Tageszusammenfassung - 19.08.2024

End-of-Day report

Timeframe: Freitag 16-08-2024 18:00 - Montag 19-08-2024 18:00 Handler: Michael Schlagenhaufer Co-Handler: n/a

News

Nachbetrachtung: Windows und die TCP-IP-Schwachstelle CVE-2024-38063

Zum 13. August 2024 wurde die 0-day-Schwachstelle CVE-2024-38063 in Windows bekannt. Es handelt sich um eine Remote-Code-Execution-Schwachstelle in der TCP/IP-Implementierung von Windows steckt. Angreifer können über IPv6-Pakete einen Host kompromittieren und dort Code ausführen. Weben der Bewertung mit dem CVEv3 Score 9.8 (critical, "Exploitation More Likely") empfiehlt Redmond Administratoren momentan IPv6 zu deaktivieren, hat aber auch Sicherheitsupdates für Windows bereitgestellt. Hier sollten Administratoren also reagieren.

https://www.borncity.com/blog/2024/08/16/nachbetrachtung-windows-und-die-tcp-ip-schwachstelle-cve-2024-38063/


Technical Analysis: CVE-2024-38021

Recently, Morphisec researchers discovered a vulnerability in Microsoft Outlook that can lead to remote code execution (RCE). This vulnerability, identified as CVE-2024-38021, highlights a significant security flaw within the Microsoft Outlook application, potentially allowing attackers to execute arbitrary code without requiring prior authentication.

https://blog.morphisec.com/technical-analysis-cve-2024-38021


New Mad Liberator gang uses fake Windows update screen to hide data theft

A new data extortion group tracked as Mad Liberator is targeting AnyDesk users and runs a fake Microsoft Windows update screen to distract while exfiltrating data from the target device. [..] It is unclear how the threat actor selects its targets but one theory, although yet to be proven, is that Mad Liberator tries potential addresses (AnyDesk connection IDs) until someone accepts the connection request.

https://www.bleepingcomputer.com/news/security/new-mad-liberator-gang-uses-fake-windows-update-screen-to-hide-data-theft/


Chrome will redact credit cards, passwords when you share Android screen

While the flag doesn't work at the moment, it is supposed to hide sensitive form fields present on the page by redacting the entire screen. It's unclear when the feature will be rolled out to everyone in Chrome for Android, but you'll be able to try the feature in Chrome Canary in the next few weeks.

https://www.bleepingcomputer.com/news/google/chrome-will-redact-credit-cards-passwords-when-you-share-android-screen/


AMD knickt ein: Ryzen 3000 erhält nun doch Patch gegen Sinkclose-Lücke

Ursprünglich wollte AMD Ryzen-3000-CPUs nicht gegen die Sinkclose-Lücke patchen. Nach reichlich Unmut in der Community folgt nun die Kehrtwende.

https://www.golem.de/news/amd-knickt-ein-ryzen-3000-erhaelt-nun-doch-patch-gegen-sinkclose-luecke-2408-188144.html


Verbesserung der Netzwerksicherheit: Überwachung der Client-Kommunikation mit Velociraptor

SEC Defence, die Managed Incident Response-Einheit von SEC Consult, hat eine Reihe von Velociraptor-Artefakten entwickelt, die es ermöglichen, die aktuelle Netzwerkkommunikation auf registrierten Clients zu überwachen und bei bestimmten Verbindungen zu alarmieren, z. B. zu bekannten bösartigen IP-Adressen oder Verbindungen, die von bekannten bösartigen Prozessen erstellt wurden.

https://sec-consult.com/de/blog/detail/verbesserung-der-netzwerksicherheit-ueberwachung-der-client-kommunikation-mit-velociraptor/


Xeon Sender Tool Exploits Cloud APIs for Large-Scale SMS Phishing Attacks

Malicious actors are using a cloud attack tool named Xeon Sender to conduct SMS phishing and spam campaigns on a large scale by abusing legitimate services."Attackers can use Xeon to send messages through multiple software-as-a-service (SaaS) providers using valid credentials for the service providers," SentinelOne security researcher Alex Delamotte said in a report shared with The Hacker News.

