February 2019 - rwth-security - lists.rwth-aachen.de

Security analysis toolkit for proprietary car protocols
by Bernd Kohler 15 Feb '19

15 Feb '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Security analysis toolkit for proprietary car protocols " VG Bernd [0] https://github.com/schutzwerk/CANalyzat0r -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Privilege Escalation in Ubuntu Linux (dirty_sock exploit)
by Bernd Kohler 14 Feb '19

14 Feb '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Privilege Escalation in Ubuntu Linux (dirty_sock exploit)" Betrifft snapd (u.a. Kernel Live Patch - siehe dazu z.B. [1] und [2]) --> da Updates bereit stehen, empfiehlt sich ein Update ;) VG Bernd [0] https://shenaniganslabs.io/2019/02/13/Dirty-Sock.html [1] https://wiki.ubuntuusers.de/Livepatch/ [2] https://kofler.info/kernel-live-patches/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

[RWTH-Firewall] Erhoehung des Sicherheitsniveaus HTTP(S)- SSH- und RDP-Servern
by Jens Hektor 13 Feb '19

13 Feb '19

Hallo, derzeit (bis eben) sind HTTP-Server hinter einer Policy-Regel, die eine Deep Inspection derselben für HTTP-Zugriffe nach "außen" (nicht RWTH-Netze) beinhaltet. Damit sollte der Download von Schadsoftware unterbunden werden. Aus "historischen" Gründen waren das bisher HTTP-Server. nicht HTTPS-, SSH- und RDP-Server. Letzte Vorfälle haben gezeigt, dass wir das ausdehnen wollen. Damit werden diese Servergruppen ab sofort in dieselbe Gruppe wie die eduroam-Netzwerke Netzwerke aufgenommen, für die bereits seit einiger Zeit eine "Deep Inspection" des gesamten nicht verschlüsselten Traffics gilt. Dort scheinen wir ganz gute Erfahrungen gemacht zu haben, auch wenn es dort immer die Möglichkeit von "false positives" gibt. Sollte also jemand auf seinen Servern Probleme mit Updates oder dem Betrieb insgesamt bemerken (z.B. Performance, erhöhte User Beschwerden, ...), wisst Ihr hoffentlich alle, wenn Ihr zu kontakten habt ;-) Wir können durchaus auf Ausnahmewünsche (das ist manchmal insbesondere unter Angabe des Kommunikationspartners sinnvoll) und auf "false postives" der Deep Inspection flexibel reagieren. SSL-Traffic (HTTPS, IMAPS, ...) nach außen ist *derzeit* noch nicht betroffen (s.u.). Kurz: wir haben gerade eine "full deep inspection" für ausgehenden Traffic bei den Servergruppen rwth-http rwth-https rwth-ssh rwth-msrdp in Betrieb genommen. Diese Regelung dehnt den Bereich von von bisher 1008 HTTP-Servern auf 2137 HTTP(S), SSH- und RDP-Server in einem höheren Sicherheitsniveau aus. Kleinere Servergruppen werden hier folgen. Insgesamt haben wir in der RWTH-Firewall 4077 Server registriert. Gruß, Jens Hektor P.S.: Die Inspizierung des ausgehenden Verkehrs der Server bedarf weiterer Schritte, da Schadsoftware mittlerweile zunehmend über HTTPS verteilt wird. Dazu werden wir in der RWTH-Firewall eine Certification Authority (CA) in Betrieb nehmen, die ihrerseits Zertifikate von non-RWTH Servern aufbricht und als Root-CA (!) re-signiert. (nettes Wortspiel) Also eine Root-CA. Dazu wird es nötig sein, dass auf Euren Servern im Certificate Storage die Root-CA der RWTH Firewall installiert wird. Also ein "bischen" Aufwand auf 2k+ Maschinen. ;-) Oder besser: auf allen Maschinen, die Dienste nach aussen anbieten. Das ist Teil des TODO für 2019. More follows. P.P.S. Discussion welcome. Ich verstehe, wenn das weh tuen sollte, aber dazu lassen sich Lösungen finden. Trotzdem: ein go fot feedback! Wenn jemand über das kommende Aufbrechen von SSL-Verbindungen der Server nach draußen diskutieren will, schlage ich vor, ein anderes Subject in der E-Mail zu benutzen. (first come, first serve)

11 18

Re: [RWTH-Firewall] Verringerung des Sicherheitsniveaus HTTP(S)- SSH- und RDP-Servern
by Loeck, Matthias 11 Feb '19

11 Feb '19

Hallo zusammen, ich frage mich gerade, warum offenbar etliche Leute dem ITC kein Vertrauen entgegenbringen können oder wollen. Hab Ihr eigentlich nichts Besseres zu tun? Grüße, Matthias Loeck

5 6

Downgrade Attack on TLS 1.3 and Vulnerabilities in Major TLS Libraries
by Bernd Kohler 08 Feb '19

08 Feb '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Downgrade Attack on TLS 1.3 and Vulnerabilities in Major TLS Libraries" VG Bernd [0] https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2019/februa… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

FACT - The Firmware Analysis and Comparison Tool
by Bernd Kohler 07 Feb '19

07 Feb '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "FACT - The Firmware Analysis and Comparison Tool" "... The Firmware Analysis and Comparison Tool (FACT) is intended to automate Firmware Security analysis (Router, IoT, UEFI, Webcams, Drones, …) ..." VG Bernd [0] https://fkie-cad.github.io/FACT_core/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

RDP Clients Exposed to Reverse RDP Attacks by Major Protocol Issues
by Bernd Kohler 06 Feb '19

06 Feb '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "RDP Clients Exposed to Reverse RDP Attacks by Major Protocol Issues" - so-called "reverse RDP attack." - betroffene Client: FreeRDP, rdesktop und "Microsoft’s own RDP client" ==> Im Grunde läuft es also auch darauf hinaus zu Validieren/Verifizieren, zu welchem Server die Kommunikation aufgebaut wird - die Verwendung von TLS (siehe dazu u.a. [1] - [3]) kann hier unterstützen/helfen. VG Bernd [0] https://www.bleepingcomputer.com/news/security/rdp-clients-exposed-to-rever… [1] https://kb.abacusprivatecloud.com/articles/1602-Enable-TLS-1-2-as-a-Default… [2] https://www.howtogeek.com/175087/how-to-enable-and-secure-remote-desktop-on… [3] https://social.technet.microsoft.com/Forums/en-US/6467c757-9447-4640-ba11-f… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Kritische Lücke in macOS erlaubt Auslesen von Passwörtern
by Bernd Kohler 04 Feb '19

04 Feb '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI " Kritische Lücke in macOS erlaubt Auslesen von Passwörtern" - Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext - Schwachstelle besteht in macOS bis hin zur aktuellen Version 10.14.3 (einen Patch gebe es bislang nicht) VG Bernd [0] https://heise.de/-4297437 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0