End-of-Day report
Timeframe: Freitag 16-05-2025 18:00 - Montag 19-05-2025 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
Curl-Entwickler warnt: Unicode-Trick gefährdet Softwareprojekte auf Github
Die wenigsten Entwickler dürften die Unterschiede zwischen bestimmten Unicode-Zeichen zuverlässig erkennen. Gerade auf Github ist das ein Problem.
https://www.golem.de/news/curl-entwickler-warnt-unicode-trick-gefaehrdet-softwareprojekte-auf-github-2505-196314.html
Warnung vor brancheneintrag24.com
Derzeit kursieren betrügerische E-Mails, die von der Adresse info@brancheneintrag24.com stammen. Im Anhang befindet sich ein Formular, das Unternehmen angeblich zur Aktualisierung ihres Brancheneintrags auffordert. [..] Mit dem Ausfüllen und Zurücksenden des Formulars wird ein kostenpflichtiger Vertrag abgeschlossen.
https://www.zettasecure.com/post/warnung-vor-brancheneintrag24-com
Fake-Shops: Laufsportbegeisterte im Visier von Kriminellen
Laufschuhe von Top-Marken zu absoluten Niedrigstpreisen?! Vorsicht! Aktuell tauchen vermehrt Fake-Shops für Sportschuhe und anderes Equipment auf. Wer in einem derartigen Store bestellt, schaut in der Regel durch die Finger. Kommt doch eine Lieferung an, enthält diese nur minderwertige Kopien.
https://www.watchlist-internet.at/news/fake-shops-fuer-laufschuhe/
Windows: Bitlocker-Verschlüsselung über Bitpixie (CVE-2023-21563) ausgehebelt
Die von Microsoft für Windows verwendete Bitlocker-Verschlüsselung für Datenträger lässt sich über die Bitpixie-Schwachstelle (CVE-2023-21563) per Software aushebeln, wenn gewisse Randbedingungen gelten. [..] Der jetzt bekannt gewordene Angriff ist nicht neues, sondern ein Proof of Concept, den Administratoren ggf. in eigenen Systemen testen können. [..] Die Bitpixie-Schwachstelle - und ganz allgemein sowohl hardware- als auch softwarebasierte Angriffe - kann durch Erzwingen einer Pre-Boot-Authentifizierung entschärft werden.
https://www.borncity.com/blog/2025/05/18/windows-bitlocker-verschluesselung-ueber-bitpixie-cve-2023-21563-ausgehebelt/
Windows 10/11: Defender mit simplen Tool Defendnot deaktivierbar
Microsoft hat in Windows 10 und Windows 11 eine Schnittstelle (API) eingebaut, über die Hersteller von Antivirus-Software bei deren Installation den Microsoft Defender deaktivieren können. Einige Leute (darunter ein Blog-Leser) haben nun gezeigt, wie man mit einer einfachen Software (no-defender oder Defendnot) den Windows Defender deaktivieren kann.
https://www.borncity.com/blog/2025/05/19/windows-10-11-defender-mit-simplen-tool-deaktivierbar/
Ivanti EPMM Zero-Days: Reconnaissance to Exploitation
Two critical Ivanti zero-days (CVE-2025-4427 and CVE-2025-4428) are now being actively exploited after a surge in scanning activity last month. When chained together, these vulnerabilities enable unauthenticated remote code execution on Ivanti Endpoint Manager Mobile systems.
https://www.greynoise.io/blog/ivanti-epmm-zero-days-reconnaissance-exploitation
VM escape in Oracle VirtualBox via VGA device
We provide a proof-of-concept that demonstrates how to exploit this vulnerability to fully escape a virtual machine.
https://github.com/google/security-research/security/advisories/GHSA-qx2m-rcpc-v43v
Passwords are okay, impulsive Internet isnt
Every few weeks, I come across an article telling us how passwords are bad and how we need to go "passwordless". These pieces are written by mostly well-intended nerds who think technology can solve basic problems in human behavior.
https://www.dedoimedo.com/life/passwords-passkeys.html
New Community Resource: Attribution to IP
The Curated Intelligence community has shared a new collection for CTI analysts and others who perform cybersecurity research duties. A new GitHub repository has been created that contains a collection of methods to learn who the owner of an IP address is.
https://www.curatedintel.org/2025/05/new-community-resource-attribution-to-ip.html
Vulnerabilities
Mozilla Security Advisories May 17, 2025
Firefox ESR 115.23.1, ESR 128.10.1 and 138.0.4. Critical
https://www.mozilla.org/en-US/security/advisories/
Angreifer können Verbindungen von Sonicwall SMA1000 manipulieren
In einer Warnmeldung führt der Anbieter von Netzwerktechnik aus, dass Angreifer im Zuge einer Server-side-request-forgery-Attacke (SSRF) Anfragen an etwa von ihnen kontrollierte Server umleiten können (CVE-2025-40595 "hoch").
https://heise.de/-10387581
Thousands of WordPress Sites at Risk Due to Critical Crawlomatic Plugin Vulnerability
A severe security vulnerability has been discovered in the popular WordPress plugin, Crawlomatic Multisite Scraper Post Generator, potentially placing thousands of websites at risk. Tracked as CVE-2025-4389, the flaw allows unauthenticated attackers to upload malicious files, which could ultimately lead to remote code execution on affected websites.
https://thecyberexpress.com/crawlomatic-plugin-hit-by-cve-2025-4389/