From richter at cert.at Mon Jan 20 17:42:24 2020 From: richter at cert.at (Stephan Richter) Date: Mon, 20 Jan 2020 17:42:24 +0100 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_Microsoft_?= =?utf-8?q?Internet_Explorer_-_aktiv_ausgen=C3=BCtzt=2C_Workarounds_verf?= =?utf-8?b?w7xnYmFy?= Message-ID: <27c02899-d214-08b1-3659-8c7de65405e9@cert.at> 20. Jänner 2020 Beschreibung Microsoft hat ausserhalb des monatlichen Patch-Zyklus ein Security Advisory mit Workarounds für eine kritische Sicherheitslücke in der Scripting Engine des Internet Explorers veröffentlicht. Diese Schwachstelle soll bereits aktiv ausgenützt werden. CVE-Nummer: CVE-2020-0674 CVSS Base Score: 7.5 (laut CERT/CC) Auswirkungen Durch Ausnützen der kritischen Lücke kann ein Angreifer laut Microsoft beliebigen Code auf betroffenen Systemen ausführen (mit den Rechten des angemeldeten Benutzers). Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet. Betroffene Systeme Systeme, auf denen folgende Software von Microsoft installiert ist: * Microsoft Internet Explorer in den Versionen 9, 10, 11 Abhilfe * Einsatz eines alternativen Browsers * Anwenden der Workarounds Hinweis: Dies führt unter Umständen zu Einschränkungen der Funktionalität von Komponenten und Features, welche die Bibliothek jscript.dll benötigen, und muss vor Einspielen der Patches - sobald diese verfügbar sind - wieder rückgängig gemacht werden. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"- Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. __________________________________________________________________ Informationsquelle(n): Microsoft Security Advisory (Englisch) https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001 Vulnerability Note von CERT/CC (Englisch) https://kb.cert.org/vuls/id/338824/ Weiterführende Informationen (Englisch) https://www.reddit.com/r/blueteamsec/comments/equ1hq/cve20200674_microsoft_internet_explorer_0day/ -- // Stephan Richter - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From robl at cert.at Wed Mar 11 09:47:43 2020 From: robl at cert.at (Dimitri Robl) Date: Wed, 11 Mar 2020 09:47:43 +0100 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_Microsoft_?= =?utf-8?q?SMBv3_-_Workarounds_verf=C3=BCgbar?= Message-ID: <9c89b875-061b-c27f-b987-68086fe9f119@cert.at> 03. März 2020 Beschreibung Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory mit Workarounds für eine kritische Sicherheitslücke in Microsoft Server Message Block 3.1.1 (SMBv3) veröffentlicht. CVE-Nummern: CVE-2020-0796 CVSS Base Score: 10.0 (laut CERT/CC) Auswirkungen Die Lücke kann über das Netzwerk ausgenützt werden und ermöglicht die Ausführung von beliebigen Befehlen mit SYSTEM Rechten. Außerdem ist es vermutlich möglich, die Schwachstelle wurmartig zu verbreiten, d.h. eine Übertragung auf andere Geräte ist sehr einfach. Betroffene Systeme Betroffen sind SMBv3 Clients und Server: * Windows 10 Version 1903 (32bit, 64bit, ARM64) * Windows 10 Version 1909 (32bit, 64bit, ARM64) * Windows Server, version 1903 (Server Core installation) * Windows Server, version 1909 (Server Core installation) Abhilfe * Anwenden des Workarounds wie im unten verlinkten Advisory von Microsoft beschrieben. Achtung: Laut den Angaben von Microsoft schützt dieser Workaround nur Server, für Clients ist noch kein Workaround verfügbar. Um sich vor Angriffen von außen zu schützen, ist es zusätzlich sinnvoll, Port 445 auf der Perimeter-Firewall zu blockieren. Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. Informationsquelle(n): Microsoft Advisory (Englisch) https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005 Microsoft Advisory (Deutsch) https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/adv200005 Vulnerability Note von CERT/CC (Englisch) https://www.kb.cert.org/vuls/id/872016/ -- // Dimitri Robl - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From waldner at cert.at Tue Mar 24 10:30:10 2020 From: waldner at cert.at (Robert Waldner) Date: Tue, 24 Mar 2020 10:30:10 +0100 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_Microsoft_?= =?utf-8?q?Windows_=28Adobe_Type_Manager_Library=29_-_Workarounds_verf?= =?utf-8?b?w7xnYmFy?