End-of-Day report
Timeframe: Freitag 09-08-2024 18:00 - Montag 12-08-2024 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
Passwortmanager und VPN-Apps: Klartextpasswörter aus Prozessspeicher gelesen
Passwörter landen bei der Verarbeitung zwangsläufig im Speicher. Bei einigen Anwendungen verbleiben sie dort aber zu lange, was die Angriffsfläche vergrößert.
https://www.golem.de/news/passwortmanager-und-vpn-apps-klartextpasswoerter-aus-prozessspeicher-gelesen-2408-187937.html
Verschlüsselung ausgehebelt: Forscher übernimmt Kontrolle über Geldautomaten
So manch ein Hacker träumt davon, die Software von Geldautomaten zu knacken, um sich beliebig viel Bargeld auszahlen zu lassen. Einem Forscher ist wohl genau das gelungen. [..] Für einen erfolgreichen Angriff ist nach Angaben des Sicherheitsforschers allerdings ein physischer Zugang zum jeweiligen Geldautomaten erforderlich, "bei dem man den oberen Teil des Geldautomaten öffnet, die Festplatte herausnimmt und dann den Inhalt der Festplatte manipuliert".
https://www.golem.de/news/verschluesselung-ausgehebelt-forscher-uebernimmt-kontrolle-ueber-geldautomaten-2408-187951.html
Experts Uncover Severe AWS Flaws Leading to RCE, Data Theft, and Full-Service Takeovers
Cybersecurity researchers have discovered multiple critical flaws in Amazon Web Services (AWS) offerings that, if successfully exploited, could result in serious consequences. [..] Following responsible disclosure in February 2024, Amazon addressed the shortcomings over several months from March to June. The findings were presented at Black Hat USA 2024.
https://thehackernews.com/2024/08/experts-uncover-severe-aws-flaws.html
Living off the land with Bluetooth PAN
Just like in the living off the land native SSH blog post, this is not a new and clever method of attack, rather it is using tools that are built-in to Windows to present an unexpected vector for access to networks that could mask many of the common tools used to assess a network. [..] Look at disabling these using Intune / Group Policy configuration policies. If there is a justification for their use, consider monitoring the usage of these tools in your environment.
https://www.pentestpartners.com/security-blog/living-off-the-land-with-bluetooth-pan/
BlackHat 2024: Remote Code Execution-Angriff auf M365 Copilot per E-Mail
Auf der BlackHat 2024 hat Michael Bargury RCE-Angriffe auf M365 Copilot gezeigt - eine E-Mail reicht, um Sensitives zu suchen. Insgesamt stellt Bargury fünf verschiedene Angriffsmethoden auf Microsofts AI-Lösungen vor. Hier mal ein kurzer Abriss zu diesem Thema.
https://www.borncity.com/blog/2024/08/11/blackhat-2024-remote-code-execution-angriff-auf-m365-copilot-per-e-mail/
Ongoing Social Engineering Campaign Refreshes Payloads
On June 20, 2024, Rapid7 identified multiple intrusion attempts by threat actors utilizing Techniques, Tactics, and Procedures (TTPs) that are consistent with an ongoing social engineering campaign being tracked by Rapid7. [..] The initial lure being utilized by the threat actors remains the same: an email bomb followed by an attempt to call impacted users and offer a fake solution.
https://www.rapid7.com/blog/post/2024/08/12/ongoing-social-engineering-campaign-refreshes-payloads/
Google Patches Critical Vulnerabilities in Quick Share After Researchers- Warning
A groundbreaking presentation at Defcon 32 has revealed critical flaws in Google-s Quick Share, a peer-to-peer data-transfer utility for Android, Windows, and Chrome operating systems. Quick Share boasts impressive versatility, utilizing Bluetooth, Wi-Fi, Wi-Fi Direct, WebRTC, and NFC to facilitate peer-to-peer file transfers however, these protocols are not designed for file transfers but rather to establish stable device connections for communication purposes.
https://hackread.com/google-patches-quick-share-vulnerabilities-warning/
Mit Domain-Based Authentication in unternehmensinterne Gruppen eindringen
Was ergeben ein uraltes Protokoll, eine millionenfach benutzte Bibliothek und eine Authentifizierung per Maildomain? Zugang zum internen Github-Netzwerk.
