Irgendwo in Forchheim, oder: Warum any.run kein Usecase für deine Security ist [Update]

any.run ist ein Cloud-Security Dienst. In der kostenlosen Fassung kann man Dokumente in einer Windows 32-bit-Umgebung starten und verfolgen, welche Prozesse in Hintergrund laufen. Gut, um verdächtige Dokumente zu untersuchen?

„Irgendwo in Forchheim, oder: Warum any.run kein Usecase für deine Security ist [Update]“ weiterlesen

Angriffe auf Exchange-Server

Microsoft stellt kurzfristig einen Patch für Exchange 2010, 2013, 2016 und 2019 zur Verfügung.

Die dahinterliegenden Sicherheitslücken werden in einem ausführlichen Blogpost hier besprochen – inkl. Testskripte zur Ermittlung von Indicators of Compromise (IoCs).

Kasperskys Adaptive Kontrolle von Anomalien leicht zu umgehen [Update 3]

Kaspersky Adaptive Kontrolle von Anomalien FAIL

Im aktuellen Kaspersky-Endpoint-Security-Client existiert eine Anomaliekontrolle, mit der man zum Beispiel das Ausführen eines Powershell-Skriptes aus einem Office-Dokument verhindern kann. Diese, theoretisch sehr sinnvolle, Funktion wurde aber aber dermaßen rudimentär implementiert, dass ein Umgehen durch Malware-Autoren sehr wahrscheinlich ist.

„Kasperskys Adaptive Kontrolle von Anomalien leicht zu umgehen [Update 3]“ weiterlesen

Windows 10-Absturz durch Pfadeingabe

Ein neu entdeckter Windows 10-Bug führt dazu, dass bei der Eingabe des Pfades

\\.\globalroot\device\condrv\kernelconnect

Windows abstürzen und einen sog. Bluescreen of death (BSOD) anzeigt. Ein Neustart behebt das Problem. Ich habe spaßeshalber diese Pfad-Angabe in einen IMG-HTML-Tag eingebaut und an Outlook 2016-System mit aktivierter Leseansicht geschickt. Fazit: Outlook stürzt ab, wenn man die Mail ansieht.

Verschiedenste Szenarien sind denkbar, wie man diesen Fehler ausnutzen könnte, um Systeme lahmzulegen.

Meine Empfehlung: Am Perimeter E-Mails mit dieser Pfadangabe herausfiltern.

Malware jetzt mit ZIP-Passwort in Bildern

Dass auch Malware-Autoren innovativ sein können, zeigen neueste Malware-Mails mit verschlüsseltem ZIP-Anhang. Wurde bisher das Passwort direkt in den Mailtext geschrieben, ist man jetzt dazu übergegangen, dieses in eine Grafikdatei zu verpacken. Abwehrsysteme mit Texterkennung können das erst einmal nicht detektieren.

MS-Patchday flickt kritische Lücke im TCP/IP-Stack

Insgesamt 87 Sicherheitslücken flickt Microsoft beim Patchday diesen Monat. Mehrere Lücken sind davon als kritisch eingestuft, eine scheint aber ganz besonderes Schadpotential entfalten zu können. Ein Grund, mal etwas genauer hinzuschauen auf CVE-2020-16898.

„MS-Patchday flickt kritische Lücke im TCP/IP-Stack“ weiterlesen