Nord Nord Sec #38

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Ich hoffe Ihr habt die letzte Woche gut hinter euch gebracht - Ich war damit beschäftigt, die erste “richtige” Kindergeburtstagsparty für meine große Tochter auf die Beine zu stellen. Beziehungsweise meiner Frau dabei zu helfen, ohne die wäre das vermutlich eine ziemlich traurige Party geworden.

Abseits davon gab es auch in der Welt der IT Security einiges an Aufregung. Infostealer statt AI Video Editor, eine dunkle Wolke über nextcloud Installationen, eine interessante Schwachstelle in Okta - und viel mehr.

Exploits, Hacks und Schwachstellen

⚡️Malwarebytes Labs | Free AI editor lures in victims, install information stealer instead on Windows and Mac Long story short: Wenn etwas zu schön ist um wahr zu sein - ist es vermutlich nicht wahr.

Eine grössere Social Media Kampagne versucht einen kostenlosen KI-Video Generator zu promoten. Wenn man dann versucht diesen zu installieren, bekommt man aber den Atomic Stealer (ATOMOS) als Mac User untergeschoben. Windows Nutzende dürfen sich über den Lumma Stealer freuen. Laut den Researchern von Malware Bytes, ist die Kampagne schon etwas länger live. Es gibt Tweets, die noch von Anfang September stammen.

⚡️ Nextcloud Security Advisories | Verschiedene Security Advisories und CVEs von Nextcloud Am 17. November hat das Nextcloud Team 18 CVEs und zugehörige Security Advisories veröffentlicht. Hier ein Auszug der Interessantesten:

• Moderate: User can copy folder that contain files that are blocked by the file access control 
  Nutzer*innen waren in der Lage, Ordner zu kopieren auf deren Inhalt Sie keinen Zugriff haben sollten. Dabei konnten die Beschränkungen zum lesen der Dateien im Ordner umgangen werden. Dafür gab es eine 500$ Bug Bounty 👏 

• Moderate: Desktop client created folders with world-readable and world-writeable permissions on Linux
  Der Linux Desktop Client hat beim synchronisieren fälschlicherweise Ordner mit world-readable Permissions erstellt, statt diese auf die konkrete Nutzer*in zu beschränken.

• High: Mail auto configurator sends account information to autoconfig.tld server when no auto-configuration is possible
  Wenn Nutzende versuchten einen Mail Account einzurichten, der keine Auto-Config unterstützt und ein Angreifer autoconfig.tld registrieren konnte, würden die genutzten Email-Details an den Server des Angreifers geschickt werden. Hier gab es immerhin eine 100$ Bug Bounty. 

• Moderate: Authorization Bypass Through User-Controlled Key in Tables
  Durch direktes spezifizieren der ID einer Tabelle oder eines Views konnten Angreifende blind neue Spalten in Tabellen einfügen. Auch hier wurde eine Bug Bounty ausgeschüttet.

• Low: Open redirection when logging in with User OIDC
  Ein Angreifer konnte einen dementsprechend angepassten Login Link schicken, der Benutzende nach einem erfolgreichen Login auf eine mitgelieferte URL weiterleiten. Hier wurde keine Bug Bounty gezahlt.

• Moderate: Custom defined credentials of external storages are sent back to the frontend
  Nach dem einrichten eines “external storage with fixed credentials”, gibt die API diese Credentials zurück und man kann diese im Klartext im Frontend auslesen. Das ermöglicht Angreifenden dann, diese Zugangsdaten zu extrahieren, wenn Sie Zugriff auf eine aktive Session erhalten haben.

• Moderate: Global credentials of external storages are sent back to the frontend
  Nach dem Speichern von “Global credentials” auf dem Server, wurden diese von der API zurückgegeben und konnten im Frontend ausgelesen werden. Auch hier konnten diese Daten dann durch Zugang zu einer aktiven Session ausgelesen werden. Der zugehörige Bug Bounty report ist aktuell noch nicht öffentlich.

Als nextcloud-Nutzer*in empfiehlt sich ein zeitnahes Update. You got this! Geht Patchen!

🔑 Okta | Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security Advisory Auch bei Okta gab es einen interessanten Bug. Wenn die Sicherheitslücke ausgenutzt wurde, hat das einem Benutzer ermöglicht, sich mit dem gespeicherten Cache-Schlüssel einer früheren erfolgreichen Authentifizierung zu authentifizieren.

