[CERT-daily] Tageszusammenfassung - Montag 28-11-2016

Mon Nov 28 18:47:17 CET 2016

=======================
= End-of-Shift report =
=======================

Timeframe:   Freitag 25-11-2016 18:00 − Montag 28-11-2016 18:00
Handler:     Robert Waldner
Co-Handler:  n/a


*** Mirai goes TR-069 ***
---------------------------------------------
Zu Mirai hab ich hier schon viel geschrieben. Bis jetzt hat sich dieses Botnet rein über das Erraten von Passwörtern auf Telnet-Interfaces weiterverbreitet. Das hat sich jetzt geändert: Am 7. November hat jemand einen Proof-of-concept exploit für ein CPE (Customer premise equipment -- also DSL-Modem, Kabelmodem & co) veröffentlicht, der zeigt, wie man per TR-069 dem Gerät Schadsoftware unterschieben kann.
---------------------------------------------
http://www.cert.at/services/blog/20161128173929-1823.html


*** DSA-3725 icu - security update ***
---------------------------------------------
Several vulnerabilities were discovered in the International Componentsfor Unicode (ICU) library.
---------------------------------------------
https://www.debian.org/security/2016/dsa-3725


*** [2016-11-28] Denial of service & heap-based buffer overflow in Guidance Software EnCase Forensic ***
---------------------------------------------
EnCase Forensic Imager and the EnCase Forensic suite are widely used by computer forensic experts to analyze hard disks. Due to flaws in these products an attacker could manipulate a hard disk to keep an investigator from fully analyzing it (denial of service). Potentially, an attacker could execute malicious code on the investigators machine.
---------------------------------------------
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20161128-0_Guidance_Software_Encase_DoS_heap_buffer_overflow_vulnerabilities_v10.txt


*** DFN-CERT-2016-1949/">ImageMagick: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe ***
---------------------------------------------
Mehrere Schwachstellen in ImageMagick ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe sowie das Ausspähen von Informationen.
Debian stellt für die Distribution Debian Jessie (stable) ein Sicherheitsupdate bereit.
---------------------------------------------
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1949/


*** Erpressungs-Trojaner: Locky setzt auf .zzzzz-Endung, Cerber geht in Version 5.0.1 um ***
---------------------------------------------
Kriminelle sollen Berichten nach aktuell neue Versionen von Cerber und Locky verbreiten. Vorsicht: Viele Viren-Wächter springen offensichtlich noch nicht auf Cerber an.
---------------------------------------------
https://heise.de/-3506049