Aufgrund einer Störung des DNS liefern die Nameserver verschiedener Provider aktuell keine IP-Adresse für Hosts unter *.rwth-aachen.de zurück. Als Workaround können Sie alternative DNS-Server in Ihren Verbindungseinstellungen hinterlegen, wie z.B. die Level3-Nameserver (4.2.2.2 und 4.2.2.1) oder von Comodo (8.26.56.26 und 8.20.247.20). Ggf ist es auch möglich den VPN-Server der RWTH zu erreichen, dann nutzen Sie bitte VPN. // Due to DNS disruption, the name servers of various providers are currently not returning an IP address for hosts under *.rwth-aachen.de. As a workaround, you can store alternative DNS servers in your connection settings, e.g. the Level3-Nameserver (4.2.2.2 and 4.2.2.1) or Comodo (8.26.56.26 und 8.20.247.20). It may also be possible to reach the RWTH VPN server, in which case please use VPN.
Anleitungen zur Konfiguration eines alternativen DNS-Server unter Windows finden Sie über die folgenden Links: https://www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/ https://www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html Als Alternative können Sie auch VPN nutzen. Wenn Sie den VPN-Server nicht erreichen, können Sie nach der folgenden Anleitung die Host-Datei unter Windows anpassen. Dadurch kann der Server vpn.rwth-aachen.de erreicht werden. Dazu muss der folgenden Eintrag hinzugefügt werden: 134.130.5.231 vpn.rwth-aachen.de https://www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/ // Instructions for configuring an alternative DNS server under Windows can be found via the following links: https://www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/ https://www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html You can also use VPN as an alternative. If you cannot reach the VPN server, you can adjust the host file under Windows according to the following instructions. This will allow you to reach the server vpn.rwth-aachen.de. To do this, the following entry must be added: 134.130.5.231 vpn.rwth-aachen.de https://www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/
Die Host der RWTH Aachen sind nun wieder auch von ausserhalb des RWTH Netzwerkes erreichbar. // The hosts of RWTH Aachen University can now be reached again from outside the RWTH network.
Auch nach der Störungsbehebung am 25.8. um 21 Uhr kann es bei einzelnen Nutzer*innen zu Problemen gekommen sein. Am 26.8. um 9 Uhr wurden alle Nacharbeiten abgeschlossen, sodass es zu keinen weiteren Problemen kommen sollte. // Individual users may have experienced problems even after the fault was rectified on 25 August at 9 pm. On 26.8. at 9 a.m. all follow-up work was completed, so there should be no further problems.
wegen einer Wartung des Systems noc-portal werden einige unserer Webdienste zum Steuern der Internet Basisdienste kurzzeitig im Wartungszeitraum nicht zur Verfügung stehen. Unter anderem sind betroffen: * DNS-Admin * DHCP- Admin * RADIUS-Admin * Interface-Admin * Firewall-Admin & -Formular * WLAN Gastaccounts (anlegen)
--- English version below --- Die neue kostenfreie Outlook-App für Windows 10 und 11 sowie die Outlook-Apps auf Mobilgeräten (Android und iOS/macOS) dürfen aus Informationssicherheits- und Datenschutzgründen nicht genutzt werden, da diese unerwünscht Daten an Microsoft übermitteln. Nicht betroffen sind lizenzbasierte Outlook-Programme (aus Microsoft Office) sowie die „Outlook im Web“ App (OWA). Diese dürfen weiterhin verwendet werden. Hier bestehen aktuell keine Sicherheitsbedenken, da diese Anwendungen direkt mit den Mail-Servern der RWTH Aachen kommunizieren und keine Daten an die Microsoft-Cloud übertragen werden. Weitere Informationen finden Sie unter: https://help.itc.rwth-aachen.de/service/1jefzdccuvuch/article/a0fbb2a445e84927ad982e1259942e22/ --- english version --- The new Outlook app for Windows 10 and 11 and the Outlook apps on mobile devices (Android and iOS/macOS) must not be used for information security and data protection reasons, as they transmit unwanted data to Microsoft. License-based Outlook programs (from Microsoft Office) and the "Outlook on the Web" app (OWA) are not affected. These may continue to be used. There are currently no security concerns here, as these applications communicate directly with the RWTH Aachen University mail servers and no data is transferred to the Microsoft cloud. Further information can be found at: https://help.itc.rwth-aachen.de/service/1jefzdccuvuch/article/a0fbb2a445e84927ad982e1259942e22/
Die Meldung wird deaktiviert. Wir warnen weiterhin vor der Nutzung der neuen, kostenfreien Outlook-App: https://help.itc.rwth-aachen.de/service/1jefzdccuvuch/article/a0fbb2a445e84927ad982e1259942e22/ -- The message will be deactivated. We continue to warn against the use of the new, free Outlook app: https://help.itc.rwth-aachen.de/en/service/1jefzdccuvuch/article/a0fbb2a445e84927ad982e1259942e22/
Wir beobachten derzeit eine neue Welle von Phishing-Angriffen. Diesmal ist vor allem folgender Betreff auffällig: "Payment Advice - Ref: [HSBC107741] / RFQ Priority Payment / Customer Ref: [PI10774QT44]" oder ähnlich. Wir bitten um Vorsicht. Bei Erhalt dieser E-Mails klicken Sie bitte auf keinen Fall auf den Link und melden Sie diese an servicedesk@itc.rwth-aachen.de und zusätzlich an spam@access.ironport.com in Cc. Mehr Informationen zum Thema E-Mail Phishing finden Sie hier: https://help.itc.rwth-aachen.de/service/1jefzdccuvuch/article/ab86b235c4f5426facd675d623a0365b/ https://help.itc.rwth-aachen.de/service/1jefzdccuvuch/8e226a36638741ddacac573faa95a0e3/faq/#f2b3552a3e6f49d9be25a1ed9ad2ebe7 ---english version--- We are currently observing a new wave of phishing attacks. This time, the following subject is particularly noticeable: Current subject: "Payment Advice - Ref: [HSBC107741] / RFQ Priority Payment / Customer Ref: [PI10774QT44]" or similar. We advise caution. If you receive one of those emails, please do not click on the link under any circumstances and report them to servicedesk@itc.rwth-aachen.de and also to spam@access.ironport.com in Cc. You can find more information about e-mail phishing here: https://help.itc.rwth-aachen.de/en/service/1jefzdccuvuch/article/ab86b235c4f5426facd675d623a0365b/ https://help.itc.rwth-aachen.de/en/service/1jefzdccuvuch/8e226a36638741ddacac573faa95a0e3/faq/#f2b3552a3e6f49d9be25a1ed9ad2ebe7
---english version below--- Wir beobachten derzeit eine neue Welle von Phishing-Angriffen. Diesmal sind vor allem folgende Betreffe auffällig: "Paskyra pasenusi" und "Kontingentinformationen". Bei Erhalt dieser E-Mails klicken Sie bitte auf keinen Fall auf den Link und melden Sie diese an servicedesk@itc.rwth-aachen.de. ---english version--- We are currently seeing another wave of phishing attacks using the following email subjects: "Paskyra pasenusi" and "Kontingentinformationen". If you receive such an e-mail, please do not click on the link and report it to servicedesk@itc.rwth-aachen.de.
Die Welle hält an: aktueller Betreff: "Ihr E-Mail-Kontingent ist erschöpft" --- In English --- The wave continues: current Subject: "Ihr E-Mail-Kontingent ist erschöpft"
Die Welle hält an: aktueller Betreff: "E-Mail-Kontingent voll" --- In English --- The wave continues: current Subject: "E-Mail-Kontingent voll"
Aktuell sehen wir keine Phishing Emails mit diesen Betreffen mehr. --- In English --- We are no longer observing phishing emails with these subjects.
---english version below--- Wir beobachten derzeit eine Welle von Phishing-Angriffen verschiedener Art. Besonders auffällig sind die E-Mails mit dem Betreff "?? Voice Mail (00:19secs)". Bei Erhalt dieser E-Mail klicken Sie bitte auf keinen Fall auf den Link und melden Sie diese an servicedesk@itc.rwth-aachen.de. ---english version--- We are currently seeing a wave of phishing attacks of various kinds. E-mails with the subject "??? Voice Mail (00:19secs)" are particularly noticeable. If you receive this e-mail, please do not click on the link and report it to servicedesk@itc.rwth-aachen.de.
--English Version Below-- Es finden weiterhin gehäuft Phishing-Angriffe statt. Auffällig sind aktuell Phishing-Mails mit dem Betreff "WICHTIG: E-Mail-Benachrichtigung der Universität Würzburg". Gegebenenfalls wird diese Mail auch in einer abgewandelten Version und/oder in Englisch verschickt. --English Version-- Phishing attacks continue to occur more frequently. Phishing e-mails with the subject "WICHTIG: E-Mail-Benachrichtigung der Universität Würzburg" are particularly noticeable at the moment. This email may also be sent in a modified version and/or in English.
--English Version Below-- Die Warnungsmeldung wird beendet, da die akuten Phishing-Fälle in Summe abgenommen haben. Es werden jedoch weiterhin Phishing-Mails versendet. Bitte achten Sie deshalb auch künftig auf verdächtige E-Mails und klicken Sie nicht auf enthaltene Links. --English Version-- We are ending the warning message as the total number of phishing cases has decreased. However, phishing emails are still being sent. Therefore, please keep an eye out for suspicious emails and do not click on any links they contain.
Wir sehen gerade eine hohe Anzahl verschlüsselter Anhänge hereinkommen. Muster des Dateinamens: "Zahl"-BST-SH.zip Wir gehen von Malware aus
Verschlüsselte Archive entziehen sich erstmal dem Virenscan. Vorsicht beim Öffnen ist geboten.
Ein weiteres Muster taucht auf: DOC"Zahl"-"längere Zahl".zip
Heute ist das Muster TCR"Zahl".zip, Zahl ist vierstellig
Wir sehen seit ca. 13:00 E-Mails mit Anhängen in Form verschlüsselter ZIP Files. Die Filenamen haben das Muster "in_lange Zahl". Wir gehen von einer Malware Attacke aus.
Verschlüsselte Archive werden gerne verwendet, um der Detektion durch Virenscanner zu engehen.
Die Kolleginnen und Kollegen der DFN-PKI gehen "derzeit davon aus, dass es ab 28.08.2023 in GÉANT TCS zu einer Unterbrechung der Zertifikataustellung für Client-Zertifikate von schwer vorhersehbarer Dauer kommen kann. Für Server-Zertifikate sind keine Probleme zu erwarten."
wir bitten daher alle Nutzenden, die darauf hingewiesen wurden, dass ihr Client-Zertifikat in den kommenden Wochen ausläuft, ein neues Client-Zertifikat vor dem 28.8.2023 zu beziehen.
"Für eine Wiederaufnahme der S/MIME-Zertifikatausstellung nach *neuen* Regeln fehlen derzeit noch Voraussetzungen. Von Sectigo haben die DFN Kollegen bisher keine Informationen über Zeitpläne bekommen ... Da die Zertifikat-Profile noch unvollständig sind (s.u.), ist es derzeit aber noch nicht sinnvoll Zertifikate zu beantragen"
Es ist ab sofort wieder möglich, im RA-Portal Client-Zertifikate zu beantragen.
Am Montag 26.06.2023 werden zwischen 18:00 und 21:00 Uhr Wartungsarbeiten an den PKI-Systemen des DFN vorgenommen. In dem Zeitraum ist das Erstellen von Zertifikat- und Sperranträgen sowie das Bearbeiten und Genehmigen bereits eingereichter Anträge nicht möglich. Dies betrifft die Zertifikate für die "DFN-PKI Global" bzw. "DFN-Verein Community PKI" wie sie auf der nachstehenden Seite beschrieben werden https://help.itc.rwth-aachen.de/service/81a55cea5f2b416892901cf1736bcfc7/ Das LDAP-Verzeichnis (aka DFN-Adressbuch) sowie der CRLs und OCSP sind nicht betroffen Anfragen, die über das RA-Portal gestellt werden, sind ebenfalls nicht (!) betroffen.
Downtime für pki.pca.dfn.de/ra.pca.dfn.de
Derzeit "tobt" wieder die Qakbot-Welle durch die Hochschule. Es werden Antworten auf alte E-Mails verschickt, die in Postfächern mit kompromittierten Zugangsdaten gelandet sind.
Es gibt zwei Varianten: a) Text wird zitiert und kommentarlos ein Link zur Schadsoftware darüber gesetzt b) ein PDF ist attached, welches mit Adobe-Logo einen "Open-Button" enthält, der wiederum ein Link zur Schadsoftware ist Die Schadsoftware ist auf Windowssysteme gerichtet. Es hilft, uns zeitnah die Schadsoftware-URLs zukommen zu lassen um diese in Sicherheitspolicies zu integrieren.
Aktuell sehen wir sehr viele PDF Anhänge, deren Name aus genau zwei Buchstaben in Großschrift bestehen (z.B. AT.pdf). In den Emails selber werden meistens alte Nachrichten zitiert.
Zusätzlich zu den bereits implementierten Blocklisten wurde jetzt ein weiterer "Threat Intelligence" Service des Herstellers in Betrieb genommen.
Getestet wird derzeit Forcepoint Threatseeker mit den Kategorien: Security/Bot Networks/Sites that host the command-and-control centers for networks of bots that have been installed onto users' computers. (Excludes webcrowlers) Security/Advanced Malware/Protects against inbound network transmissions of payloads intended to exploit a machine. Security/Malicious Web Sites/Sites that are infected with a malicious link or iFrame. Ich bitte den holprigen Start gestern zu entschuldigen.
Die gefilterten Kategorien werden erweitert um: Phishing and other Frauds: Sites that counterfeit legitimate sites to elicit financial or other private information from users Compromised Websites: Sites that are vulnerable and known to host an injected malicious code or unwanted content.
Derzeit sind HTML Anhänge an E-Mails unterwegs, die einen lateinischen Namen (z.B. voluptate.html) haben und auch lateinischen Text enthalten. Diese laden per Javascript Windows-Malware nach. Wir empfehlen, entsprechende E-Mails einfach zu löschen.
Blockieren von Javascript als Default funktioniert zur Absicherung. Erstmal liegenlassen der E-Mails ist auch eine gute Sicherungsmaßnahme, im Laufe des nächsten Tages spätestens tauchen die URLs in Blocklisten auf, die auch in der RWTH-Firewall umgesetzt werden. Die Anhänge haben eine Größe von wenigen Kilobyte.
Es häufen sich aktuell die Meldungen bzgl. Phishing E-Mails, die suggerieren im Auftrag des Lehrstuhlinhabers/-in zu kommen und um Unterstützung etc. bitten Betreff ist bisher immer "Available?" Der im E-Mail Client angezeigte Absender endet (bisher) auf bk.ru Diese E-Mail gerne als Anhang an phish@access.ironport.com um gemeinsam die Detektion bei unserem E-Mail Dienst zu trainieren/verbessern. Alle anderen verdächtigen E-Mail als Anhang (!) und auf dem gewohnten Weg gerne zu uns.
Seit heute ca. 13:00 läuft eine Welle von E-Mails ein, in denen eine "Antwort" auf eine ältere E-Mail mit einem Link zu Schadsoftware enthalten ist.
Sollte sich die Antwort auf eine E-Mail aus einer 1-zu-1 Kommunikation beziehen, ist das potentiell interessant und wir würden Daten dazu unter csi@rwth-aachen.de entgegennehmen.
Da keine Server-Zertifikate (!) mit Browser- und Betriebssystemverankerung (Sicherheitsniveau "Global") der DFN-PKI ausgestellt werden, wurde der bereits im DNS eingetragene CAA record für den Trusted Certificate Services von GÉANT (aktuell Sectigo) als Standard-Zertifizierungsstelle definiert - dadurch ist dieser über den DNS-Admin nicht löschbar bzw. wurde in den Zonen, wo dieser noch nicht eingetragen war, hinzugefügt. Dies betrifft nur neu auszustellende Server-Zertifikate, bereits ausgestellte Zertifikate werden nicht tangiert, auch bestehende Einträge für andere CA wurden beibehalten.