Tageszusammenfassung - 03.04.2023

End-of-Day report

Timeframe: Freitag 31-03-2023 18:00 - Montag 03-04-2023 18:00 Handler: Robert Waldner Co-Handler: Stephan Richter

News

New Money Message ransomware demands million dollar ransoms

A new ransomware gang named Money Message has appeared, targeting victims worldwide and demanding million-dollar ransoms not to leak data and release a decryptor.

https://www.bleepingcomputer.com/news/security/new-money-message-ransomware-demands-million-dollar-ransoms/


Hacken ist für alle: Die Austria Cyber Security Challenge startet

Der Hackerwettbewerb will heuer verstärkt Frauen für die IT-Security begeistern.

https://futurezone.at/digital-life/austria-cyber-security-challenge-acsc-bewerb-it-anmeldung-teilnahme-hacker-2023/402383030


With KEYPLUG, China-s RedGolf Spies On, Steals From Wide Field of Targets

The group remains highly active within a wide range of geographies and industry verticals, targeting aviation, automotive, education, government, media, information technology, and religious organizations. [..] Insikt Group has identified a wider cluster of KEYPLUG samples and infrastructure used by RedGolf from at least 2021 to 2023. (Anm.: das Paper enthält etliche beobachtenswerte IOCs).

https://go.recordedfuture.com/hubfs/reports/cta-2023-0330.pdf


Angriffe auf hochriskante Sicherheitslücke in Wordpress-Plug-in Elementor Pro

Angreifer missbrauchen eine Sicherheitslücke im Wordpress-Plug-in Elementor Pro zum Einbrechen in Webseiten. Admins sollten die Updates umgehend installieren.

https://heise.de/-8384344


IT-Forscher: Mehr als 15 Millionen verwundbare Systeme offen im Netz

IT-Forscher haben den Known-Exploited-Vulnerabilities-Catalog der CISA mit der Datenbank Sh0dan abgeglichen und Millionen verwundbarer Systeme gefunden.

https://heise.de/-8511852


Jetzt updaten: Kritische Schwachstelle in Nextcloud

Eine als kritisch eingestufte Sicherheitslücke in der Kollaborationssoftware Nextcloud könnte Angreifern das Ausführen von Schadcode ermöglichen.

https://heise.de/-8515005


Microsoft OneNote Starts Blocking Dangerous File Extensions

Microsoft is boosting the security of OneNote users by blocking embedded files with extensions that are considered dangerous.

https://www.securityweek.com/microsoft-onenote-starts-blocking-dangerous-file-extensions/


Money Mule: Geldwäsche-Jobs über WhatsApp

Nehmen Sie sich vor betrügerischen Job-Angeboten auf WhatsApp in Acht. Kriminelle kontaktieren teils wahllos, teils gezielt Menschen auf Job-Suche über die bekannte Chat-Plattform. Ein Tageslohn von 50 bis 300 Euro täglich bei Arbeit aus dem Home-Office mag verlockend klingen. Doch Vorsicht: Sie werden hier zum Money Mule, helfen Kriminellen bei der Geldwäsche und machen sich womöglich selbst strafbar!

https://www.watchlist-internet.at/news/money-mule-geldwaesche-jobs-ueber-whatsapp/


Malicious ISO File Leads to Domain Wide Ransomware

IcedID continues to deliver malspam emails to facilitate a compromise. This case covers the activity from a campaign in late September of 2022.

https://thedfirreport.com/2023/04/03/malicious-iso-file-leads-to-domain-wide-ransomware/


Bi(n)gBang: Microsoft Azure-Schwachstelle ermöglicht Bing Search Hijacking und Office 365-Datenklau

Unschöne Geschichte, auf die alle gewartet haben, und die die Gefahren der Cloud aufzeigt. Microsoftsd Azure-Cloud-Dienste ermöglichten eine Fehlkonfigurierung, die dann eine Sicherheitslücke schuf. In der Folge konnten Angreifer potentiell Schadcode in die Suchergebnisseiten von Bing einschleusen, um diese zu [...]

https://www.borncity.com/blog/2023/03/30/bigbang-microsoft-azure-schwachstelle-ermglicht-bing-search-hijacking-und-office-365-datenklau/


Design-Schwäche im WiFi-Protokoll ermöglicht Angreifern das Abfangen des Netzwerkverkehrs

Noch ein kleiner Nachtrag von Ende März 2023. Sicherheitsforscher sind auf eine gravierende Design-Schwäche im IEEE 802.11 WiFi-Protokollstandards gestoßen. Diese Schwäche könnte es Angreifern ermöglichen, WLAN-Zugangspunkte abzuhören und Netzwerk-Frames im Klartext zu übermitteln.

https://www.borncity.com/blog/2023/04/02/design-schwche-im-wifi-protokoll-ermglicht-angreifern-das-abfangen-des-netzwerkverkehrs/

Vulnerabilities

Multiple vulnerabilities in Aten PE8108 power distribution unit (CVE-2023-25413, CVE-2023-25415, CVE-2023-25407, CVE-2023-25409, CVE-2023-25414, CVE-2023-25411)

Pentagrid identified several vulnerabilities in the PE8108 rack power distribution unit (PDU) manufactured by Aten. [..] At the time of publication, the most recent firmware is version v2.4.232 from 2022-11-22 and there is no new firmware available via Atens website.

https://www.pentagrid.ch/en/blog/multiple-vulnerabilities-in-aten-PE8108-power-distribution-unit/


Nvidia schließt Sicherheitslücken in Treibern und Verwaltungssoftware

Nvidia hat zum Monatswechsel aktualisierte Treiber und Verwaltungssoftware veröffentlicht. Damit schließt der Hersteller teils hochriskante Sicherheitslecks.

https://heise.de/-8511759


Geräteverwaltung HCL Bigfix dichtet DoS-Lücke ab

Die Geräteverwaltungssoftware HCL Bigfix enthält eine Schwachstelle, die Angreifern das Lahmlegen der Software auf Endpoints ermöglicht.

https://heise.de/-8514805


Security updates for Monday

Security updates have been issued by Debian (duktape, firmware-nonfree, intel-microcode, svgpp, and systemd), Fedora (amanda, dino, flatpak, golang, libldb, netconsd, samba, tigervnc, and vim), Red Hat (nodejs:14), Slackware (ruby and seamonkey), SUSE (drbd, flatpak, glibc, grub2, ImageMagick, kernel, runc, thunderbird, and xwayland), and Ubuntu (amanda).

https://lwn.net/Articles/928204/


Multiple Vulnerabilities in the Autodesk® FBX® SDK software

Applications and services utilizing the Autodesk® FBX® SDK software have been affected by an Out-Of-Bounds Write and Stack Buffer Overflow vulnerabilities. Exploitation of these vulnerabilities may lead to information disclosure, code execution and/or denial-of-service.

https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0004


Vulnerabilities for Autodesk® Maya® USD plugin

USD (Universal Scene Description) plugin for Autodesk® Maya® has been affected by a file uninitialized variable, out-of-bounds read, and out-of-bounds write vulnerabilities.

https://www.autodesk.com/trust/security-advisories/adsk-sa-2023-0003


Vulnerability Spotlight: Buffer overflow vulnerability in ADMesh library

https://blog.talosintelligence.com/vulnerability-spotlight-buffer-overflow-vulnerability-in-admesh-library/


IBM Security Bulletins

https://www.ibm.com/support/pages/bulletin/


HAProxy vulnerable to HTTP request/response smuggling

https://jvn.jp/en/jp/JVN38170084/


Multiple vulnerabilities in Seiko Solutions SkyBridge MB-A100/A110/A200/A130 SkySpider MB-R210

https://jvn.jp/en/jp/JVN40604023/


Cisco Identity Services Engine Vulnerabilities

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-7Q4TNYUx


Cisco Identity Services Engine Cross-Site Scripting Vulnerability

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M


Cisco Secure Web Appliance Content Encoding Filter Bypass Vulnerabilities

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-bypass-bwBfugek


ZDI-23-348: Bentley View SKP File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability

https://www.zerodayinitiative.com/advisories/ZDI-23-348/


ZDI-23-347: Bentley View SKP File Parsing Use-After-Free Information Disclosure Vulnerability

https://www.zerodayinitiative.com/advisories/ZDI-23-347/


ZDI-23-346: Bentley View SKP File Parsing Use-After-Free Remote Code Execution Vulnerability

https://www.zerodayinitiative.com/advisories/ZDI-23-346/


ZDI-23-345: Bentley View FBX File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability

https://www.zerodayinitiative.com/advisories/ZDI-23-345/


ZDI-23-344: Bentley View FBX File Parsing Heap-based Buffer Overflow Remote Code Execution Vulnerability

https://www.zerodayinitiative.com/advisories/ZDI-23-344/