End-of-Day report
Timeframe: Dienstag 08-04-2025 18:00 - Mittwoch 09-04-2025 18:00
Handler: Felician Fuchs
Co-Handler: Michael Schlagenhaufer
News
Regierung will Messenger-Überwachung vor dem Sommer beschließen
Das Innenministerium hat im Rahmen der Regierungsklausur im Kanzleramt den Begutachtungsentwurf zur Messenger-Überwachung vorgelegt. Beschlossen werden soll die Messenger-Überwachung noch vor dem Sommer. Wirksam werden soll sie aber erst mit 2027.
https://futurezone.at/netzpolitik/messenger-ueberwachung-whatsapp-oesterreich-regierung-chat-staatstrojaner-oevp-spoe-neos-pegasus/403030634
Obfuscated Malicious Python Scripts with PyArmor, (Wed, Apr 9th)
Obfuscation is very important for many developers. They may protect their code for multiple reasons like copyright, anti-cheat (games), or to protect their code from being reused. If an obfuscated program does not mean automatically that it is malicious, its often a good sign. For malware developers, obfuscation helps bypass many static security controls and slows down the reverse analysis process. Yesterday, I spotted some malicious Python scripts that were protected using the same technique: PyArmor.
https://isc.sans.edu/diary/rss/31840
Vorsicht, Abo-Falle: SPAR verlost kein Besteckset von WMF!
In vielen E-Mail-Postfächern taucht aktuell eine angeblich von SPAR stammende Nachricht auf. Das Handelsunternehmen soll ein Besteckset für zwölf Personen von WMF verlosen. Tatsächlich versteckt sich hinter dieser Masche nichts anderes als eine Abo-Falle.
https://www.watchlist-internet.at/news/abo-falle-spar-besteckset/
The Renaissance of NTLM Relay Attacks: Everything You Need to Know
While there are many great resources on this old attack, I wanted to consolidate everything you need to know about NTLM into a single post, allowing it to be as long as needed, and I hope everyone will be able to learn something new.
https://posts.specterops.io/the-renaissance-of-ntlm-relay-attacks-everything-you-need-to-know-abfc3677c34e
OpenSSL 3.5.0 enthält nun Post-Quanten-Verfahren
OpenSSL fügt mit der neuen LTS-Version 3.5.0 seiner Bibliothek die Post-Quanten-Verfahren ML-KEM, ML-DSA und SLH-DSA hinzu.
https://heise.de/-10345122
OpenSSH 10 setzt auf Standards für quantensicheren Schlüsselaustausch
Der seit Jahren abgekündigte DSA-Algorithmus verschwindet nun vollständig aus der sicheren Remote-Shell, seine Nachfolge tritt MLKEM768 an.
https://heise.de/-10345975
Vulnerabilities
Microsoft-Patchday behebt aktiv ausgenutzte Sicherheitslücke
Microsoft hat zum April-Patchday (8. April) Aktualisierungen für mehrere kritische Schwachstellen in ihren Produkten veröffentlicht. Eine dieser Lücken wird laut dem Unternehmen bereits aktiv ausgenutzt. Konkret handelt es sich dabei um die Sicherheitslücke CVE-2025-29824, welche mit einem CVSS-Wert von 7.8 bewertet ist. Durch das Ausnutzen eines sogenannten Use-after-free-Bugs können Angreifer:innen mit einfachen Benutzer:innenrechten vollständige Systemrechte erlangen.
https://www.cert.at/de/aktuelles/2025/4/microsoft-patchday-behebt-aktiv-ausgenutzte-sicherheitslucke
Microsoft Security Update Summary (8. April 2025)
Microsoft hat am 8. April 2025 Sicherheitsupdates für Windows-Clients und -Server, für Office - sowie für weitere Produkte - veröffentlicht. Die Sicherheitsupdates beseitigen 121 Schwachstellen (CVEs), eine davon wurde als 0-day klassifiziert.
https://www.borncity.com/blog/2025/04/09/microsoft-security-update-summary-8-april-2025/
Whatsapp-Lücke gefährdet Windows-Nutzer
Konkret geht es um die Sicherheitslücke CVE-2025-30401, die mit einem CVSS-Wert von 6,7 als mittelschwer eingestuft ist. Gründe für die vergleichsweise milde Einstufung sind unter anderem eine hohe Angriffskomplexität sowie eine erforderliche Nutzerinteraktion. Dennoch sind die Ausnutzbarkeit sowie die möglichen Auswirkungen der Schwachstelle nicht zu unterschätzen.
https://www.golem.de/news/malware-im-anmarsch-whatsapp-luecke-gefaehrdet-windows-nutzer-2504-195165.html
CISA Warns of CentreStacks Hard-Coded MachineKey Vulnerability Enabling RCE Attacks
The vulnerability, tracked as CVE-2025-30406 (CVSS score: 9.0), concerns a case of a hard-coded cryptographic key that could be abused to achieve remote code execution. It has been addressed in version 16.4.10315.56368 released on April 3, 2025.
https://thehackernews.com/2025/04/cisa-warns-of-centrestacks-hard-coded.html
2025-04-09 Juniper Security Advisories
Juniper has released 25 new security advisories.
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&f:ctype=[Security%20Advisories]
Security updates for Wednesday
Security updates have been issued by Debian (lemonldap-ng, libbssolv-perl, and phpmyadmin), Fedora (augeas, mariadb10.11, and thunderbird), Oracle (gimp, libxslt, python3.11, python3.12, tomcat, and xorg-x11-server), Red Hat (expat, grafana, opentelemetry-collector, and webkit2gtk3), SUSE (azure-cli-core, doomsday, kernel, and poppler), and Ubuntu (dotnet8, dotnet9, erlang, and poppler).
https://lwn.net/Articles/1016923/
New Adobe Security Update Fixes Critical Exploits - Don-t Delay Your Update
https://thecyberexpress.com/adobe-security-update-fixes-vulnerabilities/
Joomla [20250401] - Framework - SQL injection vulnerability in quoteNameStr method of Database package
https://developer.joomla.org/security-centre/963-20250401-framework-sql-injection-vulnerability-in-quotenamestr-method-of-database-package.html
Joomla [20250402] - Core - MFA Authentication Bypass
https://developer.joomla.org/security-centre/964-20250402-core-mfa-authentication-bypass.html