From huemer at cert.at Wed Mar 3 11:00:08 2021 From: huemer at cert.at (Erik Huemer) Date: Wed, 3 Mar 2021 11:00:08 +0100 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcken_in_Microsoft?= =?utf-8?q?_Exchange_Server_-_Patches_verf=C3=BCgbar?= Message-ID: 3. März 2021 Beschreibung Microsoft hat außerhalb des üblichen Update-Zyklus' mehrere Patches für Microsoft Exchange zur Verfügung gestellt. Einige der darin behobenen Sicherheitslücken werden nach Angaben von Microsoft und der IT-Sicherheits-Firma Volexity bereits aktiv ausgenutzt. Es gibt bereits öffentlich verfügbare Skripte, mit denen aus dem öffentlichen Internet erreichbare Exchange Server von außen auf Verwundbarkeit geprüft werden können. Öffentlich verfügbare Exploits zum Ausnutzen der Schwachstellen sind noch nicht bekannt. CVE-Nummern: * CVE-2021-26855 (CVSS Base Score: 9.1): Hierbei handelt es sich um eine SSRF (Server-Side Request Forgery) Schwachstelle, die es AngreiferInnen ermöglicht, den Exchange-Server dazu zu bringen, sich gegen sich selbst zu authentisieren und infolge Zugriff auf sämtliche E-Mail-Postfächer zu erhalten. Für einen erfolgreichen Angriff muss lediglich die externe IP-Adresse des Exchange Servers bekannt sein. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. * CVE-2021-26857 (CVSS Base Score: 7.8): Dies ist eine Deserialisierungsschwachstelle im Unified Messaging Service, die es AngreiferInnen ermöglicht, beliebige Befehle als NT Auhority\SYSTEM auszuführen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. * CVE-2021-26858 (CVSS Base Score: 7.8): Dabei handelt es sich um eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige Dateien auf dem Exchange Server zu erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. * CVE-2021-27065 (CVSS Base Score: 7.8): Dabei handelt es sich ebenfalls um eine Schwachstelle, die es AngreiferInnen ermöglicht, beliebige Dateien auf dem Exchange Server zu erstellen. Erfolgreiches Ausnutzen benötigt lt. Microsoft entweder Administrationsrechte oder eine andere Schwachstelle, wobei CVE-2021-26855 explizit als Möglichkeit angegeben wird. Diese Schwachstelle wird bereits aktiv für Angriffe ausgenutzt. * CVE-2021-26412 (CVSS Base Score: 9.1): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird. * CVE-2021-26854 (CVSS Base Score: 6.6): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird. * CVE-2021-27078 (CVSS Base Score: 9.1): Dabei handelt es sich um eine Remote Code Execution Schwachstelle, zu der keine weiteren Details vorliegen. Lt. Microsoft sind derzeit keine Angriffe bekannt, in denen diese Lücke ausgenutzt wird. Auswirkungen Die Kombination von CVE-2021-26855 mit einer der anderen Schwachstellen ermöglicht die vollständige Übernahme des Exchange Servers sowie den Diebstahl des Inhalts sämtlicher E-Mail-Postfächer. Betroffene Systeme * Microsoft Exchange Server 2013 * Microsoft Exchange Server 2016 * Microsoft Exchange Server 2019 Laut Microsoft sind ausschließlich die On-Premise Varianten betroffen und nicht Exchange Online. Abhilfe Einspielen der von Microsoft zur Verfügung gestellten Patches. Bitte beachten Sie, dass die Patches lediglich für folgende Exchange Versionen funktionieren: * Exchange Server 2010: RU 31 for Service Pack 3 * Exchange Server 2013: CU 23 * Exchange Server 2016: CU 19, CU 18 * Exchange Server 2019: CU 8, CU 7 Sollten Sie ältere Versionen betreiben, müssen diese vor dem Einspielen der out-of-band Patches auf eine der oben genannten Versionen aktualisiert werden. Hinweis Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. __________________________________________________________________ Informationsquelle(n): Microsoft Exchange Team Blog mit Links zu den Updates https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 Meldung des Microsoft Security Response Center https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ Microsofts Meldung zur Kampagne, die die Schwachstellen bereits ausnutzt https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Blogpost von Volexity zu den Angriffen https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ -- // Erik Huemer - T: +43 1 5056416 767 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: OpenPGP_signature Type: application/pgp-signature Size: 840 bytes Desc: OpenPGP digital signature URL: From pribitzer at cert.at Wed Apr 21 14:13:19 2021 From: pribitzer at cert.at (Thomas Pribitzer) Date: Wed, 21 Apr 2021 14:13:19 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_Pulse_Con?