Noch einige Sicherheitsmeldungen der letzten Tage, für die ich keine eigenen Blog-Beiträge erstellen möchte. Windows-Admins sollten sich den Teil zum Windows 10 RDP ActiveX Control durchlesen, welches für eine Backdoor benutzt wird. Android-Nutzer tangiert die Cerberus Android Malware.
Cerberus Android Malware umgeht 2FA
Der Cerberus Banking-Trojaner für Android wurde mit der RAT-Funktionalität erweitert. Der Trojaner ist nun in der Lage, den Zwei-Faktor-Authentifizierungscode (2FA) von Google Authenticator zu stehlen. Dieser wird von Nutzern als zusätzliche Sicherheitsebene beim Einloggen in Online-Konten verwendet.
Cerberus Android Malware Can Bypass 2FA, Unlock Devices Remotely – by @sergheihttps://t.co/t6jrgCIIPW
— BleepingComputer (@BleepinComputer) February 27, 2020
Details zu diesem Thema finden sich im oben verlinkten Artikel von Bleeping Computer.
49 Millionen E-Mails irrtümlich veröffentlicht
E-Mail-Adresslisten haben etwas magisches, man kann quasi mit einem Knopfdruck Millionen Empfänger mit einer Nachricht erreichen. Wird eine solche Liste öffentlich, stehen sofort Millionen E-Mail-Adressen auf dem Präsentierteller.
49 Million Unique Emails Exposed Due to Mishandled Credentials – by @Ionut_Ilascuhttps://t.co/Lgsxq1k3Vz
— BleepingComputer (@BleepinComputer) February 28, 2020
Einer israelische Marketingfirma ist jetzt ein Fehler passiert, bei dem 49 Millionen E-Mail-Adressen öffentlich abrufbar waren. Offenbar waren die Authentifizierungsdaten für eine Elasticsearch-Datenbank falsch gesetzt. In Folge war die ungeschützte Datenbank mit den E-Mail-Adressen im Klartext öffentlich per Internet abrufbar. Details enthält der in obigem Tweet verlinkte Artikel von Bleeping Computer.
GhostCat: Kritische Sicherheitslücke in Apache Tomcat
Webserver, die mit Apache Tomcat laufen, sollten dringend gepatcht werden. Eine kritische Sicherheitslücke mit dem Namen GhostCat ermöglicht Hackern die Übernahme der betreffenden Webserver. Alle Versionen (9.x/8.x/7.x/6.x) des Apache Tomcat, die in den letzten 13 Jahren veröffentlicht wurden, sind für einen neuen „File Read and Inclusion Bug“ (CVSS 9.8) anfällig. Dieser kann in der Standardkonfiguration ausgenutzt werden.
Inzwischen sind mehrere Proof-of-Concept-Exploits zum Ausnutzen dieser Schwachstelle im Internet aufgetaucht. Wer einen Apache Tomcat betreibt, sollte diesen updaten, da Fixes bereitstehen. Details zu diesem Thema finden sich in diesem The Hacker News-Beitrag.
Windows 10 RDP ActiveX Control als Backdoor
Eine Gruppe von Hackern verwendet das Remote-Desktop-ActiveX-Steuerelement in Word-Dokumenten, um unter Windows 10 automatisch einen Malware-Downloader namens Ostap auszuführen.
Hackers Use Windows 10 RDP ActiveX Control to Run Griffon Backdoor – by @Ionut_Ilascuhttps://t.co/fXtWL7drSa
— BleepingComputer (@BleepinComputer) February 28, 2020
Sicherheitsforscher haben Dutzende von Dateien gefunden, die die Malware-Nutzlast enthalten, was auf eine größere Kampagne hindeutet. Details finden sich in dem in obigem Tweet verlinkten Artikel bei Bleeping Computer.
Telekom: Speedport-Router blockieren Onleihe
Doof, die Firewall bestimmter Telekom Speedport-Router (W 724V Typ B und Speedport W 922V) blockieren die Onleihe, also den Download von Büchern in der Ausleihe. Details lassen sich bei heise in diesem Beitrag nachlesen.
Ransomware, ein einträgliches Geschäft
Laut FBI haben die Opfer von Ransomware in den letzten 6 Jahren über 140 Millionen US-Dollar an Lösegeld an die Cyber-Kriminellen gezahlt. Diese Zahlen wurden jetzt auf der RSA 2020-Konferenz genannt. Details lassen sich in diesem englischsprachigen Artikel nachlesen.
Doppel Upps!
Ich hab nix gesagt, die RCE hab ich falsch aufgesetzt. Ich kann doch nur ohne weiteres Dateien auslesen. „Schade“.
@ Günther: Kannst du den Post einfach wieder löschen?
Jetzt gibt’s erstmal ein Henne/Ei Problem wegen der Ghostcat Schwachstelle.
Tomcat Update ist durch und der neue Parameter „secret“ ist gesetzt.
Der Exploit kommt nicht mehr rein, aber der Apache httpd als ReverseProxy auch nicht mehr.
Denn der wird zwar mit dem nächsten Release 2.4.42 den Parameter auch kennen & können laut Changelog
Aktuell ist der Release Stand jetzt noch nicht draußen und im aktuellen 2.4.41 kann man den noch nicht nutzen, da gibt nur einen Konfig Fehler.