Irgendwo in Forchheim, oder: Warum any.run kein Usecase für deine Security ist

any.run ist ein Cloud-Security Dienst. In der kostenlosen Fassung kann man Dokumente in einer Windows 32-bit-Umgebung starten und verfolgen, welche Prozesse in Hintergrund laufen. Gut, um verdächtige Dokumente zu untersuchen?

„Irgendwo in Forchheim, oder: Warum any.run kein Usecase für deine Security ist“ weiterlesen

MS-Patchday flickt kritische Lücke im TCP/IP-Stack

Insgesamt 87 Sicherheitslücken flickt Microsoft beim Patchday diesen Monat. Mehrere Lücken sind davon als kritisch eingestuft, eine scheint aber ganz besonderes Schadpotential entfalten zu können. Ein Grund, mal etwas genauer hinzuschauen auf CVE-2020-16898.

„MS-Patchday flickt kritische Lücke im TCP/IP-Stack“ weiterlesen

Kasperskys Adaptive Kontrolle von Anomalien leicht zu umgehen

Kaspersky Adaptive Kontrolle von Anomalien FAIL

Im aktuellen Kaspersky-Endpoint-Security-Client existiert eine Anomaliekontrolle, mit der man zum Beispiel das Ausführen eines Powershell-Skriptes aus einem Office-Dokument verhindern kann. Diese, theoretisch sehr sinnvolle, Funktion wurde aber aber dermaßen rudimentär implementiert, dass ein Umgehen durch Malware-Autoren sehr wahrscheinlich ist.

Der Hersteller wurde vom Autor über diese Sicherheitslücke informiert. Bis zur Behebung werden daher keine weiteren Details veröffentlicht, nur eines: Diese Funktion erhöht die Sicherheit des Gesamtsystems nur geringfügig. Nicht ersetzt wird damit ein wirksamer Makrofilter am Perimeter.

Betroffen sind Kaspersky Endpoint Security 11.3 und 11.4. Ältere Versionen sind möglicherweise ebenfalls betroffen.

[Update 1] Der Support hat das Problem mittlerweile nach Moskau eskaliert.

IPFire als Proxyserver in einem Windows-Netzwerk

Proxy-Server sind in Unternehmen immer noch verbreitet: Als Stellvertreter („Proxy“) leiten sie Anfragen ins Internet gebündelt weiter. Dabei werden meistens auch Sicherheitsmechanismen wie URL-Filter, Dateityp-Blockaden oder Malwarescans durchgeführt.

Lange Zeit war Microsoft mit dem ISA-Server, später TMG oder auch UAG, ein großer Player auf dem Markt. Nachdem der Softwareriese aus Redmond seine Produkte jedoch abgekündigt hat, begann für viele das große Suchen nach einer Alternative.

„IPFire als Proxyserver in einem Windows-Netzwerk“ weiterlesen

Fortigate: Vorsicht mit Firmware 6.2.4

Einige unschöne Probleme versucht die Fortinet Firewall Fortigate301E (vielleicht auch andere Modelle?) mit der Firmware 6.2.4.

Bisher bei uns aufgetauchte Probleme:

  • Traffic wird gedropt, der nicht gedropt werden sollte (Ursache vermutlich DoS-Policy, die gar nicht auf den Traffic matched; FortiGate KB-Artikel)
  • Die Anzeige der SSL-Security-Policy eine IPv4-Security-Rule differiert je nach Anzeigeart (CLI/Auflistung der Rules: richtig; Detailansicht auf der Rule: falsch)
  • Traffic vom Microsoft Edge Browser wird als Google Chrome erkannt (ja, die Basis IST Chrome, aber eben nicht Google)

To be continued…