May 2019 - rwth-security - lists.rwth-aachen.de

Sicherheitsanalyse VeraCrypt
by Bernd Kohler 11 Dec '20

11 Dec '20

Hallo zusammen, das BSI hat auf [0] eine Ausschreibungssuche für das Projekt 351 formuliert: "Sicherheitsanalyse VeraCrypt" Da der eine oder andere hier bestimmt VeraCrypt als Alternative zu dem nicht weiter entwickeltem TrueCrypt verwendet dürfte das eine gute Nachricht sein. Daher hier erst einmal FYI. Wer noch mehr Details hat bzw. andere Alternative besser findet darf dies gerne hier in der Liste verewigen/fallen lassen ;) Sobald hier erste Ergebnisse publiziert werden denke ich hoffentlich daran, diese hier als Antwort weiter zu geben - ansonsten wer hier schneller ist ... VG Bernd [0] http://www.evergabe-online.de/tenderdetails.html?id=230461 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 1

BlueKeep - (CVE-2019-0708)
by Bernd Kohler 18 Dec '19

18 Dec '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)" --> Sofern nicht bereits passiert, bitte Updates installieren (zumal bereits ein MEtasploit Modul existiert, was das ganze noch vereinfacht). VG Bernd p.s.: Ich versuche Infos zu bekommen, ob RWTH-IP's betroffen sind (betroffene Personen werden dann direkt angeschrieben. [0] https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html [2] https://github.com/rapid7/metasploit-framework/pull/11869/files/d0e2a36cdd8… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

2 8

Docker Bug Allows Root Access to Host File System
by Bernd Kohler 31 May '19

31 May '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Docker Bug Allows Root Access to Host File System" --> "there’s a fix in the works, it has not yet been integrated" VG Bernd [0] https://duo.com/decipher/docker-bug-allows-root-access-to-host-file-system -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Trivvy - A Simple and Comprehensive Vulnerability Scanner for Containers, Compatible with CI
by Bernd Kohler 16 May '19

16 May '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Trivvy" (A Simple and Comprehensive Vulnerability Scanner for Containers, Compatible with CI" VG Bernd [0] https://github.com/knqyf263/trivy -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

spannende Mai Woche 2019
by Bernd Kohler 15 May '19

15 May '19

Spannende Woche: [0] Cisco Secure Boot Hardware Tampering Vulnerability (aka Thrangrycat") [1] WhatsApp [2] ZombieLoad: Neue Sicherheitslücken in Intel-Prozessoren [3] RDP und neu dazu noch [4] Linux Kernel Prior to 5.0.8 Vulnerable to Remote Code Execution" Und es ist erst Mittwoch, mal schauen, was morgen noch für Überraschungen kommen. Sofern [4] nicht selber schon gesehen/-lesen hier FYI VG Bernd [0] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco… [1] https://heise.de/-4421379 [2] https://heise.de/-4421217 [3] https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updat… [4] https://www.bleepingcomputer.com/news/security/linux-kernel-prior-to-508-vu… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Use udica to build SELinux policy for containers
by Bernd Kohler 15 May '19

15 May '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Use udica to build SELinux policy for containers" VG Bernd [0] https://fedoramagazine.org/use-udica-to-build-selinux-policy-for-containers/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Microsoft recommended block rules
by Bernd Kohler 15 May '19

15 May '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Microsoft recommended block rules" --> Microsoft has identified a list of valid applications that an attacker could also potentially use to bypass Windows Defender Application Control. VG Bernd [0] https://docs.microsoft.com/en-us/windows/security/threat-protection/windows… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Active Directory Security Best Practices
by Bernd Kohler 15 May '19

15 May '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Active Directory Security Best Practices" VG Bernd [0] https://www.ernw.de/download/ERNW_ISH_Conference_2019_AD_Security_BP.pdf -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

CVE-2019-0708: [Windows 7/2008/2008 R2] RDP pre-authentication code execution vulnerability
by Markus Witt 14 May '19

14 May '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI: > CVE-2019-0708: > Remote Desktop Services Remote Code Execution Vulnerability > > A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Das Problem scheint wohl für Windows 7/Windows Server 2008/Windows Server 2008 R2 zu bestehen. Maßnahmen dagegen sind laut MS das Sperren von Port 3389/TCP oder das Aktivieren von "Network Level Authentication". --~~~~ [0] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019…

1 0

MS RDP Freigaben
by Bernd Kohler 11 May '19

11 May '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI Cert-Bund: "Es wird empfohlen, den Zugriff auf RDP-Dienste auf vertrauenswürdige Quell-IPs zu beschränken oder über ein VPN abzusichern." --> nicht das wir das auch immer sagen ;) In diesem Sinne kontrolliert bitte mal eure RDP Freigabe via [1] ob nicht die eine oder andere zurückgenommen werden kann und ob der src IP Bereich passend limitiert ist (letzteres via [2]) VG Bernd p.s.: Die Verweise [1] und [2] sind nur von bei uns regisrierten Ansprechpartnern einsehbar p.p.s.: Laut den Aufzeichnungen unseren Konnektivitätstest waren 236 angemeldete Server (auch Netzen/Netzbereichen) seid mehr als 28 Tage nicht erreichbar. [0] https://mobile.twitter.com/certbund/status/1125725142712311808 [1] https://noc-portal.rz.rwth-aachen.de/firewall-view/ [2] https://noc-portal.rz.rwth-aachen.de/firewall-admin/routers -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

3 3