= =?utf-8?q?nect_Secure_-_Workaround_verf=C3=BCgbar?= Message-ID: 21. April 2021 Beschreibung Pulse Secure hat ein Out-Of-Cycle Advisory zu einer kritischen Sicherheitslücke in Pulse Connect Secure veröffentlicht, die das Ausführen von beliebigem Code ermöglicht. CVE-Nummer: CVE-2021-22893 CVSS Base Score: 10 Auswirkungen Die Sicherheitslücke ermöglicht entfernten AngreiferInnen potentiell das Ausführen von Schadcode über derzeit nicht näher spezifizierte Angriffsvektoren und wird aktuell aktiv ausgenützt. Betroffene Systeme Betroffen sind laut Pulse Secure die folgenden Versionen: * Pulse Connect Secure 9.0R3 und höher Abhilfe Deaktivieren von Windows File Share Browser und Pulse Secure Collaboration mittels Importieren der von Pulse Secure bereitgestellten XML-Datei (siehe Advisory). Für die Versionen 9.0R1 - 9.0R4.1 bzw. 9.1R1-9.1R2 ist zuvor ein Update auf eine höhere Version notwendig. FireEye hat außerdem YARA- bzw. Snort-Rules auf github veröffentlicht. Ein Update (Version 9.1R.11.4), welches die Lücke schließen soll, wird für Anfang Mai erwartet. Ein genaues Datum ist derzeit nicht bekannt. Hinweis Pulse Secure hat mit Pulse Connect Secure (PCS) Integrity Assurance ein Tool zur Verfügung gestellt, mit dem sich die Integrität unterstützter Pulse Connect Secure Installationen überprüfen lässt. Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. _______________________________________________________________________________________ Informationsquelle(n): Security Advisory von Pulse Secure (Englisch) https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/ Golem Artikel https://www.golem.de/news/remote-code-execution-angriffe-auf-vpn-geraete-von-pulse-secure-2104-155880.html Blogpost von FireEye (Englisch) https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html Pulse Secure Security Update Blog (Englisch) https://blog.pulsesecure.net/pulse-connect-secure-security-update/ Pulse Connect Secure Integrity Assurance (Englisch) https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/KB44755/s YARA/Snort Rules https://github.com/fireeye/pulsesecure_exploitation_countermeasures _______________________________________________________________________________________ -- // Thomas Pribitzer - T: +43 1 5056416 718 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From robl at cert.at Wed Apr 21 14:21:04 2021 From: robl at cert.at (Dimitri Robl) Date: Wed, 21 Apr 2021 14:21:04 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcken_in_SonicWal?= =?utf-8?q?l_Email_Security?= Message-ID: 21. April 2021 Beschreibung SonicWall hat Updates für drei kritische Schwachstellen in SonicWall Email Security veröffentlicht, die es AngreiferInnen ermöglichen, einen Account mit Administrationsrechten zu erstellen und anschließend beliebige Dateien auf dem System zu lesen und zu schreiben. Dadurch ist es auch möglich, ausführbare Dateien hochzuladen und auf diesem Weg beliebigen Code auszuführen. Die Lücken werden bereits aktiv ausgenützt, d.h. auch nach Einspielen der Updates empfiehlt es sich, nach Spuren erfolgter Angriffe zu suchen. CVE-Nummern: * CVE-2021-20021 (CVSS Base Score: 9.8): Unauthentifizierte Erstellung eines Accounts mit Administrationsrechten über das Netzwerk * CVE-2021-20022 (CVSS Base Score: 7.2): Hochladen beliebiger Dateien nach erfolgreicher Authentifizierung * CVE-2021-20023 (CVSS Base Score: N/A): Auslesen beliebiger Dateien nach erfolgreicher Authentifizierung Auswirkungen AngreiferInnen haben Administrationsrechte auf der SonicWall Email Security Instanz und können dort beliebige Dateien erstellen und lesen sowie durch das Erstellen ausführbarer Dateien beliebigen Code ausführen. Betroffene Systeme * SonicWall Email Security versions 7.0.0-9.2.2 * SonicWall Email Security 10.0.1 * SonicWall Email Security 10.0.2 * SonicWall Email Security 10.0.3 * SonicWall Email Security 10.0.4 Abhilfe Einspielen der zur Verfügung gestellten Updates. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. __________________________________________________________________ Informationsquelle(n): Sonic Wall Security Advisory (Englisch) https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/ Sonic Wall Anleitung zum Einspielen der Updates (Englisch) https://www.sonicwall.com/support/knowledge-base/how-do-i-upgrade-firmware-on-an-email-security-appliance/170504270079039/ Blogpost von FireEye (Englisch) https://www.fireeye.com/blog/threat-research/2021/04/zero-day-exploits-in-sonicwall-email-security-lead-to-compromise.html -- // Dimitri Robl - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From robl at cert.at Wed May 5 09:42:01 2021 From: robl at cert.at (Dimitri Robl) Date: Wed, 5 May 2021 09:42:01 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcken_im_Exim_E-M?