[CERT-daily] Tageszusammenfassung - 19.08.2024

Mon Aug 19 18:22:56 CEST 2024

=====================
= End-of-Day report =
=====================

Timeframe:   Freitag 16-08-2024 18:00 − Montag 19-08-2024 18:00
Handler:     Michael Schlagenhaufer
Co-Handler:  n/a

=====================
=       News        =
=====================

∗∗∗ Nachbetrachtung: Windows und die TCP-IP-Schwachstelle CVE-2024-38063 ∗∗∗
---------------------------------------------
Zum 13. August 2024 wurde die 0-day-Schwachstelle CVE-2024-38063 in Windows bekannt. Es handelt sich um eine Remote-Code-Execution-Schwachstelle in der TCP/IP-Implementierung von Windows steckt. Angreifer können über IPv6-Pakete einen Host kompromittieren und dort Code ausführen. Weben der Bewertung mit dem CVEv3 Score 9.8 (critical, "Exploitation More Likely") empfiehlt Redmond Administratoren momentan IPv6 zu deaktivieren, hat aber auch Sicherheitsupdates für Windows bereitgestellt. Hier sollten Administratoren also reagieren.
---------------------------------------------
https://www.borncity.com/blog/2024/08/16/nachbetrachtung-windows-und-die-tcp-ip-schwachstelle-cve-2024-38063/


∗∗∗ Technical Analysis: CVE-2024-38021 ∗∗∗
---------------------------------------------
Recently, Morphisec researchers discovered a vulnerability in Microsoft Outlook that can lead to remote code execution (RCE). This vulnerability, identified as CVE-2024-38021, highlights a significant security flaw within the Microsoft Outlook application, potentially allowing attackers to execute arbitrary code without requiring prior authentication.
---------------------------------------------
https://blog.morphisec.com/technical-analysis-cve-2024-38021


∗∗∗ New Mad Liberator gang uses fake Windows update screen to hide data theft ∗∗∗
---------------------------------------------
A new data extortion group tracked as Mad Liberator is targeting AnyDesk users and runs a fake Microsoft Windows update screen to distract while exfiltrating data from the target device. [..] It is unclear how the threat actor selects its targets but one theory, although yet to be proven, is that Mad Liberator tries potential addresses (AnyDesk connection IDs) until someone accepts the connection request.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/new-mad-liberator-gang-uses-fake-windows-update-screen-to-hide-data-theft/


∗∗∗ Chrome will redact credit cards, passwords when you share Android screen ∗∗∗
---------------------------------------------
While the flag doesn't work at the moment, it is supposed to hide sensitive form fields present on the page by redacting the entire screen. It's unclear when the feature will be rolled out to everyone in Chrome for Android, but you'll be able to try the feature in Chrome Canary in the next few weeks.
---------------------------------------------
https://www.bleepingcomputer.com/news/google/chrome-will-redact-credit-cards-passwords-when-you-share-android-screen/


∗∗∗ AMD knickt ein: Ryzen 3000 erhält nun doch Patch gegen Sinkclose-Lücke ∗∗∗
---------------------------------------------
Ursprünglich wollte AMD Ryzen-3000-CPUs nicht gegen die Sinkclose-Lücke patchen. Nach reichlich Unmut in der Community folgt nun die Kehrtwende.
---------------------------------------------
https://www.golem.de/news/amd-knickt-ein-ryzen-3000-erhaelt-nun-doch-patch-gegen-sinkclose-luecke-2408-188144.html


∗∗∗ Verbesserung der Netzwerksicherheit: Überwachung der Client-Kommunikation mit Velociraptor ∗∗∗
---------------------------------------------
SEC Defence, die Managed Incident Response-Einheit von SEC Consult, hat eine Reihe von Velociraptor-Artefakten entwickelt, die es ermöglichen, die aktuelle Netzwerkkommunikation auf registrierten Clients zu überwachen und bei bestimmten Verbindungen zu alarmieren, z. B. zu bekannten bösartigen IP-Adressen oder Verbindungen, die von bekannten bösartigen Prozessen erstellt wurden.
---------------------------------------------
https://sec-consult.com/de/blog/detail/verbesserung-der-netzwerksicherheit-ueberwachung-der-client-kommunikation-mit-velociraptor/


∗∗∗ Xeon Sender Tool Exploits Cloud APIs for Large-Scale SMS Phishing Attacks ∗∗∗
---------------------------------------------
Malicious actors are using a cloud attack tool named Xeon Sender to conduct SMS phishing and spam campaigns on a large scale by abusing legitimate services."Attackers can use Xeon to send messages through multiple software-as-a-service (SaaS) providers using valid credentials for the service providers," SentinelOne security researcher Alex Delamotte said in a report shared with The Hacker News.
---------------------------------------------
https://thehackernews.com/2024/08/xeon-sender-tool-exploits-cloud-apis.html


∗∗∗ Microsoft Azure: Ab 15. Oktober 2024 MFA für Administratoren verpflichtend, aber "Aufschub" möglich ∗∗∗
---------------------------------------------
Microsoft hat gerade im M365 Admin-Nachrichten-Center bekannt gegeben, dass man bei Azure ab dem 15.10.2024 die Authentifizierung der Administratoren über MFA verlangt. Redmond gewährt aber Administratoren die Möglichkeit, diese Verpflichtung um insgesamt 5 Monate zu verschieben.
---------------------------------------------
https://www.borncity.com/blog/2024/08/17/microsoft-azure-ab-15-oktober-2024-mfa-fr-administratoren-verpflichtend-aber-aufschub-mglich/


∗∗∗ Unmasking Styx Stealer: How a Hacker’s Slip Led to an Intelligence Treasure Trove ∗∗∗
---------------------------------------------
The case of Styx Stealer is a compelling example of how even sophisticated cybercriminal operations can slip up due to basic security oversights. The creator of Styx Stealer revealed his personal details, including Telegram accounts, emails, and contacts, by debugging the stealer on his own computer with a Telegram bot token provided by a customer involved in the Agent Tesla campaign. This critical OpSec failure not only compromised his anonymity but also provided valuable intelligence about other cybercriminals, including the originator of the Agent Tesla campaign.
---------------------------------------------
https://research.checkpoint.com/2024/unmasking-styx-stealer-how-a-hackers-slip-led-to-an-intelligence-treasure-trove/


∗∗∗ "WireServing" Up Credentials: Escalating Privileges in Azure Kubernetes Services ∗∗∗
---------------------------------------------
Mandiant disclosed this vulnerability to Microsoft via the MSRC vulnerability disclosure program, and Microsoft has fixed the underlying issue. [..] Adopting a process to create restrictive NetworkPolicies that allow access only to required services prevents this entire attack class. Privilege escalation via an undocumented service is prevented when the service cannot be accessed at all.
---------------------------------------------
https://cloud.google.com/blog/topics/threat-intelligence/escalating-privileges-azure-kubernetes-services/


∗∗∗ Bericht: Pixel-Handys mit heimlicher, aber inaktiver Fernwartung ausgeliefert ∗∗∗
---------------------------------------------
Pixel-Smartphones wurden auf Wunsch Verizons mit Fernwartungssoftware ausgeliefert. Wenn aktiviert, kann sie unsicheren Code nachladen.
---------------------------------------------
https://heise.de/-9836726


∗∗∗ Jetzt patchen! Schadcode-Attacken auf Solarwinds Web Help Desk beobachtet ∗∗∗
---------------------------------------------
Angreifer nutzen derzeit eine kritische Schwachstelle Solarwinds Web Help Desk aus. Ein Sicherheitspatch ist verfügbar, kann aber mitunter für Probleme sorgen.
---------------------------------------------
https://heise.de/-9838566


∗∗∗ SIM-Swapping bleibt in Deutschland Randphänomen ∗∗∗
---------------------------------------------
Zahlreiche Medien warnen vor Schäden durch SIM-Swapping. Die Betrugsmasche bleibt in Deutschland jedoch selten.
---------------------------------------------
https://heise.de/-9839531


=====================
=  Vulnerabilities  =
=====================

∗∗∗ Mehrere Sicherheitsschwachstellen in IDOL2 (uciIDOL) ∗∗∗
---------------------------------------------
Fünf schwerwiegende Sicherheitsschwachstellen wurden in der Zeiterfassungssoftware IDOL2 (uciIDOL) identifiziert. Sie ermöglichen es, die verschlüsselte Kommunikation zwischen Client und Server vollständig zu kompromittieren. Außerdem erlauben sie Remote Code Execution sowohl auf Client- als auch auf Serverseite.
---------------------------------------------
https://www.syss.de/pentest-blog/mehrere-sicherheitsschwachstellen-in-idol-2-uciidol-syss-2024-048/-049/-050/-051/-052


∗∗∗ Security updates for Monday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (python-asyncssh), Fedora (bind, bind-dyndb-ldap, httpd, and tor), SUSE (cosign, cpio, curl, expat, java-11-openjdk, ncurses, netty, netty-tcnative, opera, python-Django, python-Pillow, shadow, sudo, and wpa_supplicant), and Ubuntu (firefox).
---------------------------------------------
https://lwn.net/Articles/986225/


∗∗∗ WebKitGTK and WPE WebKit Security Advisory WSA-2024-0004 ∗∗∗
---------------------------------------------
https://webkitgtk.org/security/WSA-2024-0004.html


∗∗∗ F5: K000140732: BIND vulnerability CVE-2024-1737 ∗∗∗
---------------------------------------------
https://my.f5.com/manage/s/article/K000140732


∗∗∗ Kubernetes: CVE-2024-7646 ∗∗∗
---------------------------------------------
https://github.com/kubernetes/kubernetes/issues/126744

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily