Hallo,
in den letzten Wochen wird wiederholt gemeldet, daß "SPAM" Emails
mit Bezug auf bereits versendete E-Mails eintreffen, die einen
Link zu Schadsoftware enthalten.
Einen Vorgänger dieser Welle gab es bereits im März
(s. Störungsmeldung Security vom 1.4.2021)
Es scheint so zu sein, dass ein Empfänger der ursprünglichen
E-Mail einen kompromittierten Rechner und vermutlich dann
auch einen kompromittierten E-Mail Account hat.
Leider haben wir solche kompromittierten Systeme/Accounts
nicht nur bei externen Usern, sondern leider auch bei ein paar
RWTH Usern.
Die Links zu der Schadsoftware sind im Moment
immer ähnlich strukturiert:
irgend.eine.domain/titel--vorname--nachname/dateiname-mit-bezug-zur-ausgangs-email.zip
Also ein kompromittierter Server irgendwo,
dann ein Pfad, der den Namen einer Person darzustellen scheint,
sowie ein ZIP File, dessen Name Bezug zur E-Mail hat.
Dabei ist die Namenskomponente des ZIP-Files beim Abrufen der
Schadsoftwarelinks egal, man kriegt immer ein ZIP.
Dieses enthält ein Execlsheet mit Makros, Bewertung
eines Samples auf Virustotal hier:
https://www.virustotal.com/gui/file/e411f55caef690ea3354eb9349c166ac0eea44a…
Wenn es sich um einen kompromittierten Account der
RWTH handelt, wird gerne als Absender
"tim-kennung-des-komprtomittierten-accounts(a)domain.rwth-aachen.de"
vorgegaukelt, tatsächlich ist das aber nur der
Klartextteil des "From".
Macht es uns aber leichter, den kompromittierten Account zu finden.
Sollte bei Euch so etwas auflaufen, dem bitte nachgehen
und prüfen, welcher der Teilnehmer an der zitierten
Konversation betroffen ist.
Bitte auch an
csi(a)rwth-aachen.de
melden.
Gruß, Jens Hektor
--
Dipl.-Phys. Jens Hektor, Computer Security Incidents Response Team
RWTH Aachen University, Center for Computing and Communication
Room 2.04, Wendlingweg 10, 52074 Aachen (Germany)
Phone: +49 241 80 29206 - Fax: +49 241 80 22100
https://www.rz.rwth-aachen.de - csi(a)rwth-aachen.de
Hallo,
derzeit ist historisch bedingt die Firewallpolicy in der RWTH Firewall
gegenüber der FH Aachen noch "sperrangelweit offen".
Das ist nicht mehr zeitgemäß.
Wir bereiten derzeit eine zweistufige Korrektur dieses Umstands vor.
Zuerst werden wir die klassischen Serverports (Portnummern < 1024)
bearbeiten, danach die anderen.
Für Server, die bereits eine welt- (oder DE-) weite Freischaltung
haben, ist nichts weiter erforderlich.
Ansonsten müssen weitere Regeln im entsprechenden Policy Abschnitt
für die FH eingepflegt werden.
Derzeit sehen die Logs für den Fall privilegierter Ports recht
ruhig aus.
Zeitrahmen für Stufe 1 so gegen Ende April.
Gruß, Jens Hektor
--
Dipl.-Phys. Jens Hektor, Security Operations
RWTH Aachen University, IT Center RWTH Aachen University
Room 2.04, Wendlingweg 10, 52074 Aachen (Germany)
Phone: +49 241 80 29206 - Fax: +49 241 80 22100
http://www.itc.rwth-aachen.de - hektor(a)itc.rwth-aachen.de
Hallo,
habe gerade den Zugriff auf
mail.rwth-aachen.de
auf den Bereich RWTH beschränkt.
Hintergrund ist eine dringende Warnung von Microsoft
bzgl. kritischer Verwundbarkeiten.
Bitte alle von aussen erreichbaren ExChange Server
umgehenden patchen.
S.a.:
https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exc…
Gruß, Jens Hektor