= =?utf-8?q?ail-Server_-_Patches_verf=C3=BCgbar?= Message-ID: <86b000a4-c182-5a20-47d3-953ecff7cb7f@cert.at> 5. Mai 2021 Beschreibung Die Firma Qualys hat 21 Schwachstellen in Exim, einem verbreiteten E-Mail-Server, gefunden. Davon sind zehn über das Netzwerk ausnutzbar und bei vier davon gelang es den ResearcherInnen, beliebigen Code auf dem Server auszuführen (Remote Code Execution, "RCE"). In drei Fällen geschah dies ohne Authentifizierung unter dem Account exim ("Unauthenticated RCE"), in einem Fall mit Authentifizierung als root ("Authenticated RCE"). Zu den elf lokalen Schwachstellen legte Qualys vier Proof of Concepts (PoCs) für eine Privilegieneskalation zu root vor. Dementsprechend könnte die Kombination einer Unauthenticated RCE mit einer lokalen Privilegieneskalation insgesamt zu einer Unauthenticated RCE als root führen, was eine vollständige Übernahme des Systems ermöglicht. Nach Qualys' Einschätzung ist die Entwicklung funktionierender Exploits mit den Angaben in Ihrem Advisory problemlos möglich, weshalb davon auszugehen ist, dass diese Schwachstellen bald aktiv ausgenutzt werden. Lokal ausnutzbare Schwachstellen: * CVE-2020-28007: Manipulation beliebiger Dateien durch Erstellung von Sym-/Hardlinks in Exims log-Directory. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. * CVE-2020-28008: Mehrere Angriffe auf Exims spool-Directory. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. * CVE-2020-28014: Erstellen und Überschreiben beliebiger Dateien. * CVE-2021-27216: Löschen beliebiger Dateien. * CVE-2020-28011: Heap buffer overflow in queue_run(). * CVE-2020-28010: Heap out-of-bounds write in main(). * CVE-2020-28013: Heap buffer overflow in parse_fix_phrase(). * CVE-2020-28016: Heap out-of-bounds write in parse_fix_phrase(). * CVE-2020-28015: Einfügen eines Zeilenumbruchs in das spool Header-File (lokal). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. * CVE-2020-28012: Fehlen der close-on-exec Flag bei einer privilegierten Pipe. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. * CVE-2020-28009: Integer overflow in get_stdinput(). Über das Netzwerk ausnutzbare Schwachstellen: * CVE-2020-28017: Integer overflow in receive_add_recipient(). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. * CVE-2020-28020: Integer overflow in receive_msg(). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. * CVE-2020-28023: Out-of-bounds read in smtp_setup_msg(). * CVE-2020-28021: Einfügen eines Zeilenumbruchs in das spool Header-File (über das Netzwerk). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. * CVE-2020-28022: Heap out-of-bounds read und write in extract_option(). * CVE-2020-28026: Line truncation and injection in spool_read_header(). * CVE-2020-28019: Fehlendes Zurücksetzen eines Funktions-Pointers nach einem Fehler des BDAT Befehls. * CVE-2020-28024: Heap buffer underflow in smtp_ungetc(). * CVE-2020-28018: Use-after-free in tls-openssl.c. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. * CVE-2020-28025: Heap out-of-bounds read in pdkim_finish_bodyhash(). Auswirkungen AngreiferInnen können die Exim-Installation über das Netzwerk vollständig übernehmen. Betroffene Systeme Laut Qualys betreffen die meisten Schwachstellen sämtliche Versionen von Exim seit Beginn von dessen Git-History im Jahr 2004. Lediglich bei zwei Schwachstellen gibt Qualys eine Einschränkung an: CVE-2020-28020 betrifft nur Versionen < 4.92 und CVE-2020-28018 nur Versionen ab 4.90 bis exklusive 4.94. Abhilfe Einspielen der zur Vergügung gestellten Patches. Da mit funktionierenden Exploits in kurzer Zeit zu rechnen ist, sollte dies so schnell wie möglich geschehen. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. __________________________________________________________________ Informationsquelle(n): Advisory von Qualys https://www.qualys.com/2021/05/04/21nails/21nails.txt Hinweis auf die verfügbaren Patches auf der Exim Announce Mailingliste https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html -- // Dimitri Robl - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From pribitzer at cert.at Wed May 12 14:53:00 2021 From: pribitzer at cert.at (Thomas Pribitzer) Date: Wed, 12 May 2021 14:53:00 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_Microsoft?