rwth-security November 2021

rwth-security@lists.rwth-aachen.de

3 Teilnehmer
5 Diskussionen

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Security Engineering — Third Edition" "... from phone phreaks to Android malware and from SIM swaps and SS7 hacking to 5G ..." VG Bernd [0] https://www.cl.cam.ac.uk/~rja14/book.html -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

2 Jahre, 1 Monat

New Windows zero-day with public exploit lets you become an admin

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "New Windows zero-day with public exploit lets you become an admin" --> m.W. noch nicht gepatched --> PoC auf [1] VG Bernd [0] https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-p… [1] https://github.com/klinix5/InstallerFileTakeOver -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

2 Jahre, 5 Monate

Breach bei Hostinganbieter GoDaddy (E-Mail-Adressen, Kundennummern, das ursprüngliche WordPress-Admin-, Passwort ...)

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "GoDaddy-Datenpanne betrifft 1,2 Millionen WordPress-Kunden" --> siehe dazu auch [1] Zugriff auf (Info laut heise.de) - E-Mail-Adressen - Kundennummern von aktiven und inaktiven Managed WordPress-Kunden - das ursprüngliche WordPress-Admin- Passwort (hat GoDaddy den Kunden bei der Erstellung einer Website schickt; - bei aktiven Kunden wurden zudem sFTP- und Datenbank-Benutzernamen und -Kennwörter offengelegt - bei einem Teil aktiver Kunden darüber hinaus der private SSL-Schlüssel ==> Wer also dort Kunde ist bitte Daten prüfen, besser noch (auch prophylaktisch) ändert (bspw. TLS-Schlüssel). Hier gilt nantürlich auch, dass ein verwendetes und potentiell offen gelegtes Passwort als verbraucht anzusehen ist. VG Bernd [0] https://heise.de/-6274187 [1] https://techcrunch.com/2021/11/22/godaddy-breach-million-accounts/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

2 Jahre, 5 Monate

Outgoing HTTP security calibration days

von Jens Hektor

Hallo, da wir mittlerweile recht erfolgreich sind, im eduroam und VPN per Deep Inspection und Virenscanning Schadsoftwarezugriffe zu detektieren und zu unterbinden, habe ich dies für die ausgehenden HTTP Requests von Clients für die ganze Hochschule ebenfalls um ca. 20:08 aktiviert. In eduroam und VPN machen wir das für den gesamten Traffic, hier will ich mit der auf HTTP (aka TCP/80) beschränkten Maßnahme erst mal die Lastzustände a) auf den Firewalls b) bei mir (wg. Alarmen, der erste ist schon da) c) bei Euch (wg. E-Mails vom SOC) studieren. Ich denke mal, dass wir die meisten false positives in den letzten Jahre aussortiert haben, sollte es Probleme geben, E-Mail mit Zeitpunkt, Quell- und Ziel-IP (ggf. URL) an unser Servicedesk schicken. Gruß, Jens Hektor

2 Jahre, 5 Monate

CVE-2002-20001 - D(HE)ater

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "CVE-2002-20001" --> "... Diffie-Hellman Key Agreement Protocol allows remote attackers (from the client side) to send arbitrary numbers that are actually not public keys, and trigger expensive server-side DHE modular-exponentiation calculations, aka a D(HE)ater attack. ..." VG Bernd [0] https://nvd.nist.gov/vuln/detail/CVE-2002-20001 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

2 Jahre, 5 Monate

2024

2023

2022

2021

2020

2019

2018

rwth-security November 2021