- rwth-security - lists.rwth-aachen.de

Urban VPN (was: Hola VPN)
by Jens Hektor 20 Sep '21

20 Sep '21

Hallo! Wir hatten im August 2019 eine echte Spammerwelle. die durch zahlreiche Blast-o-mat Sperrungen begleitet wurde. Das ganze wurde hier bereits thematisiert: https://lists.rwth-aachen.de/hyperkitty/list/rwth-security@lists.rwth-aache… Kurz: Urban VPN scheint das neue Hola VPN zu sein. Funktioniert wohl genauso, d.h. der Traffic anderer Teilnehmer dieses Netzwerkes fällt aus den hiesigen Knoten raus. Spammer im RWTH-Netz sind dann eher noch die harmlose Variante. Vorschrift: Urban VPN ist im RWTH Netz zu deinstallieren. Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Computer Security Incidents Response Team RWTH Aachen University, Center for Computing and Communication Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 https://www.rz.rwth-aachen.de - csi(a)rwth-aachen.de

1 1

Bypass defender with Powershell? Run the same payload twice
by Bernd Kohler 06 Sep '21

06 Sep '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] (bzw. [1] FYI "... Bypass defender with Powershell? Run the same payload twice ..." VG Bernd [0] https://www.twitch.tv/videos/1139866725 [1] https://twitter.com/Flangvik/status/1434579985528934400 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Vortrag zum Thema "Introduction to TLS 1.3" des Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE
by Bernd Kohler 03 Sep '21

03 Sep '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Introduction to TLS 1.3" --> Wurde veranstaltet durch das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE [1] VG Bernd [0] https://www.youtube.com/watch?v=XfB7ncNROJU [1] https://www.athene-center.de/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Introduction to TLS 1.3
by Bernd Kohler 24 Aug '21

24 Aug '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Introduction to TLS 1.3" 24. Aug. Begin 3 pm CEST Duration 3 h VG Bernd [0] https://esorics2021.athene-center.de/tutorial-08-24.php -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

NSA, CISA release Kubernetes Hardening Guidance
by Bernd Kohler 04 Aug '21

04 Aug '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "NSA, CISA release Kubernetes Hardening Guidance" (Das PDF-Dokument selber gibt es auf [1]) VG Bernd [0] https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2716… [1] https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20H… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Linux system service bug lets you get root on most modern distros
by Bernd Kohler 11 Jun '21

11 Jun '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Linux system service bug lets you get root on most modern distros" --> "... polkit local privilege escalation bug ... includes popular distros such as RHEL 8, Fedora 21 (or later), Ubuntu 20.04, as well as unstable versions like Debian testing ('bullseye') and its derivatives ..." VG Bernd [0] https://www.bleepingcomputer.com/news/security/linux-system-service-bug-let… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Quakbot - Welle in der RWTH
by Jens Hektor 28 May '21

28 May '21

Hallo, in den letzten Wochen wird wiederholt gemeldet, daß "SPAM" Emails mit Bezug auf bereits versendete E-Mails eintreffen, die einen Link zu Schadsoftware enthalten. Einen Vorgänger dieser Welle gab es bereits im März (s. Störungsmeldung Security vom 1.4.2021) Es scheint so zu sein, dass ein Empfänger der ursprünglichen E-Mail einen kompromittierten Rechner und vermutlich dann auch einen kompromittierten E-Mail Account hat. Leider haben wir solche kompromittierten Systeme/Accounts nicht nur bei externen Usern, sondern leider auch bei ein paar RWTH Usern. Die Links zu der Schadsoftware sind im Moment immer ähnlich strukturiert: irgend.eine.domain/titel--vorname--nachname/dateiname-mit-bezug-zur-ausgangs-email.zip Also ein kompromittierter Server irgendwo, dann ein Pfad, der den Namen einer Person darzustellen scheint, sowie ein ZIP File, dessen Name Bezug zur E-Mail hat. Dabei ist die Namenskomponente des ZIP-Files beim Abrufen der Schadsoftwarelinks egal, man kriegt immer ein ZIP. Dieses enthält ein Execlsheet mit Makros, Bewertung eines Samples auf Virustotal hier: https://www.virustotal.com/gui/file/e411f55caef690ea3354eb9349c166ac0eea44a… Wenn es sich um einen kompromittierten Account der RWTH handelt, wird gerne als Absender "tim-kennung-des-komprtomittierten-accounts(a)domain.rwth-aachen.de" vorgegaukelt, tatsächlich ist das aber nur der Klartextteil des "From". Macht es uns aber leichter, den kompromittierten Account zu finden. Sollte bei Euch so etwas auflaufen, dem bitte nachgehen und prüfen, welcher der Teilnehmer an der zitierten Konversation betroffen ist. Bitte auch an csi(a)rwth-aachen.de melden. Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Computer Security Incidents Response Team RWTH Aachen University, Center for Computing and Communication Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 https://www.rz.rwth-aachen.de - csi(a)rwth-aachen.de

1 0

Introducing Site Isolation in Firefox
by Bernd Kohler 19 May '21

19 May '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Introducing Site Isolation in Firefox" VG Bernd [0] https://blog.mozilla.org/security/2021/05/18/introducing-site-isolation-in-… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

21Nails: Multiple vulnerabilities in Exim
by Bernd Kohler 04 May '21

04 May '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "21Nails: Multiple vulnerabilities in Exim" VG Bernd [0] https://www.qualys.com/2021/05/04/21nails/21nails.txt -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

Schwachstelle in IBM Spectrum Protect Backup-Archive Client (ehemals TSM-Client)
by Guido Bunsen 28 Apr '21

28 Apr '21

Liebe Kolleginnen und Kollegen, das IT Center wurde heute von IBM auf eine von außen ausnutzbare Schwachstelle im "IBM Spectrum Protect Backup-Archive Client" (ehemals TSM-Client) aufmerksam gemacht. Details stellt IBM unter dem folgenden Link zur Verfügung: https://www.ibm.com/support/pages/node/6445483?myns=swgtiv&mynp=OCSSEQVQ&my… Betroffen sind Versionen bis 8.1.11.0. Das IT Center empfiehlt, zeitnah die Version 8.1.12.0 zu installieren. Ein Link dazu: https://public.dhe.ibm.com/storage/tivoli-storage-management/maintenance/cl… Mit freundlichen Grüßen, Guido Bunsen PS. Ja, diese E-Mail erfüllt leider zahlreiche Kritieren für Phishing-E-Mails :-( -- Dipl.-Inform. Guido Bunsen IT-Manager Security IT Center RWTH Aachen University Seffenter Weg 23 52074 Aachen Tel: +49 241 80-24882 bunsen(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://www.youtube.com/results?search_query=it+center+rwth

1 1