= Message-ID: <0233227a-f6af-39ec-4334-d9bac17e831c@cert.at> 24. März 2020 Beschreibung Microsoft hat außerhalb des monatlichen Patch-Zyklus ein Security Advisory für eine kritische Sicherheitslücke in der Adobe Type Manager Library veröffentlicht. Laut Microsoft und CERT/CC wird die Schwachstelle bereits aktiv ausgenutzt, an einem Patch, der rechtzeitig zum "Patch Tuesday" am 14. April bereit sein soll wird gearbeitet - ein Out-of-Band-Patch ist derzeit nicht geplant. Workarounds sind verfügbar. CVE-Nummer: N/A CVSS Base Score: 10.0 (laut CERT/CC) Auswirkungen Durch Ausnützen der Lücke kann ein Angreifer laut Microsoft beliebigen Code auf den betroffenen Systemen ausführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet. Betroffene Systeme Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server. Abhilfe Anwenden der Workarounds. Einspielen der entsprechenden Updates/Patches, sobald diese zur Verfügung stehen (voraussichtlich zum nächsten "Patch Tuesday" am 14. April 2020. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. __________________________________________________________________ Informationsquelle(n): Microsoft Security Advisory ADV200006 (englisch) https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006 CERT/CC Vulnerability Note VU#354840 (englisch) https://kb.cert.org/vuls/id/354840/ Meldung bei Heise Security https://heise.de/-4688631 -- // CERT Austria - Robert Waldner // http://www.cert.at/ - T: +43 1 5056416 78 // Eine Initiative der nic.at GmbH // http://www.nic.at/ - Firmenbuchnummer172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From waldner at cert.at Thu Apr 23 11:52:33 2020 From: waldner at cert.at (Robert Waldner) Date: Thu, 23 Apr 2020 11:52:33 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_Apple_Mail?= =?utf-8?q?_App_=28MobileMail/Maild=29_f=C3=BCr_iOS?= Message-ID: <1be0cc41-e4d6-c9b8-a98e-5c64755223c7@cert.at> 23. April 2020 Beschreibung Das IT-Security Unternehmen ZecOps hat Informationen zu Schwachstellen in der Standard Mail App für Apple iOS (IPhone, IPad etc.) veröffentlicht, für die es noch keine breit verfügbaren Patches gibt. Die Schwachstellen werden zumindest in gezielten Angriffen bereits seit 2018 aktiv ausgenützt. Auswirkungen Durch erfolgreiches Ausnützen der Schwachstelle ist es Angreifern prinzipiell möglich, beliebigen Code auf betroffenen Geräten auszuführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet. Betroffene Systeme Geräte mit Apple iOS in Versionen 6 bis 13, auf denen die Standard Mail App genutzt wird Details über die hier relevanten Unterschiede zwischen iOS 12 und 13 sind im Advisory von ZecOps zu finden. Abhilfe Einspielen entsprechender Patches, sobald verfügbar. Bis dahin empfehlen wir, auf alternative Mail Apps bzw. Webmail auszuweichen: * löschen der Apple Mail App + eventuell reicht auch eine Sperre via MDM oder Parental Controls, wir haben diese Methode aber nicht verifiziert * auf eine andere Email App (zB Microsoft Outlook für iOS) oder Webmail (für Apple Email-Accounts via https://icloud.com/ verfügbar) ausweichen Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. __________________________________________________________________ Informationsquelle(n): Advisory von ZecOps (englisch) https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/ Artikel bei heise.de https://heise.de/-4707901 -- // CERT Austria - Robert Waldner // http://www.cert.at/ - T: +43 1 5056416 78 // Eine Initiative der nic.at GmbH // http://www.nic.at/ - Firmenbuchnummer172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From richter at cert.at Wed Jul 1 17:49:32 2020 From: richter at cert.at (Stephan Richter) Date: Wed, 1 Jul 2020 17:49:32 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_F5_BIG-IP_?= =?utf-8?q?-_Patches_und_Workarounds_verf=C3=BCgbar?= Message-ID: <485af2d1-8020-9d37-3b82-59386ce10383@cert.at> 1. Juli 2020 Beschreibung Der Hersteller F5 hat ein Security Advisory zu einer kritischen Lücke im Traffic Management User Interface (TMUI/Configuration Utility) seines Produkts BIG-IP veröffentlicht. CVE-Nummer: CVE-2020-5902 CVSSv3 Score: 10.0 (laut F5) Auswirkungen Durch Ausnützen der Lücke kann laut F5 ein Angreifer mit Zugriff auf das TMUI beliebige Systembefehle sowie Java-Code ausführen, Dateien erstellen oder löschen und Services deaktivieren. Ein erfolgreicher Angriff kann zu einer vollständigen Kompromittierung des Systems führen. Betroffene Systeme BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) Versionen 15.0.0, 15.1.0 Versionen 14.1.0 - 14.1.2 Versionen 13.1.0 - 13.1.3 Versionen 12.1.0 - 12.1.5 Versionen 11.6.1 - 11.6.5 Abhilfe Anwenden der Workarounds. Einspielen der entsprechenden Updates/Patches. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. __________________________________________________________________ Informationsquelle(n): F5 Security Advisory K52145254 (englisch) https://support.f5.com/csp/article/K52145254 -- // Stephan Richter - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From pribitzer at cert.at Tue Jul 14 15:11:33 2020 From: pribitzer at cert.at (Thomas Pribitzer) Date: Tue, 14 Jul 2020 15:11:33 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_SAP_NetWea?= =?utf-8?q?ver_AS_Java_-_Patches_verf=C3=BCgbar?= Message-ID: <213c86bb-dffe-397a-fbcc-384b6bb70072@cert.at> 14. Juli 2020 Beschreibung SAP hat einen Patch zur Behebung einer kritischen Sicherheitslücke in der Komponente LM Configuration Wizard des SAP NetWeaver Application Server Java veröffentlicht. CVE-Nummer: CVE-2020-6287 CVSS Base Score: 10.0 Auswirkungen Ein erfolgreicher Angriff ermöglicht entfernten, unauthentifizierten AngreiferInnen potentiell das Anlegen eines SAP-Benutzers mit maximalen Zugriffsrechten sowie das Ausführen von Befehlen mit den Rechten des SAP-Service-Accounts im darunterliegenden Betriebssystem. Betroffene Systeme Diese Sicherheitslücke betrifft potentiell alle SAP-Anwendungen die auf SAP NetWeaver Java AS Version 7.3 bis einschließlich Version 7.5 laufen. Abhilfe Einspielen der entsprechenden Updates/Patches, auch Systeme welche nicht aus öffentlichen Netzwerken erreichbar sind sollten gepatcht werden. AnwenderInnen, denen ein Upgrade auf eine nicht verwundbare Version derzeit nicht möglich ist, wird geraten den LM Configuration Wizard zu deaktivieren. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. _______________________________________________________________________________________ Informationsquelle(n): CISA Alert AA20-195A (englisch) https://us-cert.cisa.gov/ncas/alerts/aa20-195a Meldung auf heise.de https://www.heise.de/security/meldung/Patchday-Kritische-Sicherheitsluecke-bedroht-40-000-SAP-Kunden-4843322.html SAP Security Patch Day Notes (englisch) https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 ________________________________________________________________________________________ -- // Thomas Pribitzer - T: +43 1 5056416 718 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From pribitzer at cert.at Wed Jul 15 15:12:56 2020 From: pribitzer at cert.at (Thomas Pribitzer) Date: Wed, 15 Jul 2020 15:12:56 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_Microsoft_?= =?utf-8?q?Windows_DNS_Server_-_Patches_und_Workarounds_verf=C3=BCgbar?= Message-ID: <0b9ac105-ecc7-0f42-85cf-05325647f003@cert.at> 15. Juli 2020 Beschreibung Microsoft hat zum Patch Tuesday zeitgleich mit den zugehörigen Patches ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Windows DNS Server veröffentlicht, bei der DNS-Anfragen fehlerhaft verarbeitet werden. CVE-Nummer: CVE-2020-1350 CVSS Base Score: 10.0 Auswirkungen Ein erfolgreicher Angriff ermöglicht AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und kann möglicherweise zu einer vollständigen Kompromittierung des betroffenen Systems führen. Die Sicherheitslücke wird als wurmfähig eingestuft und es besteht die Möglichkeit, dass sich Schadsoftware von einem kompromittierten Server ohne weitere Benutzerinteraktion verbreitet. Betroffene Systeme Betroffen sind alle Versionen von Windows Server 2004 bis Windows Server 2019 sowie Windows Server 1903 und 1909. Abhilfe Einspielen der von Microsoft bereitgestellten Patches. Diese sind über die automatische Windows Update-Funktion verfügbar, AdministratorInnen sollten sichergehen, auch Systeme, welche nicht aus öffentlichen Netzwerken erreichbar sind zu patchen. Organisationen, denen das Einspielen der Sicherheitsupdates derzeit nicht möglich ist, wird geraten, die Workarounds aus dem Microsoft Advisory anzuwenden. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. ___________________________________________________________________________ Informationsquelle(n): Microsoft Advisory https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2020-1350 Report von Checkpoint zu SIGRed (englisch) https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ Meldung bei heise.de https://www.heise.de/security/meldung/Patchday-Trojaner-koennte-von-einem-zum-naechsten-Windows-DNS-Server-springen-4844150.html Meldung bei The Hacker News (englisch) https://thehackernews.com/2020/07/windows-dns-server-hacking.html ___________________________________________________________________________ -- // Thomas Pribitzer - T: +43 1 5056416 718 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From pribitzer at cert.at Fri Sep 11 13:20:36 2020 From: pribitzer at cert.at (Thomas Pribitzer) Date: Fri, 11 Sep 2020 13:20:36 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_Microsoft_?= =?utf-8?q?Exchange_Server_-_Patches_verf=C3=BCgbar?= Message-ID: 11. September 2020 Beschreibung Microsoft hat zum Patch Tuesday ein Advisory zu einer kritischen Sicherheitslücke in Microsoft Exchange Server veröffentlicht, bei der unter bestimmten Voraussetzungen das Ausführen von beliebigem Code ermöglicht wird. Proof-of-Concept-Code wurde bereits veröffentlicht. CVE-Nummern: CVE-2020-16875 CVSS Base Score: 8.4 Auswirkungen Eine unzureichende Validierung im New-DlpPolicy cmdlet von MS Exchange Server erlaubt aktiven User-Accounts mit der Rolle "Data Loss Prevention" das Erstellen von potentiell bösartigen Policy-Templates. Diese ermöglichen entfernten, authentifizierten AngreiferInnen potentiell das Ausführen von beliebigem Code mit System-Rechten und dadurch die vollständige Übernahme des Systems. Betroffene Systeme Betroffen sind laut Microsoft die folgenden Versionen: Microsoft Exchange Server 2016 Cumulative Update 16 Microsoft Exchange Server 2016 Cumulative Update 17 Microsoft Exchange Server 2019 Cumulative Update 5 Microsoft Exchange Server 2019 Cumulative Update 6 Abhilfe Einspielen der von Microsoft bereitgestellten Patches. Diese sind über die automatische Windows Update-Funktion verfügbar. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. ____________________________________________________________ Informationsquelle(n): Microsoft Advisory (englisch) https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875 Advisory des ursprünglichen Reporters an Microsoft und PoC-Code (englisch) https://srcincite.io/advisories/src-2020-0019/ -- // Thomas Pribitzer - T: +43 1 5056416 718 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From robl at cert.at Wed Nov 4 09:30:46 2020 From: robl at cert.at (Dimitri Robl) Date: Wed, 4 Nov 2020 09:30:46 +0100 Subject: [Warning] Kritische RCE Schwachstelle in Oracle WebLogic Server Message-ID: 04. November 2020 Beschreibung Mehrere Versionen des Oracle WebLogic Servers weisen eine via HTTP(S) ausnutzbare Remote Code Execution (RCE) auf. Für einen Angriff ist keinerlei Authentifikation nötig. Weitere Details gehen aus dem öffentlichen Oracle Advisory nicht hervor. Laut Oracle steht die Lücke jedoch mit der im Oktober geschlossenen Lücke CVE-2020-14882 in Verbindung, bei der es sich ebenfalls um eine RCE via HTTP(S) handelt und für die bereits (mindestens) ein öffentlicher Exploit verfügbar ist. CVSS3 Score: 9.8 (laut Oracle) CVE-Nummer: CVE-2020-14750 Auswirkungen Angreifende können Code auf dem Webserver ausführen. Betroffene Systeme Oracle WebLogic Server, Versionen: * 10.3.6.0.0 * 12.1.3.0.0 * 12.2.1.3.0 * 12.2.1.4.0 * 14.1.1.0.0 Abhilfe Updates stehen zur Verfügung und sind im unten verlinkten Advisory zu finden. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"- Features von Software zu nutzen , parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. Informationsquelle(n): Oracle Advisory (englisch) https://www.oracle.com/security-alerts/alert-cve-2020-14750.html Heise Artikel https://www.heise.de/news/Eine-Luecke-kommt-selten-allein-Oracle-meldet-weitere-Gefahr-fuer-WebLogic-Server-4945084.html Oracle Oktober 2020 Patchday (englisch) https://www.oracle.com/security-alerts/cpuoct2020.html PoC Exploit für CVE-2020-14882 (englisch) https://packetstormsecurity.com/files/159769/Oracle-WebLogic-Server-Remote-Code-Execution.html -- // Dimitri Robl - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: