October 2018 - rwth-security - lists.rwth-aachen.de

The Illustrated TLS Connection
by Bernd Kohler 31 Dec '18

31 Dec '18

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "The Illustrated TLS Connection" Every byte of a TLS 1.2 connection explained and reproduced. VG Bernd [0] https://tls.ulfheim.net/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 2

Windows Defender Antivirus can now run in a sandbox
by Bernd Kohler 26 Oct '18

26 Oct '18

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Windows Defender Antivirus can now run in a sandbox" VG Bernd [0] https://cloudblogs.microsoft.com/microsoftsecure/2018/10/26/windows-defende… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Abusing Microsoft Office Online Video
by Bernd Kohler 26 Oct '18

26 Oct '18

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI (siehe auch [1]) "Abusing Microsoft Office Online Video" "... abuse the Online Video feature on Microsoft Word to execute malicious code ... Please note: No security warning is presented while opening this document with Microsoft Word ..." Workaround: Word Dokumente mit eingebettetem Video blockieren und keine Dokumente von unbekannten Personen öffnen (Im Zweifelsfall beim Absender nachfragen kann u.U viel Ärger ersparen). VG Bernd [0] https://blog.cymulate.com/abusing-microsoft-office-online-video [1] https://www.theregister.co.uk/2018/10/25/microsoft_office_word_video_vulner… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

CVE-2018-14665 Incorrect permission check in Xorg X server allows for privilege escalation
by Bernd Kohler 25 Oct '18

25 Oct '18

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Incorrect permission check in Xorg X server allows for privilege escalation" Ein möglicher PoC wäre cd /etc; Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1;su Ein Patch ist auf [1] verfügar. Sobald es über die Repos der jeweiligen Distribution bereit steht, sollte das Update vor allem bei Mehrbenutzersystemen asap installiert werden. Ein vorgestellter (noch nicht getesteter) workaround wäre chmod 755 (bzw. chmod u-s) auf das installierte Xorg Binary Betroffen sind xorg-server ab Version 1.19.0 - hier tauchte der Commit [2], über den ein LPE (local privilege escalation) möglich ist, zum ersten Mal auf. VG Bernd [0] https://bugzilla.redhat.com/show_bug.cgi?id=1643131 [1] https://gitlab.freedesktop.org/xorg/xserver/commit/50c0cf885a6e91c0ea71fb49… [2] https://gitlab.freedesktop.org/xorg/xserver/commit/032b1d79b7 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

A Guide to Post-Quantum Cryptography
by Bernd Kohler 24 Oct '18

24 Oct '18

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "A Guide to Post-Quantum Cryptography" VG Bernd [0] https://blog.trailofbits.com/2018/10/22/a-guide-to-post-quantum-cryptograph… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Patch now! Multiple serious flaws found in Drupal
by Bernd Kohler 23 Oct '18

23 Oct '18

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Patch now! Multiple serious flaws found in Drupal" Fixed Version: 7,60, 8.5.8 oder 8.6.2 VG Bernd [0] https://nakedsecurity.sophos.com/2018/10/23/patch-now-multiple-serious-flaw… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

[ jQuery File Upload] - Popular website plugin harboured a serious 0-day for years
by Bernd Kohler 22 Oct '18

22 Oct '18

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Popular website plugin harboured a serious 0-day for years" "... An unnerving example is a vulnerability that Akamai’s Larry Cashdollar stumbled on earlier this year after encountering the hugely popular file upload plugin, jQuery File Upload, used to add user-friendly file upload capabilities like drag and drop to websites and web content management systems, including WordPress ..." Identifiziert als CVE-2018-9206 Fixed Version 9.22.1 (released 13.10.2018) --> Update jQuery File Upload asap VG Bernd [0] https://nakedsecurity.sophos.com/2018/10/22/popular-website-plugin-harboure… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Sicherheitslücke in Windows - Den Gast zum Admin machen
by Bernd Kohler 19 Oct '18

19 Oct '18

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Sicherheitslücke in Windows - Den Gast zum Admin machen" VG Bernd [0] https://www.golem.de/news/sicherheitsluecke-in-windows-den-gast-zum-admin-m… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

[GIT] CVE-2018-17456 PoC
by Bernd Kohler 19 Oct '18

19 Oct '18

Hallo zusammen, für den CVE-2018-17456 [0] "execute arbitrary code by crafting a malicious .gitmodules file in a project cloned with --recurse-submodules" [1] gibt es PoC. Wo? - Natürlich auf Github [2] bzw. Exploit-DB. Sofern nicht schon geschehen sollte eine Update so langsam erfolgen :D VG Bernd [0] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17456 [1] https://marc.info/?l=git&m=153875888916397&w=2 [2] https://gist.github.com/joernchen/38dd6400199a542bc9660ea563dcf2b6 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Aktuelle Warnung des DFN-CERT vor Spear-Phishing
by Jens Hektor 17 Oct '18

17 Oct '18

Hallo, uns erreichte eben folgende Warnung des DFN-CERT: --------------------------------------------- Liebe Kolleginnen und Kollegen, wir haben Informationen zu einer aktuellen Spear-Phishing-Kampagne erhalten, deren Ziel deutsche Hochschulen und Forschungseinrichtungen sind. Die dazu verschickten E-Mails warnen z.B. vor dem angeblichen Ablauf eines Bibliothekskontos und enthalten Links, über die möglicherweise auch Schadsoftware verteilt wird. Die E-Mails stammen vermeintlich von einem validen E-Mail-Account einer Hochschule, werden aber von einem französischen Server versendet. Weiterhin enthalten die E-Mails eine gefälschte Signatur der Universitätsbibliothek mit der Registrierungsnummer „SC014336“. Der Empfänger einer solchen E-Mail wird darüber in Kenntnis gesetzt, dass sein Bibliothekskonto bald ablaufe und zur weiteren Nutzung und Aktivierung aufgefordert, den Link „Mein Bibliothekskonto“ aufzurufen und sich anzumelden. Bei diesem Link handelt es sich um eine vom Angreifer kontrollierte Internetpräsenz. Die Angreifer zielen wahrscheinlich darauf ab, das Netzwerk der jeweiligen Universität bzw. Forschungseinrichtung mit den erlangten Credentials zu infiltrieren. Die gesamte Vorgehensweise lässt einen gezielten Angriff auf Angehörige der jeweiligen Universität bzw. Forschungseinrichtung vermuten. Bitte sensibilisieren Sie ggf. den betreffenden Personenkreis ihrer Einrichtung. Wir bearbeiten diesen Vorfall unter der Nummer im Betreff und stehen Ihnen für Nachfragen gerne zur Verfügung. Viele Grüße aus Hamburg, Ihr DFN-CERT --------------------------------------------- sollte so etwas auftauchen, setzt uns bitte in Kenntnis. Ansonsten bitte obenstehendes beachten und umsetzen. Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Networks IT Center, RWTH Aachen University Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22666 http://www.itc.rwth-aachen.de - hektor(a)itc.rwth-aachen.de

1 0