Hallo Zusammen
Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Webs...
Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden vorzubeugen.
Grüsse aus Wallisellen
Rony Spitzer
Netzwerk & Broadcast Services
kameramann.ch [1] GmbH
Hertistrasse 25
8304 Wallisellen - Zürich
NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
Der grösste, private Anbieter für ENG- und Postproduktion-Services in der Region Zürich.
Links: ------ [1] http://kameramann.ch/
Am 07.04.2016 um 17:42 schrieb info@spiron.ch:
Hallo Zusammen
Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Webs...
Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden vorzubeugen.
Der Kanton Schwyz hat 20min auch blockiert…
Kam doch auch als Push Meldung:
Swisscom, Bund und SRF sperren «20 Minuten»-Website – wegen Malware-Verbreitung http://wat.is/LF9UdBAA6wKPKGDD
gruss
-steven
Am 07.04.2016 um 17:42 schrieb info@spiron.ch:
Hallo Zusammen
Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Webs...
Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden vorzubeugen.
Grüsse aus Wallisellen Rony Spitzer
Netzwerk & Broadcast Services
kameramann.ch GmbH
Hertistrasse 25
8304 Wallisellen - Zürich
NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
Der grösste, private Anbieter für ENG- und Postproduktion-Services in der Region Zürich.
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Das Problem ist weniger 20min als der AD-Server von Tamedia. Aktuell kommt der Schadcode halt nur via 20min.ch. Aber in der Vergangenheit waren auch andere Tamedia Seiten betroffen. Siehe auch:
http://securityblog.switch.ch/2016/02/10/attack-of-the-killer-ads/ http://www.govcert.admin.ch/blog/13/swiss-advertising-network-compromised-an...
Da das Thema bald ein 1 Jahr ist! Sollte die Empfehlung wohl etwas generischer lauten:
1. Add Blocker z.B. ublock Origin 2. Kein IE verwenden (das Exploit-Kit hat es bisher nur auf User-Agent abgesehen, welche die Strings "Windows NT Trident" enthalten. Also IE only und ohne Edge Browser. 3. Alle Tamedia Seiten blockieren :-|
Persönlich denke ich, dass Punkt 1. genügt. 20min.ch blockieren hilft dir in 2 Wochen wohl schon nicht mehr.
Daniel
On 07.04.16 17:42, info@spiron.ch wrote:
Hallo Zusammen
Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Webs...
Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden vorzubeugen.
Grüsse aus Wallisellen
Rony Spitzer
Netzwerk & Broadcast Services
kameramann.ch http://kameramann.ch/ GmbH
Hertistrasse 25
8304 Wallisellen - Zürich
NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
Der grösste, private Anbieter für ENG- und Postproduktion-Services in der Region Zürich.
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Hallo Zusammen
Weiss jemand von euch welche URLs betroffen waren? Wir würden gerne eine Impact-Analyse auf diesen Vorfall fahren.
Cheers Moritz
On 07 Apr 2016, at 18:22, Daniel Stirnimann daniel.stirnimann@switch.ch wrote:
Das Problem ist weniger 20min als der AD-Server von Tamedia. Aktuell kommt der Schadcode halt nur via 20min.ch. Aber in der Vergangenheit waren auch andere Tamedia Seiten betroffen. Siehe auch:
http://securityblog.switch.ch/2016/02/10/attack-of-the-killer-ads/ http://www.govcert.admin.ch/blog/13/swiss-advertising-network-compromised-an...
Da das Thema bald ein 1 Jahr ist! Sollte die Empfehlung wohl etwas generischer lauten:
- Add Blocker z.B. ublock Origin
- Kein IE verwenden (das Exploit-Kit hat es bisher nur auf User-Agent
abgesehen, welche die Strings "Windows NT Trident" enthalten. Also IE only und ohne Edge Browser. 3. Alle Tamedia Seiten blockieren :-|
Persönlich denke ich, dass Punkt 1. genügt. 20min.ch blockieren hilft dir in 2 Wochen wohl schon nicht mehr.
Daniel
On 07.04.16 17:42, info@spiron.ch wrote:
Hallo Zusammen
Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Webs...
Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden vorzubeugen.
Grüsse aus Wallisellen
Rony Spitzer
Netzwerk & Broadcast Services
kameramann.ch http://kameramann.ch/ GmbH
Hertistrasse 25
8304 Wallisellen - Zürich
NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
Der grösste, private Anbieter für ENG- und Postproduktion-Services in der Region Zürich.
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Hallo Zusammen
Wir haben GovCERT und MELANI, aber zeitnahe und technische Details werden da nicht publiziert. Warum? => Die technischen Infos sind vorhanden, also den injection point von dem iframe/js/adobeflash. => Warum werden nur die staatsnahen Institutionen per PM informiert?
Habe ich etwas übersehen?
Grüsse Mike
On 08.04.2016 10:47, Moritz Mann wrote:
Hallo Zusammen
Weiss jemand von euch welche URLs betroffen waren? Wir würden gerne eine Impact-Analyse auf diesen Vorfall fahren.
Cheers Moritz
Hallo Zusammen
20Min hat Anfrage folgende URL gemeldet (hinter dieser URL):
https://drop.open.ch/cbcee4af6531aad8de3648e2a91a46e9165bf342f43ab337ef
Wir lassen mal unsere Analyse laufen.
Grüsse Moritz
On 08 Apr 2016, at 11:14, mike thomi mike@thomi.net wrote:
Hallo Zusammen
Wir haben GovCERT und MELANI, aber zeitnahe und technische Details werden da nicht publiziert. Warum? => Die technischen Infos sind vorhanden, also den injection point von dem iframe/js/adobeflash. => Warum werden nur die staatsnahen Institutionen per PM informiert?
Habe ich etwas übersehen?
Grüsse Mike
On 08.04.2016 10:47, Moritz Mann wrote:
Hallo Zusammen
Weiss jemand von euch welche URLs betroffen waren? Wir würden gerne eine Impact-Analyse auf diesen Vorfall fahren.
Cheers Moritz
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Hallo Moritz,
GovCERT hat heute Vormittag die IOCs öffentlich gemacht: http://www.govcert.admin.ch/blog/21/20min.ch-malvertising-incident
Gruess, Matthias
On 08.04.16 10:47, Moritz Mann wrote:
Hallo Zusammen
Weiss jemand von euch welche URLs betroffen waren? Wir würden gerne eine Impact-Analyse auf diesen Vorfall fahren.
Cheers Moritz
On 07 Apr 2016, at 18:22, Daniel Stirnimann daniel.stirnimann@switch.ch wrote:
Das Problem ist weniger 20min als der AD-Server von Tamedia. Aktuell kommt der Schadcode halt nur via 20min.ch. Aber in der Vergangenheit waren auch andere Tamedia Seiten betroffen. Siehe auch:
http://securityblog.switch.ch/2016/02/10/attack-of-the-killer-ads/ http://www.govcert.admin.ch/blog/13/swiss-advertising-network-compromised-an...
Da das Thema bald ein 1 Jahr ist! Sollte die Empfehlung wohl etwas generischer lauten:
- Add Blocker z.B. ublock Origin
- Kein IE verwenden (das Exploit-Kit hat es bisher nur auf User-Agent
abgesehen, welche die Strings "Windows NT Trident" enthalten. Also IE only und ohne Edge Browser. 3. Alle Tamedia Seiten blockieren :-|
Persönlich denke ich, dass Punkt 1. genügt. 20min.ch blockieren hilft dir in 2 Wochen wohl schon nicht mehr.
Daniel
On 07.04.16 17:42, info@spiron.ch wrote:
Hallo Zusammen
Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Webs...
Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden vorzubeugen.
Grüsse aus Wallisellen
Rony Spitzer
Netzwerk & Broadcast Services
kameramann.ch http://kameramann.ch/ GmbH
Hertistrasse 25
8304 Wallisellen - Zürich
NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
Der grösste, private Anbieter für ENG- und Postproduktion-Services in der Region Zürich.
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
GovCERT hat heute Vormittag die IOCs öffentlich gemacht: http://www.govcert.admin.ch/blog/21/20min.ch-malvertising-incident
Adobe Flash... Again.
Why is that crap not banned in government/corporate IT infrastructure?
If anyone still needs it for certain applications, at least reduce exposure by limiting access to certain domains or (better) pressure your vendors to finally replace it with something less dangerous.
Seriously.
-
Daniel Stirnimann -
Gregor Riepl -
info@spiron.ch -
Marc Balmer -
Matthias Seitz -
mike thomi -
Moritz Mann -
Steven Glogger