Nord Nord Sec #19

Rust macht Windows Systeme Verwundbar, IONOS im Visier der Phisher, Palo Alto Firewalls weiter unter Feuer. Ebenfalls dabei: Pro-Tips für die Shell History und DDR Computer.

Nord Nord Sec #19

Moin, Hallo und Herzlich Willkommen bei der aktuellen Ausgabe von Nord Nord Sec.

Diese Woche war Ich viel unterwegs und habe viel gelesen. Deshalb gibt es dieses mal etwas weniger Inhalt.

Shell Historiker in der Solaren Zukunft (Generiert mit leonardo.ai)

Breaches und Schwachstellen

⚡️Kritische ‘BatBadBut’ Rust Vulnerability macht Windows Systeme Verwundbar für Angreifer Die kritische Sicherheitslücke 'BatBadBut' in der Rust-Standardbibliothek ermöglicht Angreifenden das Ausführen bösartiger Befehle auf Windows-Systemen durch Batch-Dateien. Betroffen sind Rust-Versionen vor 1.77.2. Die Schwachstelle, gekennzeichnet als CVE-2024-24576, erhält die höchste Bedrohungseinstufung von 10.0. Sie tritt auf, wenn Batch-Dateien unter Windows mit nicht vertrauenswürdigen Argumenten aufgerufen werden. Forschende empfehlen, Batch-Dateien aus dem PATH-Umgebungsverzeichnis zu verschieben, um das Risiko zu mindern. Die Entdeckung geht auf Sicherheitsforschende RyotaK zurück, die den Fehler an das CERT Coordination Center gemeldet haben.

⚡️IONOS-Phisching Masche mit neuen EU Richtlinien Aktuell sind Kriminelle wieder dabei, mit einer neuen Phisching-Kampage auf die Kunden von IONOS ab. Die Kunden werden via Email aufgefordert, den angeblichen Richtlinien zuzustimmen, da sonst eine Sperrung des E-Mail Kontos droht.

Also auch wenn ihr im ersten Moment erschreckt - klickt nicht direkt irgendwelche Links in Emails.

⚡️Palo-Alto Firewalls werden weiterhin Angegriffen Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor zunehmenden Angriffen auf Firewalls von Palo Alto Networks. Es sind Proof-of-Concept-Exploits aufgetaucht. Updates zur Behebung der Schwachstellen sind verfügbar, doch die Angriffszahlen steigen weiter. Als vorläufige Schutzmaßnahme empfiehlt Palo Alto die Aktivierung spezifischer Threat-IDs aus dem kostenpflichtigen Threat Prevention-Service, konkret die IDs 95187, 95189 und 95191. Frühere Empfehlungen, die Geräte-Telemetrie abzuschalten, erwiesen sich als ineffektiv, da die Schwachstellen auch ohne aktivierte Telemetrie ausgenutzt werden können.

Text

🧟 Avoiding the Apocalypse: A Guide to Finding Zombie APIs. Dana Epp nimmt uns wieder mit auf eine Runde API-Safari - diesmal mit dem Ziel, Zombie APIs zu dientifizieren.

Dazu gibt es mehrere Schritte, die er empfiehlt: Bestandsaufnahme von APIs, die Analyse der API-Nutzung, Überprüfung auf Versionierung und die Suche nach Vernachlässigungsanzeichen. Desweiteren wird empfohlen, Regelmässige durchführung von Sicherheitsüberprüfungen wie Penetrationstests.

👨‍💼 Engineering Managers Should Not Exist Victor Rosas macht den Punkt, das Engineering Manager nicht existieren sollten. Er macht das ganze an seiner persönlichen Erfahrung fest, und bringt das auch herrlich unterhaltsam rüber. Der Autor kritisiert, dass Engineering-Manager oft ineffektiv sind, da sie versuchen, Aufgaben in Produkt-, Projekt- und technischem Management zu vereinen.

Produktmanager und Softwareingenieure werden für ihre Führungsqualitäten, Vision, Problemlösungsfähigkeiten und technisches Know-how gelobt. Gute Ingenieure sollten sich also auf das Engineering konzentrieren statt in Managementpositionen zu wechseln.

Zudem gibt es Machtverhältnisse in Engineering-Teams, bei denen Manager bedeutenden Einfluss auf Gehälter und Beförderungen haben, was oft zu Konflikten führt. Als effektiveren Ansatz schlägt Victor ein Beratungsmodell vor, in dem Projektleiter die täglichen Aufgaben übernehmen und als Produktmanager fungieren, während Karriere-Coaches die langfristige Erfolg der Mitarbeiter im Unternehmen unterstützen. Diee Trennung der Zuständigkeiten soll allen beteiligten eine bessere Arbeit machen lassen soll.

💻️ Shell History is your best productivity tool Vermutlich alle Nutzer*innen von macOS und Linxu Systemen benutzen Sie regelmässig: Die Shell History - immerhin braucht man häufig mal wieder eines der Programme, die bereits benutzt wurden.

Die Empfohlenen Verbesserungen des Artikels sind als Gist auf Github zu finden.

Video

⌨️ Computer in der DDR - Stay Forever Technik Hänner nimmt Christian und uns mit auf eine Zeitreise in eine Parallelwelt: Die Deutsche Demokratische Republick. Unglaublich Interessanter und Unterhaltsamer Rückblick auf eine Computerindustrie, die komplett isoliert ihr bestes gegeben hat, um sich gegen den Westen zu behaupten.

Tools und Co.

🐟️ chiasmod0n/chiasmodon Ein weiteres OSINT-Cli-Tool, ähnlich wie z.b. amass zur Unterstützung bei der Sammlung von Informationen über das Ziel.

🖼️ klarna-incubator/gram Threat-Modelling Web App vom klarna Secure Software Development Team entwickelt. Sieht sehr schlank und gut benutzbar aus - wird beim nächsten mal Threat Modelling getestet.

Das Zitat der Woche stammt aus dem letzten Buch, das ich gelesen habe. Hatte das Buch bestimmt schon zwei Jahre rumliegen und bin beim ersten Versuch absolut nicht reingekommen. Dieses mal war das anders. Nachdem ich in die Welt der nahen Zukunft eingetaucht war, gab es kein halten mehr.

Banks lend only the principal. However, loans must be repaid plus interest—and with long-term loans like mortgages, the total interest payments far exceed the principal itself. Unless the overall money supply keeps growing, there will never be enough money to pay back all the loans plus interest.

Daniel Suarez, Delta-V

Mich würde mal interessieren, ob Daniel Suarez den philantrophischen, exzentrischen und leicht verrückten Milliardär immer noch an Elon Musk anlehnen würde…

Naja - wie dem auch sei. Wenn ihr Bock habt auf Hard Sci-Fi im Stil von Red Mars oder The Expanse habt, dann macht ihr hier definitiv nichts falsch.

Bis nächste Woche dann - wir lesen voneinander 👋 

Cheers,

Martin