CVE-2022-21907 (Last Update: 19.11.2024 18:58) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows 10 Version 21H1, Windows Server 2022, Windows 10 Version 20H2, Windows Server version 20H2, Windows 11 version 21H2, Windows 10 Version 21H2 - Info: HTTP Protocol Stack Remote Code Execution Vulnerability || CVE-2021-26412 (Last Update: 19.11.2024 15:44) - Products: Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft Exchange Server 2019 Cumulative Update 7, Microsoft Exchange Server 2016 Cumulative Update 18, Microsoft Exchange Server 2016 Cumulative Update 19, Microsoft Exchange Server 2019 Cumulative Update 8 - Info: Microsoft Exchange Server Remote Code Execution Vulnerability || CVE-2020-1595 (Last Update: 18.11.2024 16:16) - Products: Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Enterprise Server 2013 Service Pack 1, Microsoft SharePoint Server 2019, Microsoft SharePoint Foundation 2013 Service Pack 1 - Info: Microsoft SharePoint Remote Code Execution Vulnerability || CVE-2024-43639 (Last Update: 16.11.2024 23:40) - Products: Windows Server 2025, Windows Server 2025 (Server Core installation), Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installation), Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows KDC Proxy Remote Code Execution Vulnerability || CVE-2024-43498 (Last Update: 16.11.2024 23:40) - Products: Microsoft Visual Studio 2022 version 17.8, Microsoft Visual Studio 2022 version 17.6, Microsoft Visual Studio 2022 version 17.10, Microsoft Visual Studio 2022 version 17.11, .NET 9.0 - Info: .NET and Visual Studio Remote Code Execution Vulnerability || CVE-2024-43602 (Last Update: 16.11.2024 23:40) - Products: Azure CycleCloud, Azure CycleCloud, Azure CycleCloud 8.0.0, Azure CycleCloud 8.0.1, Azure CycleCloud 8.6.0, Azure CycleCloud, Azure CycleCloud 8.0.2, Azure CycleCloud 8.1.0, Azure CycleCloud 8.2.0, Azure CycleCloud 8.2.1, Azure CycleCloud 8.2.2, Azure CycleCloud 8.4.1, Azure CycleCloud 8.1.1, Azure CycleCloud 8.4.2, Azure CycleCloud 8.4.0, Azure CycleCloud 8.5.0, Azure CycleCloud 8.3.0 - Info: Azure CycleCloud Remote Code Execution Vulnerability || CVE-2022-21969 (Last Update: 14.11.2024 20:07) - Products: Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft Exchange Server 2016 Cumulative Update 21, Microsoft Exchange Server 2019 Cumulative Update 10, Microsoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019 Cumulative Update 11 - Info: Microsoft Exchange Server Remote Code Execution Vulnerability || CVE-2022-21855 (Last Update: 14.11.2024 20:07) - Products: Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft Exchange Server 2016 Cumulative Update 21, Microsoft Exchange Server 2019 Cumulative Update 10, Microsoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019 Cumulative Update 11 - Info: Microsoft Exchange Server Remote Code Execution Vulnerability || CVE-2022-21846 (Last Update: 14.11.2024 20:07) - Products: Microsoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019 Cumulative Update 11, Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft Exchange Server 2016 Cumulative Update 21, Microsoft Exchange Server 2019 Cumulative Update 10 - Info: Microsoft Exchange Server Remote Code Execution Vulnerability || CVE-2022-21849 (Last Update: 14.11.2024 20:07) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows 10 Version 1909, Windows 10 Version 21H1, Windows Server 2022, Windows 10 Version 20H2, Windows Server version 20H2, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation) - Info: Windows Internet Key Exchange (IKE) Protocol Extensions Remote Code Execution Vulnerability || CVE-2022-21901 (Last Update: 14.11.2024 20:06) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows 10 Version 1909, Windows 10 Version 21H1, Windows Server 2022, Windows Server version 20H2, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows 8.1, Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Hyper-V Elevation of Privilege Vulnerability || CVE-2024-43468 (Last Update: 12.11.2024 17:22) - Products: Microsoft Configuration Manager - Info: Microsoft Configuration Manager Remote Code Execution Vulnerability || CVE-2024-38124 (Last Update: 12.11.2024 17:22) - Products: Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows Server 2022, 23H2 Edition (Server Core installation), Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Netlogon Elevation of Privilege Vulnerability || CVE-2024-43491 (Last Update: 07.11.2024 17:52) - Products: Windows 10 Version 1507 - Info: Microsoft Windows Update Remote Code Execution Vulnerability || CVE-2022-34722 (Last Update: 17.10.2024 17:48) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows 10 Version 21H1, Windows Server 2022, Windows 10 Version 20H2, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows 7, Windows 7 Service Pack 1, Windows 8.1, Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Internet Key Exchange (IKE) Protocol Extensions Remote Code Execution Vulnerability || CVE-2024-38175 (Last Update: 16.10.2024 01:53) - Products: Azure Managed Instance for Apache Cassandra - Info: Azure Managed Instance for Apache Cassandra Elevation of Privilege Vulnerability || CVE-2024-38109 (Last Update: 16.10.2024 01:53) - Products: Azure Health Bot - Info: Azure Health Bot Elevation of Privilege Vulnerability || CVE-2024-38140 (Last Update: 16.10.2024 01:53) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 11 version 22H3, Windows 11 Version 23H2, Windows Server 2022, 23H2 Edition (Server Core installation), Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation), Windows 11 Version 24H2 - Info: Windows Reliable Multicast Transport Driver (RMCAST) Remote Code Execution Vulnerability || CVE-2024-38063 (Last Update: 16.10.2024 01:53) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 11 version 22H3, Windows 11 Version 23H2, Windows Server 2022, 23H2 Edition (Server Core installation), Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation), Windows 11 Version 24H2 - Info: Windows TCP/IP Remote Code Execution Vulnerability || CVE-2024-38199 (Last Update: 16.10.2024 01:53) - Products: Windows 10 Version 1809, Windows Server 2019, Windows Server 2019 (Server Core installation), Windows Server 2022, Windows 11 version 21H2, Windows 10 Version 21H2, Windows 11 version 22H2, Windows 10 Version 22H2, Windows 11 version 22H3, Windows 11 Version 23H2, Windows Server 2022, 23H2 Edition (Server Core installation), Windows 11 Version 24H2, Windows 10 Version 1507, Windows 10 Version 1607, Windows Server 2016, Windows Server 2016 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 Service Pack 2 (Server Core installation), Windows Server 2008 Service Pack 2, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Service Pack 1 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation), Windows Server 2012 R2, Windows Server 2012 R2 (Server Core installation) - Info: Windows Line Printer Daemon (LPD) Service Remote Code Execution Vulnerability ||

Sie sehen gerade einen Platzhalterinhalt von Spotify. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Getränke-Empfehlung

Jens: Amarone / 2018

Martin: Primitivo / 2022

Hausmitteilungen

  • Wir wünschen allen unseren Hörern und Hörerinnen ein erfolgreiches und sicheres 2024! Möget ihr alle von Cyberangriffen verschont bleiben und Sicherheitslücken rechtzeitig geschlossen haben!
  • Neues Jahr / Neues Intro, unser „very own“ Andi hat uns ein neues Intro gezimmert – wir sind begeistert und hoffen es gefällt euch ebenfalls!
  • TEASER: Jens als Gast beim Podcast „Time4Work“ der Trans4mation! Freut euch auf ein spannendes Interview zur Realität kurz nach einem Cyberangriff – demnächst unter https://trans4mation.de/podcast/ und überall, wo es Podcasts gibt!

Gehackte Unternehmen

Unfallkasse Thüringen

Nachdem die Unfallkasse Thüringen bereits 2022 gehackt wurde, wiederholte sich das Schicksal am 18. Dezember 2023. Die Unfallkasse geht zum Zeitpunkt der Aufnahme davon aus, dass die Systeme bis zum 08. Januar 2024 wiederhergestellt sind.

Klar ist nur, dass Daten abgeflossen sind – soweit bekannt im Umfang von 45 GB. Die Angreifergruppe (RA World) hat die Daten bereits veröffentlicht. Versicherungsverträge, Kundendaten, Versicherungsfälle etc. pp.

Quellen:

Katholische Krankenhausvereinigung Ostwestfalen

Die Katholische Krankenhausvereinigung Ostwestfalen (KHO) hat es mit drei Krankenhäusern (Bielefeld, Rheda-Wiedenbrück & Herford) zwischen den Jahren hart erwischt. Die Notfallversorgung ist ausgesetzt. Der Fall ist insoweit interessant als das wohl ein „Affiliate“ von Lockbit für den Angriff verantwortlich war. Lockbit selber distanziert sich in deutlichen Worten (siehe https://twitter.com/vxunderground/status/1740851285295829242) vom Angriff und hat Unterstützung bei der Entschlüsselung angeboten. In dieser Form ein einmaliger / erstmaliger Vorfall.

Quellen:

Münchner Schulen

Verschiedene Schulen in München sind Opfer eines Angriffs geworden, der auf eine Lücke im verwendeten Webmailer „Horde“ zurückzuführen ist. Die Daten der Schüler & Schülerinnen sind betroffen. Bedenklich – der Webmailer wurde im Juni 2020 das letzte Mal gepatcht. Unserer Meinung nach ein untragbarer Zustand – Planung, Personal, Verantwortung – hier ist sehr viel schiefgelaufen, was nicht hätte schieflaufen müssen oder dürfen.

Quellen:

Südwestfalen-IT

Südwestfalen-IT (SIT) kämpft auch zwei Monate nach dem Angriff im Oktober (wir haben in Folge 8 Vinotec: Shownotes Folge 8 – 2023 – KW44 berichtet) mit der Wiederherstellung der Fachverfahren und Systeme für die ~150 betroffenen Kommunen, Gemeinden, Städte, … Eine Konsequenz:

Halbjahreszeugnisse wird man an vielen der betroffenen Schulen nun wohl von Hand schreiben.

KON Briefing

Die Wiederherstellung verzögert sich weiter aufgrund der „Komplexität der IT Systeme“ – die SIT ist aus diesem Grund aktuell auch nicht in der Lage den Betroffenen eine Zeitleiste bis zur Wiederherstellung zu geben.

Wir fragen uns „was“ an der Stelle die Komplexität ausmacht – ein Wirtschaftsunternehmen was zwei plus X Monate seine Systeme nicht ans Laufen bringt hätte sich aller Wahrscheinlichkeit nach aus dem Wirtschaftsleben verabschiedet …

Wir möchten an dieser Stelle auch noch einmal kritisch anmerken, das es nicht der hellste Moment der Beteiligten ist, gerade den „Öffentlichen Sektor“ aus dem Gültigkeitsbereich für NIS2 herauszunehmen.

Quellen:

Rockstar Games

Im Rahmen der in der letzten Folge besprochenen Angriffe gegen Rockstar Games / GTA ist am 24.12.2024 der Quellcode von GTA V geleaked wurden. Die Angreifergruppe „Lapsus$“ proklamiert auch den Quellcode für GTA VI zu besitzen.

Insbesondere interessant an dieser Stelle sind die verwendeten Angriffstechniken – hier Social Engineering und SIM Swapping. Das ist ein klar abweichendes Muster im Vergleich zu den „üblichen“ Malware-Baukästen die sich hauptsächlich auf das ausnutzen von nicht gepatchten Schwachstellen fokussieren.

Quellen:

Google

Google wurde „Opfer“ eines Angriffs auf ihre Authentifizierungsmechanismen. Der „Fehler“ ermöglicht es Angreifern sogenannte Session-Cookies „beliebig“ zu verlängern – auch wenn sich der Nutzer abgemeldet hat, sein Passwort geändert hat, … Ausgenutzt wird hier ein bisher unbekannter OAuth-Endpoint („MultiLogin“) der eigentlich für die Synchronisierung von Anmeldedaten über mehrere Endpunkte eines Benutzers genutzt wird. Google hat sich bisher noch nicht zu ergriffenen oder geplanten Maßnahmen geäußert.

Quellen:

Schwachstellen

TESLA

Berliner Forschern ist es gelungen TESLAs Autopilot zu „Jailbreaken“. Die Sicherheitsmechanismen wurden durch ausnutzen von sogenanntem „Voltage Glitching“ umgangen. Der Jailbreak gibt den Zugriff auf viele Funktionen (Elon-Modus, Selbstfahrfunktionen, …) frei die eigentlich gesperrt sind. Aktuell funktioniert der Angriff nur bei bestehendem Zugriff auf das Auto – wir fragen uns wie groß die Gefahr ist das immer stärker vernetzte Autos in Zukunft auch von „Remote“ gehackt und manipuliert werden können.

Quellen:

SMTP

Eine Schwachstelle im SMT-Protokoll hebelt die darauf aufgesetzten Mechanismen DKIM, DMARC, SPF aus und ermöglicht eine Fälschung des Absenders. Die als SMTP-Smuggling bekannt gewordene Schwachstelle wurde von vielen Dienstleistern bereits gefixed – wir empfehlen eine durchgängige Verschlüsselung – z. B. mit PGP.

Quellen:

Apple / iOS

Auf Apple / iOS Geräten kommt es vermehrt zu Identitätsdiebstahl. Wesentlich ist hier das das Passwort des Apple-Accounts auch mit der PIN zurückgesetzt werden kann. Apple bessert hier in Version 17.3 nach!

Quellen:

Browser

Mehrere Sicherheitslücken in Chrome, Edge und Co. sind zwischen den Jahren publik geworden. Bitte auch in 2024 dran denken – Browser sind zu patchen!

Quellen: