End-of-Day report
Timeframe: Donnerstag 07-09-2023 18:00 - Freitag 08-09-2023 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
Post-Quantum Cryptography
Das Aufkommen von fähigen Quantencomputern hat massive Seiteneffekte auf die Sicherheit diverser kryptografischer Grundoperationen. Diese sind in den letzten Jahren zu essentiellen Bausteinen unserer IT Architektur - insbesondere in vernetzten Systemen - geworden. Noch funktioniert alles, aber wenn wir nicht bald anfangen, uns auf die diese kommende Gefahr vorzubereiten, dann wird die Transition zu -post-quantum cryptography- eine Schmerzhafte werden. [..] Ich darf nächste Woche bei einer Veranstaltung dazu am Podium sitzen. Und wenn ich mich schon darauf vorbereite, dann teile ich doch gleich meine Quellen und Schlussfolgerungen.
https://cert.at/de/blog/2023/9/post-quantum-cryptography
CISA warns of critical Apache RocketMQ bug exploited in attacks
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has added to its catalog of known exploited vulnerabilities (KEV) a critical-severity issue tracked as CVE-2023-33246 that affects Apaches RocketMQ distributed messaging and streaming platform.
https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-apache-rocketmq-bug-exploited-in-attacks/
Paranoids Vulnerability Research: Ivanti Issues Security Alert
The vulnerability allowed for remote code execution - giving a bad actor a method to distribute malicious software through a tool that sends out security updates. And, as part of the research process, we confirmed the feasibility of this by developing an end-to-end exploit that showcases how malware can be distributed to managed endpoints (demo).
https://www.yahooinc.com/paranoids/paranoids-vulnerability-research-ivanti-issues-security-alert
Malvertising-Kampagne will Mac-Nutzern Atomic Stealer unterjubeln
IT-Forscher beobachten eine Malvertising-Kampagne, deren Urheber Mac-Nutzern den Atomic Stealer unterschieben wollen. Der klaut etwa Krypto-Währungen.
https://heise.de/-9298637
Emsisoft Tells Users to Update Products, Reboot Systems Due to Certificate Mishap
The problem, the company says, affects its Extended Validation (EV) code signing certificate that was renewed on August 23 and used to sign all program files compiled after that date, including the latest software version, released on September 4.
https://www.securityweek.com/emsisoft-tells-users-to-update-products-reboot-systems-due-to-certificate-mishap/
New Phishing Campaign Launched via Google Looker Studio
Cybersecurity firm Check Point is warning of a new type of phishing attacks that abuse Google Looker Studio to bypass protections.
https://www.securityweek.com/new-phishing-campaign-launched-via-google-looker-studio/
MAR-10454006.r5.v1 SUBMARINE, SKIPJACK, SEASPRAY, WHIRLPOOL, and SALTWATER Backdoors
CISA obtained five malware samples - including artifacts related to SUBMARINE, SKIPJACK, SEASPRAY, WHIRLPOOL, and SALTWATER backdoors. The device was compromised by threat actors exploiting CVE-2023-2868, a former zero-day vulnerability affecting versions 5.1.3.001-9.2.0.006 of Barracuda Email Security Gateway (ESG).
https://www.cisa.gov/news-events/analysis-reports/ar23-250a-0
W3LL-Phishing Kit kann Multifaktor-Authentifizierung aushebeln; Tausende von Microsoft 365-Konten gekapert
Der in Singapur angesiedelte Sicherheitsanbieter Group-IB hat die Tage einen Sicherheits-Report veröffentlicht, der auf spezielle Aktivitäten einer W3LL genannten Gruppe von Cyberkriminellen hinweist. Die Cybergang hat ein spezielles Phishing-Kit entwickelt, um Microsoft 365-Konten zu kapern und bietet diese Dienstleistung mindestens 500 anderen Cybergangs über einen geheimen W3LL Store an.
https://www.borncity.com/blog/2023/09/08/w3ll-phishing-kit-kann-multifaktor-authentifizierung-aushebeln-tausende-von-microsoft-365-konten-gekapert/
A Deep Dive into 70 Layers of Obfuscated Info-Stealer Malware
In the battle of hackers against defenders, we consistently find hackers trying to disguise their true intent. We have analyzed an interesting sample that was armed with multiple layers of obfuscation. These packages were quite the challenge.
https://checkmarx.com/blog/a-deep-dive-into-70-layers-of-obfuscated-info-stealer-malware/
Vulnerabilities
Sicherheitsupdates für macOS, iOS/iPadOS schließen zwei 0-Days der NSO-Group (Pegasus Spyware)
Apple hat zum 7. September 2023 wieder einen Schwung Sicherheitsupdates für seine Betriebssysteme macOS, iOS/iPadOS und auch WatchOS veröffentlicht. Mit diesen Updates werden zwei 0-Day-Schwachstellen geschlossen, die von der Pegasus Spyware der NSO-Group für die Überwachung von Mobilgeräten missbraucht wurden.
https://www.borncity.com/blog/2023/09/08/sicherheitsupdates-fr-macos-ios-ipados-schlieen-zwei-0-days-der-nso-group-pegasus-spyware/
OpenSSL Security Advisory [8th September 2023]
POLY1305 MAC implementation corrupts XMM registers on Windows (CVE-2023-4807). Severity: Low
https://www.openssl.org/news/secadv/20230908.txt
QNAP Security Advisories 2023-09-08
QNAP has released 4 security advisories: (1x High, 3x Medium)
https://www.qnap.com/en-us/security-advisories?ref=security_advisory_details
Security updates for Friday
Security updates have been issued by Debian (chromium, libssh2, memcached, and python-django), Fedora (netconsd), Oracle (firefox and thunderbird), Scientific Linux (firefox), SUSE (open-vm-tools), and Ubuntu (grub2-signed, grub2-unsigned, shim, and shim-signed, plib, and python2.7, python3.5).
https://lwn.net/Articles/943990/
Notepad++ v8.5.7 fixt Schwachstellen
Mitte August 2023 hatte Sicherheitsforscher Jaroslav Lobacevski vier Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166) im Editor Notepad ++ für Windows öffentlich gemacht. Die Einstufung der Schwachstellen reicht von mittel bis hoch. Der Entwickler hat diese Schwachstellen, nachdem ihm diese seit Monaten bekannt sind, nun mit dem Update auf Notepad++ v8.5.7 beseitigt.
https://www.borncity.com/blog/2023/09/08/notepad-v8-5-7-fixt-schwachstellen/
PHOENIX CONTACT: Multiple vulnerabilities in WP 6xxx Web panels
https://cert.vde.com/de/advisories/VDE-2023-018/
IBM Security Bulletins
https://www.ibm.com/support/pages/bulletin/