Schon interessant - aber man muss ja auch erstmal so lange Usernamen haben 😎

Konzepte, Reports und Ideen

🐺 SentinelLabs | CyberVolk: A Deep Dive into the Hacktivists, Tools and Ransomware Fueling Pro-Russian Cyber Attacks CyberVolk ist eine pro-indische und pro-russische Hacktivistengruppe, die seit Mai 2024 aktiv ist und gezielt öffentliche und staatliche Einrichtungen in mehreren Ländern angreift. Die Gruppe nutzt aktuelle geopolitische Spannungen zur Rechtfertigung ihrer Angriffe und hat eine eigene Ransomware entwickelt, die aus dem Code der AzzaSec-Ransomware abgeleitet ist. CyberVolk zeigt, wie leicht Bedrohungsakteure auf gefährliche Ransomware-Builder zugreifen können, was ihre Nachverfolgung und Bekämpfung erheblich erschwert. Insgesamt wirkt diese ganze Cybercrime/RaaS Szene unglaublich unübersichtlich. So viele Akteure unter verschiedenen Pseudonymen. Verschiedene Grupppen, Code wird hin- und her getraded.

Am Ende des Artikels findet ihr noch eine längere Liste an IOCs, falls ihr eure Detection füttern wollt (⌐■_■)

💰️ WDR Doku | Mit Milliarden verschwunden: Wo ist die "Kryptoqueen"? Bis vor ein paar Tagen dachte Ich, Ich hätte die meisten Scams, Rugpulls und sonstige Delulu-Krypto-Aktionen wenigstens am Rande mitbekommen. Und dann bin ich auf diese Doku gestossen. Ruja Ignatova hat mehrere Milliarden an sich gebracht - indem Sie eine neue Kryptowährung erfunden hat. Und das ganze dann noch um eine Prise MLM (Multi Level Marketing) Flair ergänzt hat. Und jetzt ist Sie weg.

Neben den Gesetzeshütern verschiedener Länder, wird Sie wohl auch von Mitgliedern der organisierten Kriminalität gesucht… Man darf gespannt sein, ob Sie irgendwann wieder auftaucht. Das Geld wird so oder so weg sein 💸 

Key Takeaways findet ihr 🧠hier.

Tech

🍏 Youtube | Before Macintosh: The Apple Lisa Ich liebe Dokumentationen. Dann noch auf etwas zu stossen, das - im ersten Moment - so irrelevant erscheint, wie der Apple Lisa, war ein absoluter Glücksgriff. Als klassisches PC-Kind bin ich mit Apple erst sehr spät in Berührung gekommen. Mein erster eigener Mac war ein 2013er MacBook Air. Vorher hatten einige im Studium mal so ein Gerät. Deshalb war alles vorher für mich ein dunkles Mysterium.

Als Teaser hier ein paar Sachen, die heute noch mit dem Lisa in Verbindung gebracht werden: Graphische Benutzeroberflächen, der spätere Erfolg des Macintosh, die Art und Weise, wie Apple Soft- und Hardware designed. Schaut es euch an!

Die Key Takeaways findet ihr auch 🧠hier.

🔭 TechCrunch | ChatGPT can now read some of you Macs Desktop Apps Die offizielle ChatGPT App kann unter macOS jetzt euren Bildschirm lesen - wenn ihr wollt. Creepy oder nützlich? I don’t know. Beziehungsweise I do know: Eher creepy. Im Zweifelsfall gibt es nur einer Firma, der ich einigermassen zutraue, die Daten on-Device zu behalten: Apple. Deshalb bin ich eher auf den Rollout von Apple Intelligence in Europa gespannt, als dass ich das jetzt testen würde…

🚀 Determinate Systems | The future of software is Nix Es kommt immer und immer wieder auf meine Timeline - egal wo: Nix(OS). Und die versprechen, die gemacht werden klingen wirklich verlockend. Nix wird auch hier als zukunftsweisende Lösung für den Aufbau und die Bereitstellung von Software dargestellt.

Dabei soll das ganze dann noch unglaublich robust sein - besonders was Rollbacks angeht. Okay, es hat wohl eine steile Lernkurve, aber wenn es erst einmal läuft… Ich bin hin- und her gerissen.

Auf der einen Seite bin ich relativ zufrieden mit macOS und Linux, auch (oder gerade weil?) die Systeme nicht genau gleich sind. Ist das Quatsch? Oder nur Gewohnheit? Ich werd’s wohl nicht herausfinden, wenn Ich das nicht mal teste. Naja, muss dann wohl mal - es kommen bestimmt ein paar ruhige Tage, wo sich mal eine Testumgebung aufsetzen lässt…

Tools und Co.

🪩 projectdiscovery/urlfinder Ein high-speed Tool zum passiven Sammeln von URLs - ohne aktives Scannen! Ein neues Tool in gewohnter Project Discovery Qualität. Unbedingt testen und bei Bedarf in eure Automatisierung integrieren 👍️ 

Das Zitat der Woche kommt dieses mal wieder aus meiner aktuellen Playlist - der Song hat sich diese Woche mal wieder komplett in meinem Ohr festgesetzt.

Happy Headbanging - It was never a phase! (⌐■_■)

Fun Fact: Ich war auf genau diesem Konzert. 🎸 

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️