- rwth-security - lists.rwth-aachen.de

von Jens Hektor

Hallo, in den letzten Wochen wird wiederholt gemeldet, daß "SPAM" Emails mit Bezug auf bereits versendete E-Mails eintreffen, die einen Link zu Schadsoftware enthalten. Einen Vorgänger dieser Welle gab es bereits im März (s. Störungsmeldung Security vom 1.4.2021) Es scheint so zu sein, dass ein Empfänger der ursprünglichen E-Mail einen kompromittierten Rechner und vermutlich dann auch einen kompromittierten E-Mail Account hat. Leider haben wir solche kompromittierten Systeme/Accounts nicht nur bei externen Usern, sondern leider auch bei ein paar RWTH Usern. Die Links zu der Schadsoftware sind im Moment immer ähnlich strukturiert: irgend.eine.domain/titel--vorname--nachname/dateiname-mit-bezug-zur-ausgangs-email.zip Also ein kompromittierter Server irgendwo, dann ein Pfad, der den Namen einer Person darzustellen scheint, sowie ein ZIP File, dessen Name Bezug zur E-Mail hat. Dabei ist die Namenskomponente des ZIP-Files beim Abrufen der Schadsoftwarelinks egal, man kriegt immer ein ZIP. Dieses enthält ein Execlsheet mit Makros, Bewertung eines Samples auf Virustotal hier: https://www.virustotal.com/gui/file/e411f55caef690ea3354eb9349c166ac0eea44a… Wenn es sich um einen kompromittierten Account der RWTH handelt, wird gerne als Absender "tim-kennung-des-komprtomittierten-accounts(a)domain.rwth-aachen.de" vorgegaukelt, tatsächlich ist das aber nur der Klartextteil des "From". Macht es uns aber leichter, den kompromittierten Account zu finden. Sollte bei Euch so etwas auflaufen, dem bitte nachgehen und prüfen, welcher der Teilnehmer an der zitierten Konversation betroffen ist. Bitte auch an csi(a)rwth-aachen.de melden. Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Computer Security Incidents Response Team RWTH Aachen University, Center for Computing and Communication Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 https://www.rz.rwth-aachen.de - csi(a)rwth-aachen.de

3 Jahre, 1 Monat

1
0
0 0

Introducing Site Isolation in Firefox

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Introducing Site Isolation in Firefox" VG Bernd [0] https://blog.mozilla.org/security/2021/05/18/introducing-site-isolation-in-… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

3 Jahre, 1 Monat

1
0
0 0

21Nails: Multiple vulnerabilities in Exim

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "21Nails: Multiple vulnerabilities in Exim" VG Bernd [0] https://www.qualys.com/2021/05/04/21nails/21nails.txt -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

3 Jahre, 2 Monate

1
0
0 0

Schwachstelle in IBM Spectrum Protect Backup-Archive Client (ehemals TSM-Client)

von Guido Bunsen

Liebe Kolleginnen und Kollegen, das IT Center wurde heute von IBM auf eine von außen ausnutzbare Schwachstelle im "IBM Spectrum Protect Backup-Archive Client" (ehemals TSM-Client) aufmerksam gemacht. Details stellt IBM unter dem folgenden Link zur Verfügung: https://www.ibm.com/support/pages/node/6445483?myns=swgtiv&mynp=OCSSEQVQ&my… Betroffen sind Versionen bis 8.1.11.0. Das IT Center empfiehlt, zeitnah die Version 8.1.12.0 zu installieren. Ein Link dazu: https://public.dhe.ibm.com/storage/tivoli-storage-management/maintenance/cl… Mit freundlichen Grüßen, Guido Bunsen PS. Ja, diese E-Mail erfüllt leider zahlreiche Kritieren für Phishing-E-Mails :-( -- Dipl.-Inform. Guido Bunsen IT-Manager Security IT Center RWTH Aachen University Seffenter Weg 23 52074 Aachen Tel: +49 241 80-24882 bunsen(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://www.youtube.com/results?search_query=it+center+rwth

3 Jahre, 2 Monate

1
1
0 0

Logins for 1.3 million Windows RDP servers collected from hacker market

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Logins for 1.3 million Windows RDP servers collected from hacker market" --> es gibt zwecks Prüfung die Webseite [1], welche bzgl. RWTH-Daten kontaktiert wurde (hoffentlich hören wir hier nichts weiter) VG Bernd [0] https://www.bleepingcomputer.com/news/security/logins-for-13-million-window… [1] https://rdpwned.adv-gate.com/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

3 Jahre, 2 Monate

1
0
0 0

Security Bug Allows Attackers to Brick Kubernetes Clusters

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Security Bug Allows Attackers to Brick Kubernetes Clusters" VG Bernd [0] https://threatpost.com/security-bug-brick-kubernetes-clusters/165413/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

3 Jahre, 2 Monate

1
0
0 0

NSA discovers critical Exchange Server vulnerabilities, patch now

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "NSA discovers critical Exchange Server vulnerabilities, patch now" "... Microsoft today has released security updates for Exchange Server that address a set of four vulnerabilities with severity scores ranging from high to critical. All the flaws lead to remote code execution on a vulnerable machine ..." VG Bernd [0] https://www.bleepingcomputer.com/news/security/nsa-discovers-critical-excha… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

3 Jahre, 2 Monate

1
0
0 0

Aenderung Firewallpolicy FH Aachen -> RWTH Aachen

von Jens Hektor

Hallo, derzeit ist historisch bedingt die Firewallpolicy in der RWTH Firewall gegenüber der FH Aachen noch "sperrangelweit offen". Das ist nicht mehr zeitgemäß. Wir bereiten derzeit eine zweistufige Korrektur dieses Umstands vor. Zuerst werden wir die klassischen Serverports (Portnummern < 1024) bearbeiten, danach die anderen. Für Server, die bereits eine welt- (oder DE-) weite Freischaltung haben, ist nichts weiter erforderlich. Ansonsten müssen weitere Regeln im entsprechenden Policy Abschnitt für die FH eingepflegt werden. Derzeit sehen die Logs für den Fall privilegierter Ports recht ruhig aus. Zeitrahmen für Stufe 1 so gegen Ende April. Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Security Operations RWTH Aachen University, IT Center RWTH Aachen University Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 http://www.itc.rwth-aachen.de - hektor(a)itc.rwth-aachen.de

3 Jahre, 3 Monate

1
0
0 0

HAFNIUM targeting Exchange Servers with 0-day exploits

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "HAFNIUM targeting Exchange Servers with 0-day exploits" VG Bernd [0] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchan… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

3 Jahre, 3 Monate

1
2
0 0

Dringend: weltweit via HTTPS erreichbare Exchange Server patchen

von Jens Hektor

Hallo, habe gerade den Zugriff auf mail.rwth-aachen.de auf den Bereich RWTH beschränkt. Hintergrund ist eine dringende Warnung von Microsoft bzgl. kritischer Verwundbarkeiten. Bitte alle von aussen erreichbaren ExChange Server umgehenden patchen. S.a.: https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exc… Gruß, Jens Hektor

3 Jahre, 3 Monate

2
1
0 0

2024

2023

2022

2021

2020

2019

2018

rwth-security