Tageszusammenfassung - 15.02.2024

End-of-Day report

Timeframe: Mittwoch 14-02-2024 18:00 - Donnerstag 15-02-2024 18:00 Handler: Thomas Pribitzer Co-Handler: Michael Schlagenhaufer

News

Warnung vor kritischer Outlook RCE-Schwachstelle CVE-2024-21413

In Microsoft Outlook wurde eine als kritisch eingestufte CVE-2024-21413 bekannt, die mit den Februar 2024 Sicherheitsupdates geschlossen wird. Die Remote Code Execution-Schwachstelle lässt sich geradezu trivial ausnutzen. [..] Die von Checkpoint Security aufgedeckte Schwachstelle ermöglicht einem Angreifer die geschützte Office-Ansicht zu umgehen und das Dokument im Bearbeitungsmodus statt im geschützten Modus zu öffnen. [..] Dazu muss der Angreifer einen bösartigen Link erstellen, der das Protected View-Protokoll umgeht. Das führt dann zum Abfluss lokaler NTLM-Anmeldeinformationen und zur Remotecodeausführung (RCE).

https://www.borncity.com/blog/2024/02/15/warnung-vor-kritischer-outlook-rce-schwachstelle-cve-2024-21413/

Nachlese zu CU 14 für Exchange 2019 und Schwachstelle CVE-2024-21410 (Feb. 2024)

Zum 13. Februar 2024 wurde ja eine kritische Schwachstelle CVE-2024-21410 in Microsoft Exchange Server öffentlich. [..] Was ist mit Exchange Server 2016 und was muss ich tun, um vor CVE-2024-21410 geschützt zu sein. Hier eine Nachlese mit einem groben Abriss.

https://www.borncity.com/blog/2024/02/15/nachlese-zu-cu-14-fr-exchange-2019-und-schwachstelle-cve-2024-21410-feb-2024/

New -Gold Pickaxe- Android, iOS malware steals your face for fraud

A new iOS and Android trojan named GoldPickaxe employs a social engineering scheme to trick victims into scanning their faces and ID documents, which are believed to be used to generate deepfakes for unauthorized banking access.

https://www.bleepingcomputer.com/news/security/new-gold-pickaxe-android-ios-malware-steals-your-face-for-fraud/

QR Phishing. Fact or Fiction?

To understand the attack you need understand the challenge that the attacker faces. Currently, most initial access attempts are carried out with social engineering, commonly phishing. Why is that? Well, it looks like people have finally got good at patching. According to the 2022 Verizon data breach incident report only 5% of data breaches investigated by them were caused by software vulnerabilities.

https://www.pentestpartners.com/security-blog/qr-phishing-fact-or-fiction/

Vorsicht vor dieser Fake Erste Bank SMS

Kriminelle versenden SMS im Namen der Erste Bank bzw. George. Darin behaupten sie, dass eine Überweisung über einen hohen Geldbetrag freigegeben oder ein Darlehen aufgenommen wurde und bitten um Kontaktaufnahmen. Kontaktieren Sie nicht die angegebene Nummer, Sie werden dazu verleitet Schadsoftware zu installieren!

https://www.watchlist-internet.at/news/vorsicht-vor-dieser-fake-erste-bank-sms/

The Complete Guide to Advanced Persistent Threats

Understanding the mechanics and implications of APTs is essential to safeguard organizations and individuals. In this comprehensive guide, we explore the world of APTs, explaining their nature, mechanisms, and the best strategies to counteract them.

https://www.emsisoft.com/en/blog/44815/the-complete-guide-to-advanced-persistent-threats/

TinyTurla Next Generation - Turla APT spies on Polish NGOs

Talos, in cooperation with CERT.NGO, investigated another compromise by the Turla threat actor, with a new backdoor quite similar to TinyTurla, that we are calling TinyTurla-NG (TTNG). [..] Talos identified the existence of three different TinyTurla-NG samples, but only obtained access to two of them. This campaign-s earliest compromise date was Dec. 18, 2023, and was still active as recently as Jan. 27, 2024. However, we assess that the campaign may have started as early as November 2023 based on malware compilation dates.

https://blog.talosintelligence.com/tinyturla-next-generation/

Vulnerabilities

AlphaESS Wechselrichter: WLAN-Zugang mit unveränderlichem Passwort

Wechselrichter und Speichersysteme von AlphaESS kommen mit optionalem WLAN-Modul. Das spannt einen Zugangspunkt mit Standard-Passwort auf.

https://www.heise.de/-9628912

Node.js: Sicherheitsupdates beheben Codeschmuggel und Serverabstürze

Neben Problemen im Kern des Projekts aktualisiert das Node-Projekt auch einige externe Bibliotheken.

https://www.heise.de/-9629299

Security updates for Thursday

Security updates have been issued by Debian (edk2, postgresql-13, and postgresql-15), Fedora (engrampa, vim, and xen), Mageia (mbedtls and quictls), Oracle (nss, openssh, and tcpdump), Red Hat (.NET 8.0), SUSE (hugin, kernel, pdns-recursor, python3, tomcat, and tomcat10), and Ubuntu (clamav, edk2, linux-gcp-6.2, linux-intel-iotg-5.15, linux-oem-6.1, and ujson).

https://lwn.net/Articles/962284/

Drupal: CKEditor 4 LTS - WYSIWYG HTML editor - Moderately critical - Cross Site Scripting - SA-CONTRIB-2024-009

https://www.drupal.org/sa-contrib-2024-009

IBM Security Bulletins

https://www.ibm.com/support/pages/bulletin/

Wordfence Intelligence Weekly WordPress Vulnerability Report (February 5, 2024 to February 11, 2024)

https://www.wordfence.com/blog/2024/02/wordfence-intelligence-weekly-wordpress-vulnerability-report-february-5-2024-to-february-11-2024/

Autodesk: ZDI reported security vulnerabilities in the Autodesk AutoCAD Desktop Software

https://www.autodesk.com/trust/security-advisories/adsk-sa-2024-0002

Palo Alto: CVE-2024-0011 PAN-OS: Reflected Cross-Site Scripting (XSS) Vulnerability in Captive Portal Authentication (Severity: MEDIUM)

https://security.paloaltonetworks.com/CVE-2024-0011

Palo Alto: CVE-2024-0008 PAN-OS: Insufficient Session Expiration Vulnerability in the Web Interface (Severity: MEDIUM)

https://security.paloaltonetworks.com/CVE-2024-0008

Palo Alto: CVE-2024-0010 PAN-OS: Reflected Cross-Site Scripting (XSS) Vulnerability in GlobalProtect Portal (Severity: MEDIUM)

https://security.paloaltonetworks.com/CVE-2024-0010

Palo Alto: CVE-2024-0007 PAN-OS: Stored Cross-Site Scripting (XSS) Vulnerability in the Panorama Web Interface (Severity: MEDIUM)

https://security.paloaltonetworks.com/CVE-2024-0007

Palo Alto: CVE-2024-0009 PAN-OS: Improper IP Address Verification in GlobalProtect Gateway (Severity: MEDIUM)

https://security.paloaltonetworks.com/CVE-2024-0009