[CERT-daily] Tageszusammenfassung - 14.01.2022
Daily end-of-shift report
team at cert.at
Fri Jan 14 19:03:31 CET 2022
=====================
= End-of-Day report =
=====================
Timeframe: Donnerstag 13-01-2022 18:00 − Freitag 14-01-2022 18:00
Handler: Stephan Richter
Co-Handler: n/a
=====================
= News =
=====================
∗∗∗ Microsoft Defender weakness lets hackers bypass malware detection ∗∗∗
---------------------------------------------
Threat actors can take advantage of a weakness that affects Microsoft Defender antivirus on Windows to learn locations excluded from scanning and plant malware there.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/microsoft-defender-weakness-lets-hackers-bypass-malware-detection/
∗∗∗ Nach Log4J: Google will zusammen mit Regierungen Open Source absichern ∗∗∗
---------------------------------------------
Seit langem sucht Google nach Wegen, Open-Source-Software besser abzusichern. Nach der Log4J-Lücke kommen nun auch Regierungen ins Spiel.
---------------------------------------------
https://www.golem.de/news/nach-log4j-google-will-zusammen-mit-regierungen-open-source-absichern-2201-162428-rss.html
∗∗∗ Microsoft Yanks Buggy Windows Server Updates ∗∗∗
---------------------------------------------
Since their release on Patch Tuesday, the updates have been breaking Windows, causing spontaneous boot loops on Windows domain controller servers, breaking Hyper-V and making ReFS volume systems unavailable.
---------------------------------------------
https://threatpost.com/microsoft-yanks-buggy-windows-server-updates/177648/
∗∗∗ A closer look at Flubot’s DoH tunneling ∗∗∗
---------------------------------------------
[...] The following blog post will take a closer look at Flubot version 4.9, and in particular its Command and Control (C&C) communication, based on the data F-Secure gathered during that campaign.
---------------------------------------------
https://blog.f-secure.com/flubot_doh_tunneling/
∗∗∗ Verwundbare Exchange-Server der öffentlichen Verwaltung ∗∗∗
---------------------------------------------
20 Exchange-Server in öffentlicher Hand waren für eine Sicherheitslücke anfällig. Kriminelle hätten die Kontrolle übernehmen können.
---------------------------------------------
https://heise.de/-6320504
∗∗∗ Citrix liefert Sicherheitsupdates für Workspace App und Hypervisor ∗∗∗
---------------------------------------------
Sicherheitslücken in der Citrix Workspace App for Linux und im Hypervisor ermöglichten Angreifern die Rechteausweitung oder DoS-Attacken auf den Host.
---------------------------------------------
https://heise.de/-6327171
∗∗∗ Aus für iOS 14? Verwirrung über fehlende Sicherheits-Updates ∗∗∗
---------------------------------------------
Neben iOS 15 stellte Apple erstmals Updates für die Vorjahresversion des Betriebssystems in Aussicht. Es fehlen aber wichtige Patches für iOS 14.
---------------------------------------------
https://heise.de/-6327709
∗∗∗ Sicherheitsupdates: Admin-Lücke bedroht Cisco Unified Contact Manager ∗∗∗
---------------------------------------------
Admins von Cisco-Hard- und -Software sind gefragt, ihre Systeme abzusichern.
---------------------------------------------
https://heise.de/-6327050
∗∗∗ Schadcode-Schlupflöcher in Qnap NAS geschlossen ∗∗∗
---------------------------------------------
Die Qnap-Entwickler haben ihr NAS-Betriebssystem und zwei Apps gegen mögliche Attacken abgesichert.
---------------------------------------------
https://heise.de/-6327201
∗∗∗ Juniper Networks stopft zahlreiche Sicherheitslücken ∗∗∗
---------------------------------------------
In Geräten und Diensten von Juniper hätten Angreifer Schwachstellen etwa für DoS-Angriffe, die Ausweitung von Rechten oder Schlimmeres missbrauchen können.
---------------------------------------------
https://heise.de/-6327645
∗∗∗ Signierte Kernel‑Treiber – unbewachte Zugänge zum Windows‑Kern ∗∗∗
---------------------------------------------
ESET Forscher untersuchen Schwachstellen in signierten Windows-Treibern, die trotz Gegenmaßnahmen immer noch ein Sicherheitsproblem darstellen.
---------------------------------------------
https://www.welivesecurity.com/deutsch/2022/01/13/signierte-kernel-treiber-unbewachte-zugaenge-zum-windows-kern/
∗∗∗ Telefon-Betrug: Drücken Sie nicht die Taste 1! ∗∗∗
---------------------------------------------
LeserInnen der Watchlist Internet melden uns derzeit betrügerische Anrufe: Dabei werden willkürlich Personen angerufen und mit einer Bandansage darauf hingewiesen, dass es einen Haftbefehl gegen sie gäbe. Um mehr zu erfahren, solle die Taste 1 gedrückt werden. Machen Sie das auf keinen Fall! Die BetrügerInnen wollen Sie damit in eine Kostenfalle locken.
---------------------------------------------
https://www.watchlist-internet.at/news/telefon-betrug-druecken-sie-nicht-die-taste-1/
∗∗∗ Schwachstellen in AWS Glue und AWS Cloud Formation entdeckt ∗∗∗
---------------------------------------------
Das Orca Security Research Team hat Sicherheitslücken im Amazon Web Services AWS Glue-Service sowie zur Zero-Day-Schwachstelle BreakingFormation erkannt. Beide Unternehmen konnten binnen weniger Tagen die Fehler beheben.
---------------------------------------------
https://www.zdnet.de/88398803/schwachstellen-in-aws-glue-und-aws-cloud-formation-entdeckt/
∗∗∗ Detection Rules for Sysjoker (and How to Make Them With Osquery) ∗∗∗
---------------------------------------------
On January 11, 2022, we released a blog post on a new malware called SysJoker. SysJoker is a malware targeting Windows, macOS, and Linux. At the time of the publication, the Linux and macOS versions were not detected by any scanning engines on VirusTotal. As a consequence to this, we decided to release a followup [...]
---------------------------------------------
https://www.intezer.com/blog/cloud-security/detection-rules-sysjoker-osquery/
∗∗∗ Adobe Acrobat (Reader) DC 21.011.20039, Installationsfehler und offene Bugs ∗∗∗
---------------------------------------------
Kurzer Sammelbeitrag zum Acrobat Gelump, was Adobe auf die Rechner der Nutzer kippt. Zum 11. Januar 2022 gab es ein Sicherheitsupdate für den Adobe Acrobat (Reader) DC auf die Version 21.011.20039. Weiterhin haben mich die letzten Tage einige Nutzer auf eine Latte an offenen Bugs hingewiesen, die ich hier mal einfach einstellen will. Soll ja niemand behaupten, ich ließe die "Qualitätsupdates" von Adobe zum Acrobat unerwähnt.
---------------------------------------------
https://www.borncity.com/blog/2022/01/14/adobe-acrobat-reader-dc-21-011-20039-installationsfehler-und-offene-bugs/
=====================
= Vulnerabilities =
=====================
∗∗∗ Positive Technologies Uncovers Vulnerability in IDEMIA Biometric Identification Devices That Can Unlock Doors and Turnstiles ∗∗∗
---------------------------------------------
Positive Technologies researchers, Natalya Tlyapova, Sergey Fedonin, Vladimir Kononovich, and Vyacheslav Moskvin have discovered a critical vulnerability (VU-2021-004) in IDEMIA biometric identification devices used in the world’s largest financial institutions, universities, healthcare organizations, and critical infrastructure facilities. By exploiting the flaw, which received a score of 9.1 on the CVSS v3 scale, attackers can unlock doors and turnsites.
---------------------------------------------
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-uncovers-vulnerability-in-idemia-biometric-identification-devices-that-can-unlock-doors-and-turnstiles/
∗∗∗ Security updates for Friday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (firefox-esr), Fedora (cockpit, python-cvxopt, and vim), openSUSE (libmspack), Oracle (webkitgtk4), Scientific Linux (firefox and thunderbird), SUSE (kernel and libmspack), and Ubuntu (firefox and pillow).
---------------------------------------------
https://lwn.net/Articles/881407/
∗∗∗ Mitsubishi Electric MELSEC-F Series ∗∗∗
---------------------------------------------
This advisory contains mitigations for a Lack of Administrator Control Over Security vulnerability in the Mitsubishi Electric MELSEC-F Series FX3U-ENET Ethernet-Internet block.
---------------------------------------------
https://us-cert.cisa.gov/ics/advisories/icsa-22-013-01
∗∗∗ Mitsubishi Electric MELSEC-F Series ∗∗∗
---------------------------------------------
This advisory contains mitigations for an Improper Initialization vulnerability in the Mitsubishi Electric MELSEC-F Series FX3U-ENET Ethernet-Internet block,
---------------------------------------------
https://us-cert.cisa.gov/ics/advisories/icsa-22-013-07
∗∗∗ Mitsubishi Electric MELSEC iQ-R, Q and L Series (Update B) ∗∗∗
---------------------------------------------
[...] 4.1 AFFECTED PRODUCTS [...]
Begin Update B Part 1 of 1
- L 02/06/26 CPU (-P), L 26 CPU - (P) BT, serial number 23121 and earlier
End Update B Part 1 of 1
---------------------------------------------
https://www.cisa.gov/uscert/ics/advisories/icsa-20-303-01
∗∗∗ Trane Symbio (Update B) ∗∗∗
---------------------------------------------
[...] 3. RISK EVALUATION
Begin Update B Part 1 of 1
Successful exploitation of this vulnerability could allow a user to execute arbitrary code on the controller.
End Update B Part 1 of 1
---------------------------------------------
https://www.cisa.gov/uscert/ics/advisories/icsa-21-266-01
∗∗∗ Ivanti Updates Log4j Advisory with Security Updates for Multiple Products ∗∗∗
---------------------------------------------
Ivanti has updated its Log4j Advisory with security updates for multiple products to address CVE-2021-44228. An unauthenticated attacker could exploit this vulnerability to take control of an affected system. CISA encourages users and administrators to review the Ivanti security advisories pages for Avalanche; File Director; and MobileIron Core, MobileIron Sentry (Core/Cloud), and MobileIron Core Connector and apply the necessary updates and workarounds.
---------------------------------------------
https://us-cert.cisa.gov/ncas/current-activity/2022/01/14/ivanti-updates-log4j-advisory-security-updates-multiple-products
∗∗∗ IBM Security Bulletins ∗∗∗
---------------------------------------------
https://www.ibm.com/blogs/psirt/
∗∗∗ MediaWiki: Mehrere Schwachstellen ∗∗∗
---------------------------------------------
https://www.cert-bund.de/advisoryshort/CB-K22-0050
∗∗∗ ClamAV: Schwachstelle ermöglicht Denial of Service ∗∗∗
---------------------------------------------
https://www.cert-bund.de/advisoryshort/CB-K22-0052
--
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily
More information about the Daily
mailing list