= =?utf-8?q?_Windows_10_und_Microsoft_Windows_Server_-_Updates_verf=C3=BCgb?= =?utf-8?q?ar?= Message-ID: 12. Mai 2021 Beschreibung Microsoft hat im Zuge des monatlichen Patchdays eine Lücke in Microsoft Windows 10 und Microsoft Windows Server geschlossen, welche als potentiell wurmfähig eingestuft wird - d.h. es besteht die Möglichkeit, dass sich Schadsoftware von einem kompromittierten Server ohne weitere Benutzerinteraktion verbreitet. CVE-Nummer: CVE-2021-31166 CVSS Base Score: 9.8 Auswirkungen Die Sicherheitslücke erlaubt entfernten, unauthentisierten AngreiferInnen potentiell das Ausführen von beliebigem Code mit Kernel-Rechten. Laut Microsoft ist dazu lediglich das Senden von präparierten Paketen an betroffene Systeme erforderlich; nach derzeitigem Stand wird die Lücke noch nicht aktiv ausgenützt. Betroffene Systeme * Microsoft Windows 10 2004 * Microsoft Windows 10 20H2 * Microsoft Windows Server 20H2 Abhilfe Einspielen der bereitgestellten Updates. Hinweis Üblicherweise veröffentlicht CERT.at keine Warnungen zu Schwachstellen, die im Zuge von Patchdays geschlossen wurden, da Microsoft die Sicherheitslücke jedoch als wurmfähig einstuft, haben wir beschlossen explizit auf das zeitnahe Einspielen der Updates hinzuweisen. Bitte beachten Sie, dass Microsoft mit diesem Patchday insgesamt 55 Lücken schliesst, davon 4 die als "kritisch" eingestuft werden. Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. _______________________________________________________________________________________ Informationsquelle(n): Artikel bei heise.de https://www.heise.de/news/Patchday-Windows-Trojaner-koennte-sich-wurmartig-auf-PCs-verbreiten-6044412.html Microsoft Advisory (Englisch) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166 _______________________________________________________________________________________ -- // Thomas Pribitzer - T: +43 1 5056416 718 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From robl at cert.at Wed May 26 14:38:21 2021 From: robl at cert.at (Dimitri Robl) Date: Wed, 26 May 2021 14:38:21 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_VMware_vC?= =?utf-8?q?enter_Server_-_Updates_und_Workarounds_verf=C3=BCgbar?= Message-ID: <1f8ff71f-8b19-e110-b535-eeed82c91933@cert.at> 26. Mai 2021 Beschreibung VMware vCenter Server weist eine kritische Sicherheitslücke auf, die es AngreiferInnen ermöglicht, über das Netzwerk und ohne Authentifizierung beliebige Befehle als root auszuführen. Die einzige Voraussetzung dafür ist, dass das Management-Interface (per Default via Port 443/TCP) ohne weitere Absicherungen (z.B. Basic HTTP Authentication) erreichbar ist. CVE-Nummern: CVE-2021-21985 CVSS Base Score: 9.8 (lt. VMware) Auswirkungen AngreiferInnen können beliebige Befehle auf dem Betriebssystem, auf dem vCenter Server läuft, als root ausführen und dadurch potentiell das gesamte System übernehmen. Betroffene Systeme * vCenter Server 7.0 * vCenter Server 6.7 * vCenter Server 6.5 Abhilfe Einspielen der zur Verfügung gestellten Updates oder Workarounds. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. __________________________________________________________________ Informationsquelle(n): VMware Advisory https://www.vmware.com/security/advisories/VMSA-2021-0010.html -- // Dimitri Robl - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From waldner at cert.at Mon Jun 14 18:05:32 2021 From: waldner at cert.at (Robert Waldner) Date: Mon, 14 Jun 2021 18:05:32 +0200 Subject: [Warning] =?utf-8?q?DDoS_Angriffe_gegen_Unternehmen_in_=C3=96ste?= =?utf-8?q?rreich?= Message-ID: <7eeb780b-59d3-f941-ad12-6684c44f3ebf@cert.at> 14. Juni 2021 Beschreibung Seit einigen Wochen versucht eine Gruppe, die sich "Fancy Lazarus" nennt, mittels DDoS-Angriffen und der Androhung von Folgeangriffen, Schutzgelder zu erpressen. Vergleichbare Angriffe gab es global auch schon ab August 2020 unter ähnlichen Namen. Nachdem wir Meldungen von Partner-CERTs an uns über Angriffe auf Ziele in anderen EU Staaten bekommen haben, sind jetzt auch in Österreich einige Fälle aufgetreten. Modus Operandi: * Erpressungs-E-Mail an Unternehmen (Ankündigung des Demo-Angriffs, Zahlungsfrist 7 Tage, sonst großer Angriff) * Kurz darauf ein DDoS-Angriff (30 - 250 GBit/s DNS-Reflection gegen die autoritativen Nameserver des Ziels, Dauer 2+ Stunden) * Uns liegen einige Meldungen vor, dass nach dem Verstreichen der sieben Tage der angedrohte Angriff nicht stattgefunden hat. Gegenteilige Meldungen liegen nicht vor. Auswirkungen Überlastung der Internetanbindung, dadurch werden sowohl die vom Ziel angebotenen Dienste, als auch die Nutzung des Internets vom Netz des Zieles aus, gestört. Abhilfe Wie bei vielen anderen Bedrohungen auch, sollte man hier nicht auf das Eintreten warten, sondern sich proaktiv mit dem Thema beschäftigen. * DDoS-Angriffe sind seit einigen Jahren Teil der Bedrohungslage für alle im Internet aktiven Firmen. * Im Risikomanagement ist daher zu bewerten, was die essentiellen Dienste sind und welche Ausfallzeiten bei diesen akzeptabel sind. * Im Business Continuity Management sollte überlegt werden, wie die essentiellen Dienste auch unter erschwerten Bedingungen weitergeführt werden können. * Bei den zu erwartenden Bandbreiten ist eine Mitigation rein im eigenen Netz nicht möglich: es braucht die Mithilfe des Upstream Providers oder eines Cloud-Services. Reden sie vorab mit ihrem ISP über die Optionen und welche Hilfe sie erwarten können. Stellen sie auch Kontaktmöglichkeiten außerhalb der Geschäftszeiten sicher. * Im aktuellen Fall werden die autoritativen Nameserver angegriffen. Da das DNS schon im Protokolldesign redundante Nameserver unterstützt, ist es sehr einfach, für die eigenen Domains zusätzlich weitere Nameserver außerhalb des eigenen Netzes zu nutzen. Entsprechende Angebote, die auch per Anycasting (https://datatracker.ietf.org/doc/html/rfc3258 ) viel Resilienz und Geodiversität einbringen, sind vergleichsweise günstig. * Existiert eine redundante Anbindung über mehrere ISPs, so macht es Sinn vorzubereiten, den Datenverkehr so aufzuteilen, dass der Angriff möglichst einen anderen Weg nimmt, als der legitime Datenverkehr. * Stellen sie sicher, dass der Fernwartungszugang für das Betriebspersonal nicht rein von der potentiell überlasteten Internetanbindung abhängig ist. __________________________________________________________________ Informationsquelle(n): Proofpoint Artikel vom 10. Juni 2021 (englisch) https://www.proofpoint.com/us/blog/threat-insight/ransom-ddos-extortion-actor-fancy-lazarus-returns DDoS Whitepaper des CSC (Juli 2020) https://www.bvt.gv.at/401/files/CSC/CSC_Schriftenreihe_Distributed_Denial_of_Service_DDoS_Juli_2020_BF_20200831.pdf -- // CERT Austria - Robert Waldner // https://www.cert.at/ - T: +43 1 5056416 78 // Eine Initiative der nic.at GmbH // https://www.nic.at/ - Firmenbuchnummer172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From richter at cert.at Thu Jul 1 13:48:49 2021 From: richter at cert.at (Stephan Richter) Date: Thu, 1 Jul 2021 13:48:49 +0200 Subject: [Warning] =?utf-8?q?PrintNightmare=3A_Kritische_Sicherheitsl?= =?utf-8?q?=C3=BCcke_in_Microsoft_Windows_=28Print_Spooler_Service=29_-_Wo?= =?utf-8?q?rkarounds_verf=C3=BCgbar?= Message-ID: 1. Juli 2021 Beschreibung Vorab: Es handelt sich bei dieser Schwachstelle mit dem Namen "PrintNightmare" nicht um die bereits unter CVE-2021-1675 bekannte Anfälligkeit. Im Zuge der Veröffentlichung eines Patches für CVE-2021-1675 durch Microsoft am 8. Juni wurde ein Report durch die Entdecker dieser Schwachstelle publiziert, welcher die genauen technischen Details beschreibt. Dies hat wiederum zu einer Publikation anderer Sicherheitsforscher geführt, welche der Ansicht waren, die selbe entdeckt zu haben. Dass es sich um eine andere Schwachstelle ohne verfügbaren Patch, von den Entdeckern "PrintNightmare" genannt, handelte, war diesen zu diesem Zeitpunkt nicht bewusst. Obwohl der Proof-Of-Concept Code zur Ausnutzung von "PrintNightmare" wieder entfernt wurde, sind Kopien davon angefertigt worden und wurden bereits zu vollfunktionsfähigen Exploits weiterentwickelt. Es gibt nach derzeitigem Stand keine Information zu einem Patch durch Microsoft. Workarounds sind verfügbar. CVE-Nummern: N/A CVSS Base Score: N/A Auswirkungen Das Ausnutzen der Schwachstelle im Microsoft Windows-Druckspoolerdienst, der den Zugriff auf die Funktion RpcAddPrinterDriverEx() nicht ein-schränkt, kann es authentifizierten Remote-AngreiferInnen ermöglichen, beliebigen Code mit SYSTEM-Rechten auf einem anfälligen System auszu-führen. Betroffene Systeme Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server. Abhilfe Stoppen und Deaktivieren des Print Spooler Service. Dieser Workaround deaktiviert allerdings jegliche Druckfunktionalität auf den betroffenen Systemen, vor Deaktivierung des Dienstes ist daher abzuwägen, ob dieser auf dem entsprechenden System unbedingt benötigt wird. Ein weiterer Workaround gegen die aktuell vorhandenen Exploits, der Drucken weiterhin ermöglicht, ist die Einschränkung der Access Control Lists (ACL) auf C:\Windows\System32\spool\drivers wie hier[1] beschrieben. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. __________________________________________________________________ [1] https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/ Informationsquelle(n): Artikel bei heise.de https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html CERT/CC Vulnerability Note VU#383432 (englisch) https://www.kb.cert.org/vuls/id/383432 -- // Stephan Richter - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: OpenPGP_signature Type: application/pgp-signature Size: 840 bytes Desc: OpenPGP digital signature URL: From waldner at cert.at Wed Sep 8 10:26:04 2021 From: waldner at cert.at (Robert Waldner) Date: Wed, 8 Sep 2021 10:26:04 +0200 Subject: [Warning] =?utf-8?q?Kritische_Sicherheitsl=C3=BCcke_in_der_Micro?= =?utf-8?q?soft_MSHTML_Komponente_-_Workarounds_verf=C3=BCgbar?= Message-ID: <99ce57ac-cbae-b538-768d-23e8a14dd997@cert.at> 8. September 2021 Beschreibung Microsoft hat außerhalb des üblichen Patch-Zyklus eine Warnung über eine Sicherheitslücke in der MSHTML Komponente veröffentlicht. Diese kann von Angreifer:innen durch entsprechend präparierte Microsoft Office-Dokumente ausgenutzt werden - laut Microsoft sind solche Dokumente bereits im Umlauf. CVE-Nummer: CVE-2021-40444 CVSS:3.0 8.8 / 7.9 Auswirkungen Durch Ausnützen der Lücke können Angreifer:innen laut Microsoft beliebigen Code auf den betroffenen Systemen ausführen, mit den Rechten des angemeldeten Users. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet. In Default-Konfigurationen ist aber User-Interaktion nötig, da entsprechend präparierte Office-Dokumente aus dem Internet per Default in "abgesicherten" Modi geöffnet werden, die den Angriff verhindern. Ebenso erkennen und verhindern die hauseigenen Antivirus-/Sicherheits-Lösungen (Microsoft Defender Antivirus und Microsoft Defender for Endpoint, ab Detection Build 1.349.22.0) ein Ausnutzen dieser Lücke. Betroffene Systeme Windows 7 bis Windows 10, Windows Server ab Windows Server 2008 sowie Windows RT 8.1. Abhilfe Kurzfristig * Anwenden der in der Meldung vom Microsoft angeführten Workarounds * Sicherstellen, dass die Defaults zum Öffnen von Microsoft Office-Dokumenten aus dem Internet nicht verändert wurden * Verifizieren, dass eingesetzte Antivirus-/Sicherheits-Lösungen entsprechende Erkennung haben Langfristig * Einspielen der entsprechenden Updates/Patches, sobald diese zur Verfügung stehen (voraussichtlich zum nächsten "Patch Tuesday" am 14. 9. 2021) Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. __________________________________________________________________ Informationsquelle(n): Warnung von Microsoft (englisch): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 Artikel bei heise.de: https://www.heise.de/news/Attacken-auf-Windows-Vorsicht-vor-praeparierten-Office-Dokumenten-6185702.html -- // CERT Austria - Robert Waldner // https://www.cert.at/ - T: +43 1 5056416 78 // Eine Initiative der nic.at GmbH // https://www.nic.at/ - Firmenbuchnummer172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: OpenPGP digital signature URL: From robl at cert.at Wed Sep 22 10:43:42 2021 From: robl at cert.at (Dimitri Robl) Date: Wed, 22 Sep 2021 10:43:42 +0200 Subject: [Warning] =?utf-8?q?Kritische_File-Upload_Schwachstelle_in_VMwar?= =?utf-8?q?e_vCenter_Server_-_Updates_und_Workarounds_verf=C3=BCgbar?= Message-ID: <480d7fd6-1fbc-07c6-1849-3dca5da19a63@cert.at> 22. September 2021 Beschreibung VMware vCenter Server weist eine kritische Schwachstelle auf, die es Angreifer:innen ermöglicht, über das Netzwerk und ohne Authentifizierung beliebige Dateien auf den Server hochzuladen. Mit Hilfe von speziell präparierten Dateien können so beliebige Befehle auf dem Server ausgeführt werden. VMware geht davon aus, dass Exploits binnen kürzester Zeit öffentlich verfügbar sein werden und rät daher, die Updates oder Workarounds möglichst zeitnah einzuspielen. CVE-Nummern: CVE-2021-22005 CVSS Base Score: 9.8 (lt. VMware) Die aktuellen Updates beheben auch eine Reihe anderer Schwachstellen, allerdings ist keine davon so gefährlich wie CVE-2021-22005. Auswirkungen Angreifer:innen können über das Netzwerk und ohne Authentifizierung beliebige Dateien auf den vCenter Server hochladen und darüber auch beliebige Befehle auf dem Server ausführen. Betroffene Systeme - vCenter Server 7.0 - vCenter Server 6.7 (Virtual Appliance) - Cloud Foundation (vCenter Server) 4.x - Cloud Foundation (vCenter Server) 3.x Bitte beachten Sie, dass vCenter Server 6.5 auf allen Plattformen und vCenter Server 6.7 auf Windows nicht von dieser Schwachstelle betroffen sind. Ebenfalls nicht betroffen ist VMware ESXi. Abhilfe Einspielen der verfügbaren Updates oder Workarounds. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. ------------------------------------------------------------------------ Informationsquelle(n): VMware Advisory (Englisch) https://www.vmware.com/security/advisories/VMSA-2021-0020.html Anleitung zum Einspielen der Workarounds (Englisch) https://kb.vmware.com/s/article/85717 VMware FAQ zum Advisory VMSA-2021-0020 (Englisch) https://core.vmware.com/vmsa-2021-0020-questions-answers-faq -- // Dimitri Robl - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // Eine Initiative der nic.at GmbH - https://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg -------------- next part -------------- A non-text attachment was scrubbed... Name: OpenPGP_signature Type: application/pgp-signature Size: 840 bytes Desc: OpenPGP digital signature URL: From pribitzer at cert.at Wed Oct 6 15:14:16 2021 From: pribitzer at cert.at (Thomas Pribitzer) Date: Wed, 6 Oct 2021 15:14:16 +0200 Subject: [Warning] =?utf-8?q?Wichtige_Sicherheitsl=C3=BCcke_=28CVE-2021-4?= =?utf-8?q?1773=29_in_Apache_HTTP_Server_2=2E4=2E49_-_Updates_und_Workarou?= =?utf-8?q?nds_verf=C3=BCgbar?= Message-ID: 6. Oktober 2021 Beschreibung Die vom Apache Team als "wichtig" eingestufte Path-Traversal-Lücke CVE-2021-41773 erlaubt potentiellen Angreifer:innen, auf Dateien und Verzeichnisse außerhalb des Document-Root-Verzeichnisses zuzugreifen, wenn der Schutzmechanismus "require all denied" nicht aktiv ist. CVE-Nummer: CVE-2021-41773 CVSS Base Score: tbd Auswirkungen Angreifer:innen können auf Dateien außerhalb des Document-Root-Verzeichnisses zugreifen. Betroffene Version Apache HTTP Server 2.4.49 Abhilfe Upgrade auf Apache Version 2.4.50 bzw. Anwenden des Workarounds. Version 2.4.50 schließt außerdem die Lücke CVE-2021-41524, durch die Angreifer:innen mithilfe präparierter HTTP/2-Anfragen DoS-Zustände auslösen können. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. ________________________________________________________________________ Informationsquelle(n): Apache Advisory https://httpd.apache.org/security/vulnerabilities_24.html Workaround von Apache https://httpd.apache.org/docs/current/misc/security_tips.html#protectserverfiles Heise-Artikel https://heise.de/-6209130 ________________________________________________________________________ -- // Thomas Pribitzer - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // CERT.at GmbH, FB-Nr. 561772k, HG Wien -------------- next part -------------- A non-text attachment was scrubbed... Name: OpenPGP_signature Type: application/pgp-signature Size: 840 bytes Desc: OpenPGP digital signature URL: From robl at cert.at Thu Dec 9 10:09:54 2021 From: robl at cert.at (Dimitri Robl) Date: Thu, 9 Dec 2021 10:09:54 +0100 Subject: [Warning] =?utf-8?q?Mehrere_kritische_Schwachstellen_in_SonicWal?= =?utf-8?q?l_SMA_100_Series_Appliances_=E2=80=93_Updates_verf=C3=BCgbar?= Message-ID: <79f80e7f-4526-c9cc-5c4a-8d522b2f18ae@cert.at> 09. Dezember 2021 Beschreibung SonicWall hat ein Security-Advisory zu mehreren, zum Teil kritischen, Schwachstellen in Appliances der SMA 100 Serie veröffentlicht. Derzeit gibt es laut SonicWall keine Hinweise darauf, dass die Lücken bereits aktiv ausgenutzt werden. CVE-Nummern und CVSS Base Scores lt. SonicWall: - CVE-2021-20038 (9.8): Ein Stack-based Buffer Overflow, der ohne vorherige Authentifizierung ausgenutzt werden kann und potentiell das Ausführen von beliebigen Befehlen mit den Rechten des nobody Accounts ermöglicht. - CVE-2021-20039 (7.2): Eine Command-Injection Schwachstelle, die nach erfolgreicher Authentifizierung die Ausführung beliebiger Befehle als root via HTTP POST Requests ermöglicht. - CVE-2021-20040 (6.5): Diese Schwachstelle ermöglicht Angreifer:innen das Hochladen beliebiger Dateien ohne Authentifizierung mit den Rechten des nobody Accounts. - CVE-2021-20041 (7.5): Eine DoS Schwachstelle, die es entfernten, nicht authentifizierten Angreifer:innen ermöglicht, sämtliche CPU-Ressourcen der Appliance zu belegen und diese damit potentiell zum Absturz zu bringen. - CVE-2021-20042 (6.3): Diese Schwachstelle ermöglicht es unauthentifizierten Angreifer:innen, die SonicWall Appliance als unfreiwilligen Proxy (siehe CWE-441) zu verwenden, und dadurch Firewall-Regeln zu umgehen. - CVE-2021-20043 (8.8): Ein Heap-based Buffer Overflow, der ohne vorherige Authentifizierung ausgenutzt werden kann und potentiell das Ausführen von beliebigen Befehlen mit den Rechten des nobody Accounts ermöglicht. - CVE-2021-20044 (7.2): Eine Remote Code Execution (RCE) Schwachstelle, die es authentifizierten Angreifer:innen ermöglicht, beliebige Systembefehle mit dem nobody Account auszuführen sowie beliebige Dateien im cgi-bin Verzeichnis zu verändern oder zu löschen. - CVE-2021-20045 (9.4): Heap- und Stack-based Buffer Overflows im filexplorer Binary, die über das Netzwerk und ohne Authentifizierung ausgenutzt werden können. Auch hier ist es potentiell möglich, beliebige Befehle als nobody auszuführen. Auswirkungen Externe Angreifer:innen können über das Netzwerk beliebige Befehle als nobody ausführen oder das System zum Absturz/Stillstand bringen, ohne sich vorher authentifizieren zu müssen. Wenn sie auch über gültige Zugangsdaten verfügen, können sie das System vollständig übernehmen, da sie mit CVE-2021-20039 beliebige Befehle als root ausführen können. Betroffene Systeme SonicWall Appliances der SMA 100 Serie, dazu gehören u.a.: SMA 200 SMA 210 SMA 400 SMA 410 SMA 500v Abhilfe Einspielen der bereitgestellten Updates. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Informationsquelle(n): SonicWall Security Advisory https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026 -- // Dimitri Robl - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // CERT.at GmbH, FB-Nr. 561772k, HG Wien -------------- next part -------------- A non-text attachment was scrubbed... Name: OpenPGP_signature Type: application/pgp-signature Size: 840 bytes Desc: OpenPGP digital signature URL: From robl at cert.at Fri Dec 10 11:03:04 2021 From: robl at cert.at (Dimitri Robl) Date: Fri, 10 Dec 2021 11:03:04 +0100 Subject: [Warning] =?utf-8?q?Kritische_0-day_Sicherheitsl=C3=BCcke_in_Apa?= =?utf-8?q?che_Log4j_Bibliothek_-_Updates_und_Workarounds_verf=C3=BCgbar?= Message-ID: <00f12ca1-cc81-7d20-349a-7fbc6883a38e@cert.at> 10. Dezember 2021 Beschreibung Die populäre Open-Source Logging-Bibliothek Apache Log4j weist eine schwerwiegende 0-day-Sicherheitslücke auf, die sich durch simples Loggen eines speziellen Strings ausnützen lässt. Mittels JNDI wird ein Look-up auf einen von den Angreifer:innen kontrollierten Server ausgelöst und der zurückgelieferte Code ausgeführt. Entsprechender PoC-Exploit-Code wurde bereits auf GitHub veröffentlicht. CVE-Nummern: CVE-2021-44228 (lt. Apache Log4j GitHub, derzeit noch nicht offiziell bestätigt) CVSS Base Score: N/A Auswirkungen Ein erfolgreiches Ausnützen der Schwachstelle kann zu einer vollständigen Kompromittierung des betroffenen Systems führen. Betroffene Systeme Alle Apache log4j Versionen von 2.0 bis inkl. 2.14.1 und sämtliche Frameworks (z.B. Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.), welche diese Versionen verwenden. Laut der Sicherheitsfirma LunaSec sind die JDK-Versionen 6u211, 7u201, 8u191, und 11.0.1 in der Default-Konfiguration nicht betroffen, da diese kein Laden einer Remote Codebase erlaubt. Ist jedoch die Option com.sun.jndi.ldap.object.trustURLCodebase auf true gesetzt, ist ein Angriff weiterhin möglich. Abhilfe Update von Apache Log4j auf log4j-2.15.0-rc2, da die ursprünglich als gefixt angegebene Version log4j-2.15.0-rc1 die Schwachstelle anscheinend nur unzureichend behebt. Sollte ein Upgrade nicht zeitnah möglich sein, können Betreiber:innen verwundbarer Systeme als Workaround den Server mit der JVM-Option -Dlog4j2.formatMsgNoLookups=true starten. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Informationsquelle(n): LunaSec Artikel https://www.lunasec.io/docs/blog/log4j-zero-day/ Cyber Kendra Artikel https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html PoC-Exploit auf GitHub https://github.com/tangxiaofeng7/apache-log4j-poc Apache Advisory https://github.com/advisories/GHSA-jfh8-c2jp-5v3q -- // Dimitri Robl - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // CERT.at GmbH, FB-Nr. 561772k, HG Wien -------------- next part -------------- A non-text attachment was scrubbed... Name: OpenPGP_signature Type: application/pgp-signature Size: 840 bytes Desc: OpenPGP digital signature URL: