- rwth-security - lists.rwth-aachen.de

Privilege Escalation in Ubuntu Linux (dirty_sock exploit)

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Privilege Escalation in Ubuntu Linux (dirty_sock exploit)" Betrifft snapd (u.a. Kernel Live Patch - siehe dazu z.B. [1] und [2]) --> da Updates bereit stehen, empfiehlt sich ein Update ;) VG Bernd [0] https://shenaniganslabs.io/2019/02/13/Dirty-Sock.html [1] https://wiki.ubuntuusers.de/Livepatch/ [2] https://kofler.info/kernel-live-patches/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 4 Monate

1
0
0 0

[RWTH-Firewall] Erhoehung des Sicherheitsniveaus HTTP(S)- SSH- und RDP-Servern

von Jens Hektor

Hallo, derzeit (bis eben) sind HTTP-Server hinter einer Policy-Regel, die eine Deep Inspection derselben für HTTP-Zugriffe nach "außen" (nicht RWTH-Netze) beinhaltet. Damit sollte der Download von Schadsoftware unterbunden werden. Aus "historischen" Gründen waren das bisher HTTP-Server. nicht HTTPS-, SSH- und RDP-Server. Letzte Vorfälle haben gezeigt, dass wir das ausdehnen wollen. Damit werden diese Servergruppen ab sofort in dieselbe Gruppe wie die eduroam-Netzwerke Netzwerke aufgenommen, für die bereits seit einiger Zeit eine "Deep Inspection" des gesamten nicht verschlüsselten Traffics gilt. Dort scheinen wir ganz gute Erfahrungen gemacht zu haben, auch wenn es dort immer die Möglichkeit von "false positives" gibt. Sollte also jemand auf seinen Servern Probleme mit Updates oder dem Betrieb insgesamt bemerken (z.B. Performance, erhöhte User Beschwerden, ...), wisst Ihr hoffentlich alle, wenn Ihr zu kontakten habt ;-) Wir können durchaus auf Ausnahmewünsche (das ist manchmal insbesondere unter Angabe des Kommunikationspartners sinnvoll) und auf "false postives" der Deep Inspection flexibel reagieren. SSL-Traffic (HTTPS, IMAPS, ...) nach außen ist *derzeit* noch nicht betroffen (s.u.). Kurz: wir haben gerade eine "full deep inspection" für ausgehenden Traffic bei den Servergruppen rwth-http rwth-https rwth-ssh rwth-msrdp in Betrieb genommen. Diese Regelung dehnt den Bereich von von bisher 1008 HTTP-Servern auf 2137 HTTP(S), SSH- und RDP-Server in einem höheren Sicherheitsniveau aus. Kleinere Servergruppen werden hier folgen. Insgesamt haben wir in der RWTH-Firewall 4077 Server registriert. Gruß, Jens Hektor P.S.: Die Inspizierung des ausgehenden Verkehrs der Server bedarf weiterer Schritte, da Schadsoftware mittlerweile zunehmend über HTTPS verteilt wird. Dazu werden wir in der RWTH-Firewall eine Certification Authority (CA) in Betrieb nehmen, die ihrerseits Zertifikate von non-RWTH Servern aufbricht und als Root-CA (!) re-signiert. (nettes Wortspiel) Also eine Root-CA. Dazu wird es nötig sein, dass auf Euren Servern im Certificate Storage die Root-CA der RWTH Firewall installiert wird. Also ein "bischen" Aufwand auf 2k+ Maschinen. ;-) Oder besser: auf allen Maschinen, die Dienste nach aussen anbieten. Das ist Teil des TODO für 2019. More follows. P.P.S. Discussion welcome. Ich verstehe, wenn das weh tuen sollte, aber dazu lassen sich Lösungen finden. Trotzdem: ein go fot feedback! Wenn jemand über das kommende Aufbrechen von SSL-Verbindungen der Server nach draußen diskutieren will, schlage ich vor, ein anderes Subject in der E-Mail zu benutzen. (first come, first serve)

5 Jahre, 4 Monate

11
18
0 0

Re: [RWTH-Firewall] Verringerung des Sicherheitsniveaus HTTP(S)- SSH- und RDP-Servern

von Loeck, Matthias

Hallo zusammen, ich frage mich gerade, warum offenbar etliche Leute dem ITC kein Vertrauen entgegenbringen können oder wollen. Hab Ihr eigentlich nichts Besseres zu tun? Grüße, Matthias Loeck

5 Jahre, 4 Monate

5
6
0 0

Downgrade Attack on TLS 1.3 and Vulnerabilities in Major TLS Libraries

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Downgrade Attack on TLS 1.3 and Vulnerabilities in Major TLS Libraries" VG Bernd [0] https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2019/februa… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 4 Monate

1
0
0 0

FACT - The Firmware Analysis and Comparison Tool

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "FACT - The Firmware Analysis and Comparison Tool" "... The Firmware Analysis and Comparison Tool (FACT) is intended to automate Firmware Security analysis (Router, IoT, UEFI, Webcams, Drones, …) ..." VG Bernd [0] https://fkie-cad.github.io/FACT_core/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 4 Monate

1
0
0 0

RDP Clients Exposed to Reverse RDP Attacks by Major Protocol Issues

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "RDP Clients Exposed to Reverse RDP Attacks by Major Protocol Issues" - so-called "reverse RDP attack." - betroffene Client: FreeRDP, rdesktop und "Microsoft’s own RDP client" ==> Im Grunde läuft es also auch darauf hinaus zu Validieren/Verifizieren, zu welchem Server die Kommunikation aufgebaut wird - die Verwendung von TLS (siehe dazu u.a. [1] - [3]) kann hier unterstützen/helfen. VG Bernd [0] https://www.bleepingcomputer.com/news/security/rdp-clients-exposed-to-rever… [1] https://kb.abacusprivatecloud.com/articles/1602-Enable-TLS-1-2-as-a-Default… [2] https://www.howtogeek.com/175087/how-to-enable-and-secure-remote-desktop-on… [3] https://social.technet.microsoft.com/Forums/en-US/6467c757-9447-4640-ba11-f… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 4 Monate

1
0
0 0

Kritische Lücke in macOS erlaubt Auslesen von Passwörtern

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI " Kritische Lücke in macOS erlaubt Auslesen von Passwörtern" - Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext - Schwachstelle besteht in macOS bis hin zur aktuellen Version 10.14.3 (einen Patch gebe es bislang nicht) VG Bernd [0] https://heise.de/-4297437 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 4 Monate

1
0
0 0

Microsoft - “AaronLocker” moved to GitHub

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "AaronLocker” moved to GitHub" --> "... "AaronLocker" is a robust, practical, and free PowerShell-based application whitelisting solution for Windows, built on Windows AppLocker ..." Hat jemand schon das Tool benutzt, Erfahrungswerte? VG Bernd [0] https://blogs.msdn.microsoft.com/aaron_margosis/2019/01/28/aaronlocker-move… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 5 Monate

1
0
0 0

Electronegativity - identifying misconfigurations and security anti-patterns

von Bernd Kohler

Hallo zusammen (bzw. Electron[0] Entwickler), sofern nicht selber schon gesehen/-lesen hier [1] FYI "Electronegativity is finally out!" "... opensource tool capable of identifying misconfigurations and security anti-patterns ..." VG Bernd [0] https://electronjs.org/ [1] https://blog.doyensec.com/2019/01/24/electronegativity.html -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 5 Monate

1
0
0 0

New Ransomware family Anatova (prepared for modular extension)

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Happy New Year 2019! Anatova is here!" VG Bernd [0] https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 5 Monate

1
0
0 0

2024

2023

2022

2021

2020

2019

2018

rwth-security