ins-to-push-malware/


Anker: Eufy-Kameras waren nicht so sicher wie beworben

Nach anfänglichem Abstreiten gibt Anker zu, dass die Werbeversprechen zur Sicherheit der Eufy-Überwachungskameras nicht eingehalten wurden.

https://www.golem.de/news/anker-eufy-kameras-waren-nicht-so-sicher-wie-beworben-2302-171655.html


Konami Code Backdoor Concealed in Image

Attackers are always looking for new ways to conceal their malware and evade detection, whether it-s through new forms of obfuscation, concatenation, or - in this case - unorthodox use of image file extensions. One of the most common backdoors that we have observed over the last few months has been designed to evade detection by placing the payload in an image file and requiring some additional tricks to unlock it.

https://blog.sucuri.net/2023/02/konami-code-backdoor-concealed-in-image.html


Pre-Auth RCE in Aspera Faspex: Case Guide for Auditing Ruby on Rails

IBM Aspera Faspex promises security to end users by offering encryption options for the files being uploaded through its application. This security model is broken through the pre-authentication RCE vulnerability we discovered, that allowed us to execute arbitrary commands on the Aspera Faspex server.

https://blog.assetnote.io/2023/02/02/pre-auth-rce-aspera-faspex/


Cisco patcht mehrere Produkte - potenzielle Backdoor-Lücke

Cisco hat Updates zum Schließen von Sicherheitslücken in mehreren Produkten veröffentlicht. Die gravierendste klafft in der IOx Application Hosting Environment.

https://heise.de/-7483079


Zwei Sicherheitsprobleme in OpenSSH 9.2 gelöst

Der OpenSSH-Client ist in einer aktualisierten Version erschienen. Informationen über die geschlossenen Sicherheitslücken sind noch rar.

https://heise.de/-7483316


Erneute Phishing-Welle mit E-Mails im Namen der WKO

-Aktualisierung Ihrer Firmendaten-: Haben Sie eine E-Mail vom -WKO Serviceteam- mit diesem Betreff erhalten, sollten Sie genau hinsehen. Denn derzeit versenden Cyberkriminelle willkürlich solche Phishing-Mails an österreichische Unternehmer:innen und geben sich dabei als Wirtschaftskammer Österreich aus.

https://www.watchlist-internet.at/news/erneute-phishing-welle-mit-e-mails-im-namen-der-wko/


OneNote Dokumente als neues Hilfsmittel für Spammer und Co.

Nachdem Microsoft im Juli letzten Jahres die Hürde für Spammer deutlich höher gelegt hat - eingebettete Makros in heruntergeladenen Office Dokumente wurden per Default disabled - musste aus Sicht der Angreifer entsprechender Ersatz gefunden werden. Neuen Erkenntnissen zufolge, wurde dieser auch erfolgreich in Form von OneNote Dokumenten gefunden.

https://cert.at/de/aktuelles/2023/2/onenote-dokumente-als-neues-hilfsmittel-fur-spammer-und-co


What is an OSINT Tool - Best OSINT Tools 2023

An OSINT tool is a must for every researcher - In this article, we will explore the 15 best OSINT tools that you can use for your investigations.

https://www.hackread.com/what-is-osint-tool-best-osint-tools-2023/

Vulnerabilities

K000130496: Overview of F5 vulnerabilities (February 2023)

On February 1, 2023, F5 announced the following security issues. This document is intended to serve as an overview of these vulnerabilities and security exposures to help determine the impact to your F5 devices. You can find the details of each issue in the associated articles.

https://my.f5.com/manage/s/article/K000130496


Angreifer könnten Windows-PCs mit VMware Workstation attackieren

Ein Sicherheitsupdate schließt eine Lücke in der Virtualisierungslösung VMware Workstation. Angreifer brauchten lokale Benutzerrechte auf dem PC des Opfers.

https://heise.de/-7483515


Security updates for Friday

Security updates have been issued by Fedora (chromium and vim), Slackware (openssh), and Ubuntu (lrzip and tiff).

https://lwn.net/Articles/922112/


CISA Releases Six Industrial Control Systems Advisories

ICSA-23-033-01 Delta Electronics DIAScreen, ICSA-23-033-02 Mitsubishi Electric GOT2000 Series and GT SoftGOT2000, ICSA-23-033-03 Baicells Nova, ICSA-23-033-04 Delta Electronics DVW-W02W2-E2, ICSA-23-033-05 Delta Electronics DX-2100-L1-CN, ICSA-22-221-01 Mitsubishi Electric Multiple Factory Automation Products (Update D).

https://us-cert.cisa.gov/ncas/current-activity/2023/02/02/cisa-releases-six-industrial-control-systems-advisories


B&R Advisory: Several Issues in APROL Database

Several Issues in ARPOL database, CVE ID: CVE-2022-43761, CVE-2022-43762, CVE-2022-43763, CVE-2022-43764, CVE-2022-43765

https://www.br-automation.com/downloads_br_productcatalogue/assets/1674823095245-en-original-1.0.pdf


IBM Security Bulletins 2023-02-01

Tivoli System Automation Application Manager, IBM MQ, IBM FlashSystem 5000, IBM FlashSystem 7200, IBM FlashSystem 7300, IBM FlashSystem 9100, IBM FlashSystem 9200, IBM FlashSystem 9500, IBM FlashSystem V9000, IBM Spectrum Virtualize as Software Only, IBM Spectrum Virtualize for Public Cloud, IBM Storwize V5000, V5000E, V7000 and V5100, Jazz for Service Management, SAN Volume Controller, IBM App Connect Enterprise, IBM Voice Gateway, IBM Aspera, IBM MQ, IBM Business Automation Workflow, IBM Control Desk, IBM Maximo, IBM Sterling Connect:Direct File Agent.

https://www.ibm.com/support/pages/bulletin/


Exploitation of GoAnywhere MFT zero-day vulnerability

A warning has been issued about an actively exploited zero-day vulnerability affecting on-premise instances of Fortra-s GoAnywhere MFT.

https://www.rapid7.com/blog/post/2023/02/03/exploitation-of-goanywhere-mft-zero-day-vulnerability/