End-of-Day report
Timeframe: Freitag 22-11-2024 18:00 - Montag 25-11-2024 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
NAS nicht benutzbar: Qnap streicht fehlerhaftes Sicherheitsupdate
Besitzer von NAS-Geräten des Herstellers Qnap haben nach der Installation eines Patches Probleme sich anzumelden. Bislang hilft nur ein Downgrade. [..] Mittlerweile hat Qnap eine Stellungnahme zur Updateproblematik veröffentlicht. Demzufolge haben sie den Sicherheitspatch QTS 5.2.2.2950 build 20241114 nun repariert und wieder veröffentlicht.
https://heise.de/-10146878
Nearest Neighbor Attack: Angriff über WLAN des Nachbarn
Dass man über das Gast-WLAN des Ziels kritische Systeme erreichen konnte, lag daran, dass eines davon sowohl per drahtgebundenem Ethernet wie das Gast-WLAN erreichbar war. Damit fiel MFA weg, es handelte sich offenbar um eine Fehlkonfiguration.
https://heise.de/-10129358
Researchers Uncover Malware Using BYOVD to Bypass Antivirus Protections
Cybersecurity researchers have uncovered a new malicious campaign that leverages a technique called Bring Your Own Vulnerable Driver (BYOVD) to disarm security protections and ultimately gain access to the infected system. [..] The starting point of the attack is an executable file (kill-floor.exe) that drops the legitimate Avast Anti-Rootkit driver, which is subsequently registered as a service using Service Control (sc.exe) to perform its malicious actions.
https://thehackernews.com/2024/11/researchers-uncover-malware-using-byovd.html
Microsoft testing Windows 11 support for third-party passkeys
-Microsoft is now testing WebAuthn API updates that add support for support for using third-party passkey providers for Windows 11 passwordless authentication.
https://www.bleepingcomputer.com/news/security/microsoft-testing-windows-11-support-for-third-party-passkeys/
Decrypting a PDF With a User Password, (Sat, Nov 23rd)
In diary entry "Analyzing an Encrypted Phishing PDF", I decrypted a phishing PDF document. Because the PDF was encrypted for DRM (owner password), I didn't have to provide a password. What happens if you try this with a PDF encrypted for confidentiality (user password), where a password is needed to open the document?
https://isc.sans.edu/diary/rss/31466
Finding vulnerabilities in ClipSp, the driver at the core of Windows- Client License Platform
ClipSP (clipsp.sys) is a Windows driver used to implement client licensing and system policies on Windows 10 and 11 systems. Cisco Talos researchers have discovered eight vulnerabilities related to clipsp.sys ranging from signature bypass to elevation of privileges and sandbox escape:TALOS-2024-1964 (CVE-2024-38184)TALOS-2024-1965 (CVE-2024-38185)
https://blog.talosintelligence.com/finding-vulnerabilities-in-clipsp-the-driver-at-the-core-of-windows-client-license-platform/
Dozens of Machines Infected: Year-Long NPM Supply Chain Attack Combines Crypto Mining and Data Theft
The package, @0xengine/xmlrpc, began its life as a -legitimate- XML-RPC implementation in October 2023, but strategically transformed into a malicious tool in later versions and has remained active through November of 2024. This discovery serves as a stark reminder that a package-s longevity and consistent maintenance history do not guarantee its safety.
https://checkmarx.com/blog/npm-supply-chain-attack-combines-crypto-mining-and-data-theft/
Secure Coding: CWE-377 - TOCTOU-Race-Conditions in den Griff bekommen
TOCTOU-Schwachstellen zählen zu den schwerwiegendsten in der Common Weakness Enumeration CWE-377 beschriebenen. [..] Der Schlüssel zur Vermeidung dieser Schwachstellen liegt in der Beseitigung der Lücke zwischen dem Zeitpunkt der Überprüfung und dem Zeitpunkt der Nutzung, typischerweise durch den Einsatz atomarer Dateierstellungsmethoden - etwa die von sicheren APIs wie File.createTempFile() oder Files.createTempFile().
https://heise.de/-10081613
Phishing-Warnung: Kriminelle missbrauchen Black-Friday-Trubel
Im Phishingradar warnen die Verbraucherzentralen, dass seit Freitag betrügerische E-Mails im Umlauf sind, die zum Gegenstand haben, dass unbekannte Zugriffe auf das Konto zu einer vorübergehenden Sperrung des Kontos führe.
https://heise.de/-10143500
Advanced threat predictions for 2025
Kasperskys Global Research and Analysis Team monitors over 900 APT (Advanced Persistent Threat) groups and operations. In this piece of KSB series, we review the advanced threat trends from the past year and offer insights into what we can expect in 2025.
https://securelist.com/ksb-apt-predictions-2025/114582/
Webinar: Internetkriminalität - Betrugsfallen & Fakes im Internet
Dieses Webinar informiert Sie über gängige Betrugsfallen im Internet (Abo-Fallen, Fake Shops, Kleinanzeigenbetrug, Scamming & Co.) und zeigt, wie Sie diese erkennen können. Nehmen Sie kostenlos teil: Montag, 9. Dezember 2024, 18:30 - 20:00 Uhr via zoom.
https://www.watchlist-internet.at/news/webinar-internetkriminalitaet-betrugsfallen-fakes-im-internet/
Vulnerabilities
Security updates for Monday
Security updates have been issued by Debian (ansible, chromium, ghostscript, glib2.0, intel-microcode, and kernel), Fedora (dotnet9.0, needrestart, php, and python3.6), Oracle (cups, kernel, osbuild-composer, podman, python3.12-urllib3, squid, and xerces-c), Red Hat (buildah, edk2, gnome-shell, haproxy, kernel, kernel-rt, libvpx, pam, python3.11-urllib3, python3.12-urllib3, qemu-kvm, rhc-worker-script, squid:4, and tigervnc), Slackware (php), SUSE (chromedriver, chromium, dcmtk, govulncheck-vulndb, iptraf-ng, and traefik2), and Ubuntu (linux-oracle and openjdk-23).
https://lwn.net/Articles/999597/
UmweltOffice: SQL Injection in Siempelkamp NIS UmweltOffice <7.4.3 (SYSS-2024-074)
https://www.syss.de/pentest-blog/sql-injection-in-siempelkamp-nis-umweltoffice
F5: K000148495: libssh vulnerability CVE-2023-1667
https://my.f5.com/manage/s/article/K000148495