https://thehackernews.com/2024/08/xeon-sender-tool-exploits-cloud-apis.html


Microsoft Azure: Ab 15. Oktober 2024 MFA für Administratoren verpflichtend, aber "Aufschub" möglich

Microsoft hat gerade im M365 Admin-Nachrichten-Center bekannt gegeben, dass man bei Azure ab dem 15.10.2024 die Authentifizierung der Administratoren über MFA verlangt. Redmond gewährt aber Administratoren die Möglichkeit, diese Verpflichtung um insgesamt 5 Monate zu verschieben.

https://www.borncity.com/blog/2024/08/17/microsoft-azure-ab-15-oktober-2024-mfa-fr-administratoren-verpflichtend-aber-aufschub-mglich/


Unmasking Styx Stealer: How a Hacker-s Slip Led to an Intelligence Treasure Trove

The case of Styx Stealer is a compelling example of how even sophisticated cybercriminal operations can slip up due to basic security oversights. The creator of Styx Stealer revealed his personal details, including Telegram accounts, emails, and contacts, by debugging the stealer on his own computer with a Telegram bot token provided by a customer involved in the Agent Tesla campaign. This critical OpSec failure not only compromised his anonymity but also provided valuable intelligence about other cybercriminals, including the originator of the Agent Tesla campaign.

https://research.checkpoint.com/2024/unmasking-styx-stealer-how-a-hackers-slip-led-to-an-intelligence-treasure-trove/


"WireServing" Up Credentials: Escalating Privileges in Azure Kubernetes Services

Mandiant disclosed this vulnerability to Microsoft via the MSRC vulnerability disclosure program, and Microsoft has fixed the underlying issue. [..] Adopting a process to create restrictive NetworkPolicies that allow access only to required services prevents this entire attack class. Privilege escalation via an undocumented service is prevented when the service cannot be accessed at all.

https://cloud.google.com/blog/topics/threat-intelligence/escalating-privileges-azure-kubernetes-services/


Bericht: Pixel-Handys mit heimlicher, aber inaktiver Fernwartung ausgeliefert

Pixel-Smartphones wurden auf Wunsch Verizons mit Fernwartungssoftware ausgeliefert. Wenn aktiviert, kann sie unsicheren Code nachladen.

https://heise.de/-9836726


Jetzt patchen! Schadcode-Attacken auf Solarwinds Web Help Desk beobachtet

Angreifer nutzen derzeit eine kritische Schwachstelle Solarwinds Web Help Desk aus. Ein Sicherheitspatch ist verfügbar, kann aber mitunter für Probleme sorgen.

https://heise.de/-9838566


SIM-Swapping bleibt in Deutschland Randphänomen

Zahlreiche Medien warnen vor Schäden durch SIM-Swapping. Die Betrugsmasche bleibt in Deutschland jedoch selten.

https://heise.de/-9839531

Vulnerabilities

Mehrere Sicherheitsschwachstellen in IDOL2 (uciIDOL)

Fünf schwerwiegende Sicherheitsschwachstellen wurden in der Zeiterfassungssoftware IDOL2 (uciIDOL) identifiziert. Sie ermöglichen es, die verschlüsselte Kommunikation zwischen Client und Server vollständig zu kompromittieren. Außerdem erlauben sie Remote Code Execution sowohl auf Client- als auch auf Serverseite.

https://www.syss.de/pentest-blog/mehrere-sicherheitsschwachstellen-in-idol-2-uciidol-syss-2024-048/-049/-050/-051/-052


Security updates for Monday

Security updates have been issued by Debian (python-asyncssh), Fedora (bind, bind-dyndb-ldap, httpd, and tor), SUSE (cosign, cpio, curl, expat, java-11-openjdk, ncurses, netty, netty-tcnative, opera, python-Django, python-Pillow, shadow, sudo, and wpa_supplicant), and Ubuntu (firefox).

https://lwn.net/Articles/986225/


WebKitGTK and WPE WebKit Security Advisory WSA-2024-0004

https://webkitgtk.org/security/WSA-2024-0004.html


F5: K000140732: BIND vulnerability CVE-2024-1737

https://my.f5.com/manage/s/article/K000140732


Kubernetes: CVE-2024-7646

https://github.com/kubernetes/kubernetes/issues/126744