- rwth-security - lists.rwth-aachen.de

Find You: Building a stealth AirTag clone
by Bernd Kohler 23 Feb '22

23 Feb '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Find You: Building a stealth AirTag clone --> Wer hat noch nicht AirGuard [1] der TU Darmstadt installiert? VG Bernd [0] https://positive.security/blog/find-you [1] https://github.com/seemoo-lab/AirGuard -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Tutorial: Kubernetes Vulnerability Scanning & Testing With Open
by Bernd Kohler 18 Feb '22

18 Feb '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] und [1] FYI "Tutorial: Kubernetes Vulnerability Scanning & Testing With Open Source" --> via kubesploit [1] VG Bernd [0] https://www.conjur.org/blog/tutorial-kubernetes-vulnerability-scanning-test… [1] https://github.com/cyberark/kubesploit -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

2 1

Oh Snap! More Lemmings (Local Privilege Escalation in snap-confine) -
by Bernd Kohler 18 Feb '22

18 Feb '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] und [1] FYI Oh Snap! More Lemmings (Local Privilege Escalation in snap-confine)" --> a SUID-root program that is installed by default on Ubuntu VG Bernd [0] https://www.qualys.com/2022/02/17/cve-2021-44731/oh-snap-more-lemmings.txt -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Deepfakes - Gefahren und Gegenmaßnahmen
by Bernd Kohler 16 Feb '22

16 Feb '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] und [1] FYI "Deepfakes - Gefahren und Gegenmaßnahmen" VG Bernd [0] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informatio… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

2022-01-25 Emotet Download URLs and IoCs
by Bernd Kohler 26 Jan '22

26 Jan '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] und [1] FYI "2022-01-25_Emotet_DownloadURLs" "2022-01-25 Emotet IOCs" VG Bernd [0] https://github.com/CronUp/Malware-IOCs/blob/main/2022-01-25_Emotet_Download… [1] https://github.com/executemalware/Malware-IOCs/blob/main/2022-01-25%20Emote… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Ein Prozent der Let's-Encrypt-Zertifikate wird zurückgezogen
by Bernd Kohler 26 Jan '22

26 Jan '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Ein Prozent der Let's-Encrypt-Zertifikate wird zurückgezogen" VG Bernd [0] https://www.golem.de/news/alpn-ein-prozent-der-let-s-encrypt-zertifikate-wi… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Local Privilege Escalation in polkit's pkexec (CVE-2021-4034)
by Bernd Kohler 25 Jan '22

25 Jan '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Local Privilege Escalation in polkit's pkexec (CVE-2021-4034)" "... polkit's pkexec, a SUID-root program that is installed by default on every major Linux distribution ..." --> wie das ganze dann aussieht, siehe [1] VG Bernd [0] https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt [1] https://twitter.com/bl4sty/status/1486059807681527815 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

PoC zu CVE-2022-0185
by Bernd Kohler 25 Jan '22

25 Jan '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "CVE-2022-0185" - repo contains demo exploits Ist ein PoC zu [1] "Heap-based buffer overflow flaw was found in the way the legacy_parse_param function in the Filesystem Context functionality of the Linux kernel" Patchen lohnt sich ;) VG Bernd [0] https://github.com/Crusaders-of-Rust/CVE-2022-0185 [1] https://access.redhat.com/security/cve/CVE-2022-0185 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Frage zu tcpdump / wireshark / tls
by admin (Frank Knoben) 17 Jan '22

17 Jan '22

Hallo, ich versuche gerade tcpdump / wireshark und tls zu lernen und habe jetzt folgendes Problem, wo ich fragen wollte, ob wer sich da noch ein wenig besser mit auskennt: Auf dem client habe ich tcpdump version 4.9.3 libpcap version 1.9.1 (with TPACKET_V3) OpenSSL 1.1.1f 31 Mar 2020 auf dem Server habe ich tcpdump version 4.9.3 libpcap version 1.9.1 (with TPACKET_V3) OpenSSL 1.1.1k FIPS 25 Mar 2021 Wenn ich jetzt auf dem Client und Server jeweils eine https Verbindung mitschneide: client: /usr/sbin/tcpdump -w /var/log/client.pcap host servername and \( port 443 or 80 \) server: /usr/sbin/tcpdump -w /var/log/server.pcap host clientname and \( port 443 or 80 \) dann vom client aus eine Webseite auf dem Server öffne: firefox https://servername/url bekomme ich folgendes Ergebnis: Im Client pcap steht nach den SYN und ACK ein TLSv1.3 Client Hello und 2 Einträge später ein TLSv1.3 Server Hello Danach sind alle verschlüsselten Verbindungen auch mit TLSv1.3 angegeben. Im Server pcap steht nach dem SYN und ACK ein TLSv1.2 Client Hello und danach stehen auch nur TLSv1.2 Verbindungen. Das hat zur Folge, dass ich das client pcap mit den entsprechenden Keys entschlüsseln kann. Bei dem server pcap geht das nicht. Weiss jemand, wie es zu diesem Verhalten kommt? Viele Grüße Frank Knoben Institut für Geometrie und Praktische Mathematik

1 0

Microsoft Introduces New Security Update Notifications
by Bernd Kohler 13 Jan '22

13 Jan '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Microsoft Introduces New Security Update Notifications" "... newly announced changes, Microsoft says, are designed to help receive Security Update Guide notifications easier, allowing users to sign up with any email address and receive alerts in their inbox (previously, only Live IDs were accepted)..." VG Bernd [0] https://www.securityweek.com/microsoft-introduces-new-security-update-notif… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0