July 2019 - rwth-security - lists.rwth-aachen.de

Targeting AD FS With External Brute-Force Attacks
by Bernd Kohler 11 Jul '19

11 Jul '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Targeting AD FS With External Brute-Force Attacks" "On July 2019 Patch Tuesday, Microsoft released a patch for CVE-2019-1126, an important vulnerability ... While Microsoft only released one patch, we believe there are two vulnerabilities that allow attackers to remotely launch brute-force attacks on AD FS servers from the outside of the network. Attackers can bypass the Extranet Lockout Protection security feature and also bypass the Microsoft AD lockout policy(!) in certain scenarios ..." VG Bernd [0] https://blog.preempt.com/security-advisory-targeting-ad-fs-with-external-br… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Apple pusht leises Update und entfernt lokalen Zoom webserver
by David Valero Ribes 11 Jul '19

11 Jul '19

Hallo zusammen, Falls noch nicht selbstgesehen: https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/ Apple pushes silent update to disable vulnerable locally running Zoom webserver, which had allowed websites to activate users Cameras without any interaction. Now users will be asked to open the app instead. Die Zoom saga scheint somit zu ende zu sein. VG, David

1 0

Agent Smith Malware Infects 25M Android Phones to Push Rogue Ads
by Bernd Kohler 10 Jul '19

10 Jul '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Agent Smith Malware Infects 25M Android Phones to Push Rogue Ads" "... new breed of Android malware, dubbed “Agent Smith,” that they claim has infected 25 million handsets in order to replace legitimate apps with doppelgangers that display rogue ads ..." VG Bernd [0] https://threatpost.com/malware-agent-smith-android-ads/146359/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

linux-smart-enumeration
by Bernd Kohler 10 Jul '19

10 Jul '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "linux-smart-enumeration" --> "... This script will show relevant information about the security of the local Linux system ..." VG Bernd [0] https://github.com/diego-treitos/linux-smart-enumeration -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Debian - apt-key depricated method
by Bernd Kohler 10 Jul '19

10 Jul '19

Hallo zusammen, im Zuge der Darstellung einer Schwachstelle bei den Synchronizing Key Server (SKS) Server von GnuPG (siehe u.a. [0]) merkte Hanno Böck an, dass über "poisoned pgp key" unter Verwendung des nachstehenden Kommandos bei Debian/Ubuntu, diese u.U unbrauchbar werden können apt-key adv --recv-keys --keyserver keyserver.ubuntu.com [keyid] Statt auf den Keyserver zurückzugreifen (was auf vielen Seiten als Howto empfohlen wird), kann aber auch der PGP-Schlüssel (alleine) in vielen Fällen direkt von der Webseite des Repos herunterladen und installieren "curl https://[some_url_with_the_key] | apt-key add -" Dies habe ich so auch schon des öfteren gesehen, wie sich aber im Laufe der Diskussion herausstellte, sind diese Methoden deprecated - siehe [2] Der korrekte Weg ist über die Installation der Schlüssel in trusted.gpg.d/ (Grund ist Unabhängigkeit von gnupg) - siehe dazu auch [3]. Also z.B: "curl https://[some_url_with_the_key] | sudo apt-key --keyring /etc/apt/trusted.gpg.d/foo.gpg add -" Voraussetzung ist hier der "dirmngr" (siehe z.B. [4]) Es können auch ASCII-armored keys in trusted.gpg.d/ abgelegt werden, vorausgesetzt die Datei endet auf ".asc". Sofern nicht selber schon gesehen/-lesen hier FYI VG Bernd [0] https://heise.de/-4458354 [1] https://wiki.debian.org/SecureApt [2] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=858238 [3] https://manpages.debian.org/stretch/apt/apt-key.8.de.html [4] https://packages.debian.org/de/buster/dirmngr -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Unpatched Prototype Pollution Flaw Affects All Versions of Popular Lodash Library
by Bernd Kohler 09 Jul '19

09 Jul '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Unpatched Prototype Pollution Flaw Affects All Versions of Popular Lodash Library" "... a popular npm library used by more than 4 million projects on GitHub alone, is affected by a high severity security vulnerability that could allow attackers to compromise the security of affected services using the library and their respective user base ..." --> affects all versions of lodash, including the latest version 4.17.11. VG Bernd [0] https://thehackernews.com/2019/07/lodash-prototype-pollution.html -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website!
by Bernd Kohler 09 Jul '19

09 Jul '19

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website!" "... A vulnerability in the Mac Zoom Client allows any malicious website to enable your camera without your permission ..." Dazu passend auf TWitter gefunden • Drag the Zoom app to the trash Then in Terminal: • lsof -i :19421 (to get the PID) • kill -9 [PID] (this kills the crab) • rm -rf ~/.zoomus (gtfo) • touch ~/.zoomus (and stay out) VG Bernd [0] https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-mayb… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

1 0

Zoom Zero Day - Webseite kann deine Kamera anschalten
by David Valero Ribes 09 Jul '19

09 Jul '19

Hallo, Falls noch nicht selbst gesehen: https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-mayb… (Mit Proof of concept Group video chat) Zoom läuft nach deinstallation weiter auf dem Komputer, und kann mit einer webseite reinstalliert werden. Viele grüße, David

1 0