End-of-Day report
Timeframe: Dienstag 09-12-2025 18:00 - Mittwoch 10-12-2025 18:00
Handler: Guenes Holler
Co-Handler: n/a
News
Der doppelte Login: Phishing-Versuch bei der Salzburg AG
Mit Phishing-Mails locken Kriminelle die Kund:innen der Salzburg AG auf eine gefälschte Login-Seite. Der erste Anmeldeversuch schlägt zwar fehl, übermittelt aber Usernamen und Passwort an die Betrüger:innen - und öffnet die echte Eingabemaske. Da der zweite Versuch klappt, schöpfen die Opfer keinen Verdacht. Warum die Masche auch für Nicht-Kund:innen relevant ist, erklärt dieser Artikel.
https://www.watchlist-internet.at/news/phishing-doppelter-login/
01flip: Multi-Platform Ransomware Written in Rust
In June 2025, we observed a new ransomware family named 01flip targeting a limited set of victims in the Asia-Pacific region. 01flip ransomware is fully written in the Rust programming language and supports multi-platform architectures by leveraging the cross-compilation feature of Rust.
https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/
Opportunistic Pro-Russia Hacktivists Attack US and Global Critical Infrastructure
CISA, in partnership with Federal Bureau of Investigation, the National Security Agency, Department of Energy, Environmental Protection Agency, the Department of Defense Cyber Crime Center, and other international partners published a joint cybersecurity advisory, Pro-Russia Hacktivists Create Opportunistic Attacks Against US and Global Critical Infrastructure.
https://www.cisa.gov/news-events/alerts/2025/12/09/opportunistic-pro-russia-hacktivists-attack-us-and-global-critical-infrastructure
Spiderman Phishing Kit Targets European Banks with Real-Time Credential Theft
Varonis threat analysts warn about Spiderman, a dangerous new kit that automates attacks against European banks and crypto customers, stealing a victim-s full identity profile.
https://hackread.com/spiderman-phishing-kit-european-banks-credential-theft/
Vulnerabilities
Besser manuell patchen: Hacker nutzen gefährliche Lücke im Notepad++-Updater aus
Angreifer verbreiten über eine Sicherheitslücke im Updater von Notepad++ Malware. Der Entwickler warnt und rät zum Update - aber besser von Hand.
https://www.golem.de/news/besser-manuell-patchen-hacker-nutzen-gefaehrliche-luecke-im-notepad-updater-aus-2512-203082.html
Patchday: Angreifer nutzen Sicherheitslücke in Windows und Windows Server aus
Derzeit haben Angreifer unter anderem Windows 11 und Windows Server 2022 im Visier. Demzufolge sollten Admins sicherstellen, dass Windows Update auf ihren Systemen aktiv ist und die aktuellen Sicherheitspatches installiert sind.
https://www.heise.de/news/Patchday-Angreifer-nutzen-Sicherheitsluecke-in-Windows-und-Windows-Server-aus-11109585.html
Bitdefender: Sicherheitsleck ermöglicht Rechteausweitung im Virenschutz
In der Virenschutzsoftware von Bitdefender wurde eine Sicherheitslücke entdeckt, die Angreifern das Ausweiten ihrer Rechte im System ermöglicht. Betroffen sind diverse Bitdefender-Varianten. Aktualisierungen zum Ausbessern der Schwachstelle sind verfügbar.
https://www.heise.de/news/Bitdefender-Sicherheitsleck-ermoeglicht-Rechteausweitung-im-Virenschutz-11110551.html
Security updates for Wednesday
Security updates have been issued by AlmaLinux (abrt and kernel), Debian (libpng1.6, libsoup2.4, pdns-recursor, webkit2gtk, and wordpress), Fedora (imhex, libwebsockets, lunasvg, python3-docs, and python3.14), Mageia (python3 and webkit2), Red Hat (abrt, firefox, mysql8.4, and postgresql:15), Slackware (mozilla), SUSE (gegl, gnutls, go1.24, go1.25, libpng16-16, openssh, postgresql13, python-Jinja2, and sssd), and Ubuntu (fonttools and netty).
https://lwn.net/Articles/1049939/
Fortinet-Patchday: SSO-Login in vielen Produkten umgehbar
Angreifer können verschiedene Fortinet-Produkte attackieren und sich unter anderem unbefugt Zugriff verschaffen. Sicherheitsupdates stehen zum Download bereit. Bislang sind keine Berichte zu laufenden Attacken bekannt. Admins sollten mit dem Patchen aber nicht zu lange warten.
https://heise.de/-11109878
Ivanti stopft kritische Sicherheitlücke im Endpoint Manager
Ein Update für Ivantis Endpoint Manager schließt unter anderem eine kritische Sicherheitslücke, durch die Angreifer Javascript einschleusen können.
https://heise.de/-11110277
DSA-6075-1 wordpress - security update
https://lists.debian.org/debian-security-announce/2025/msg00241.html
ZDI-25-1045: Schneider Electric PowerChute Serial Shutdown Directory Traversal Local Privilege Escalation Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-25-1045/
ZDI-25-1042: Siemens Simcenter Femap IGS File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-25-1042/
Security Vulnerabilities fixed in Thunderbird 140.6
https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/
Security Vulnerabilities fixed in Thunderbird 146
https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/
CISA Releases Three Industrial Control Systems Advisories
https://www.cisa.gov/news-events/alerts/2025/12/09/cisa-releases-three-industrial-control-systems-advisories
CISA Adds Two Known Exploited Vulnerabilities to Catalog
https://www.cisa.gov/news-events/alerts/2025/12/09/cisa-adds-two-known-exploited-vulnerabilities-catalog
CISA Adds One Known Exploited Vulnerability to Catalog
https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog
K000158128: SQLite vulnerability CVE-2025-6965
https://my.f5.com/manage/s/article/K000158128