https://heise.de/-9830944
Vulnerabilities
Neue Schwachstellen in OpenVPN
Microsoft hat in den OpenVPN-Clients von Android, iOS, macOS, BSD und Windows eine Reihe Schwachstellen gefunden. Angreifer könnten einige der entdeckten Schwachstellen kombinierte, um eine remote ausnutzbare Angriffskette zu erhalten, die eine Remotecodeausführung (RCE) und lokaler Privilegienerweiterung (LPE) umfasst. Die Schwachstellen sollten durch Updates beseitigt werden, wobei man teilweise auf Firmware diverser Gerätehersteller angewiesen ist.
https://www.borncity.com/blog/2024/08/10/neue-schwachstellen-in-openvpn/
Sicherheitslücken: Netzwerkmonitoringtool Zabbix kann Passwörter leaken
In aktuellen Ausgaben des Netzwerkmonitoringtools Zabbix haben die Entwickler insgesamt acht Sicherheitslücken geschlossen. Nach erfolgreichen Attacken können Angreifer etwa Passwörter im Klartext einsehen oder sogar Schadcode ausführen.
https://heise.de/-9832311
Industrial Remote Access Tool Ewon Cosy+ Vulnerable to Root Access Attacks
Security vulnerabilities have been disclosed in the industrial remote access solution Ewon Cosy+ that could be abused to gain root privileges to the devices and stage follow-on attacks.
https://thehackernews.com/2024/08/industrial-remote-access-tool-ewon-cosy.html
FreeBSD Releases Urgent Patch for High-Severity OpenSSH Vulnerability
The maintainers of the FreeBSD Project have released security updates to address a high-severity flaw in OpenSSH that attackers could potentially exploit to execute arbitrary code remotely with elevated privileges. The vulnerability, tracked as CVE-2024-7589, carries a CVSS score of 7.4 out of a maximum of 10.0, indicating high severity.
https://thehackernews.com/2024/08/freebsd-releases-urgent-patch-for-high.html
Security updates for Monday
Security updates have been issued by AlmaLinux (httpd:2.4), Fedora (chromium, firefox, frr, neatvnc, nss, python-setuptools, and python3.13), Gentoo (AFLplusplus, Bundler, dpkg, GnuPG, GPAC, libde265, matio, MuPDF, PHP, protobuf, protobuf-python, protobuf-c, rsyslog, Ruby on Rails, and runc), Red Hat (389-ds-base, container-tools:rhel8, and httpd:2.4), SUSE (bind and ca-certificates-mozilla), and Ubuntu (linux-azure).
https://lwn.net/Articles/985336/
Warnung vor Microsoft Office Spoofing-Schwachstelle CVE-2024-38200
Microsoft hat zum 8. August 2024 (mit Update vom 10. August 2024) eine Warnung von einer ungepatchten Spoofing-Schwachstelle CVE-2024-38200 veröffentlicht. Die Schwachstelle ist in allen Office-Versionen (Office 2016 - 2021, Office 365) enthalten. [..] Angreifer haben die Möglichkeit, über eine spezielle oder kompromittierte Webseite eine Datei bereitzustellen, um die Schwachstelle auszunutzen. Über die Sicherheitslücke könnten NTLM-Hashes gegenüber Remote-Angreifern offengelegt werden.
https://www.borncity.com/blog/2024/08/12/warnung-vor-microsoft-office-spoofing-schwachstelle-cve-2024-38200/
Schwachstelle "Ghostwrite" erlaubt DRAM-Zugriff in RISC-V CPUs
Deutsche Forscher fanden Schwachstellen in einzelnen RISC-V CPUs von T-Head Semiconductors. Die flexible, junge Architektur entpuppt sich dabei als Risiko. [..] Die entdeckten Schwachstellen können allerdings auch nach ihrer Offenlegung nicht mit Mikrocode oder einem Softwareupdate behoben werden, denn sie befinden sich in der Schaltung der Hardware.
https://heise.de/-9830926
B&R: 2024-08-09: Cyber Security Advisory - B&R Automation Runtime Several vulnerabilities in B&R Automation Runtime
https://www.br-automation.com/fileadmin/SA24P011-d8aaf02f.pdf
Asterisk Security Advisories
https://www.asterisk.org/downloads/security-advisories/
GitLab Patch Release: 17.2.2, 17.1.4, 17.0.6
https://about.gitlab.com/releases/2024/08/07/patch-release-gitlab-17-2-2-released/