И снова срочно патчим Windows
Помните массовые взломы по уязвимости MS17-010? Эпидемию WannaCry, Petya и NoPetya?
У нас новый кандидат на подобную эпидемию!
Что за уязвимость?
13 августа Майкрософт закрыла уязвимость (CVE-2024-38063), позволяющую выполнить удаленное выполнение кода в обработчике протокола IPv6. Этой уязвимости не нужно ничего, только включенный протокол. А начиная с 2008 он необходим множеству компонентов операционной системы, особенно на Windows Server.
Кто уязвим?
- Любая версия Windows с включённым по умолчанию протоколом IPv6.
Как защищаться?
Закрыться от эксплуатации с помощью фаервола самой ОС - невозможно, т.к. обработчик принимает пакеты ДО их обработки фаеволом!
Поможет:
- Отключить IPv6, но может помешать работе иных компонентов ОС.
- Поставить обновления от 13 августа.
Через нее уже ломают?
Нет, так как и исследователь и Майкрософт уверены в том, что ее эксплуатация будет легкой и массовой, подробности уязвимости не раскрываются. Эксплойта в публичном доступе пока нет. Но это лишь отсрочка, реверс-инжиниринг патча позволит злоумышленникам восстановить логику ошибки и написать эксплойт.
Помните массовые взломы по уязвимости MS17-010? Эпидемию WannaCry, Petya и NoPetya?
У нас новый кандидат на подобную эпидемию!
Что за уязвимость?
13 августа Майкрософт закрыла уязвимость (CVE-2024-38063), позволяющую выполнить удаленное выполнение кода в обработчике протокола IPv6. Этой уязвимости не нужно ничего, только включенный протокол. А начиная с 2008 он необходим множеству компонентов операционной системы, особенно на Windows Server.
Кто уязвим?
- Любая версия Windows с включённым по умолчанию протоколом IPv6.
Как защищаться?
Закрыться от эксплуатации с помощью фаервола самой ОС - невозможно, т.к. обработчик принимает пакеты ДО их обработки фаеволом!
Поможет:
- Отключить IPv6, но может помешать работе иных компонентов ОС.
- Поставить обновления от 13 августа.
Через нее уже ломают?
Нет, так как и исследователь и Майкрософт уверены в том, что ее эксплуатация будет легкой и массовой, подробности уязвимости не раскрываются. Эксплойта в публичном доступе пока нет. Но это лишь отсрочка, реверс-инжиниринг патча позволит злоумышленникам восстановить логику ошибки и написать эксплойт.
🤯18🔥5👍2
Фантомный FTP порт
Знаете в чем разница между этими двумя картинками? Нет, не в поднятом FTP у нас на сайте!
Иногда на запросы сканера портов NMAP вам отвечает вовсе не сам хост, а какой-то из роутеров по пути. Этим не удивить хакеров и админов во время сканов внутренней сети. Роутеры и иногда средства защиты любят путать - отвечать от имени несуществующих сервисов. Но когда скан идет через интернет такое далеко не сразу приходит в голову.
На верхней части скриншота отображается несуществующий в реальности сервис FTP, а отвечает вместо него IPhone Hotspot, сервис раздачи интернета, через который я его и раздал на макбук! Но, а если я подключу ноут к обычному Wi-fi, то иллюзия исчезает, и это уже на нижней части скриншота.
И это не персональный баг, беглый гуглинг по словам " Apple hotspot port scan, 21 port open" дал множество схожих вопросов.
Почему так происходит? Не понятно. У кого есть время на исследование - велком!
И помните, что иногда на сканах вам отвечает далеко не сам сервис, а что-то по середине.
Знаете в чем разница между этими двумя картинками? Нет, не в поднятом FTP у нас на сайте!
Иногда на запросы сканера портов NMAP вам отвечает вовсе не сам хост, а какой-то из роутеров по пути. Этим не удивить хакеров и админов во время сканов внутренней сети. Роутеры и иногда средства защиты любят путать - отвечать от имени несуществующих сервисов. Но когда скан идет через интернет такое далеко не сразу приходит в голову.
На верхней части скриншота отображается несуществующий в реальности сервис FTP, а отвечает вместо него IPhone Hotspot, сервис раздачи интернета, через который я его и раздал на макбук! Но, а если я подключу ноут к обычному Wi-fi, то иллюзия исчезает, и это уже на нижней части скриншота.
И это не персональный баг, беглый гуглинг по словам " Apple hotspot port scan, 21 port open" дал множество схожих вопросов.
Почему так происходит? Не понятно. У кого есть время на исследование - велком!
И помните, что иногда на сканах вам отвечает далеко не сам сервис, а что-то по середине.
1🔥20👍3❤1
3side кибербезопасности
И снова срочно патчим Windows Помните массовые взломы по уязвимости MS17-010? Эпидемию WannaCry, Petya и NoPetya? У нас новый кандидат на подобную эпидемию! Что за уязвимость? 13 августа Майкрософт закрыла уязвимость (CVE-2024-38063), позволяющую выполнить…
Эксплойт на RCE в IPv6
Итак, через неделю после закрытия, эксплойт на уязвимость в IPv6 написан и пока продается за $30 000.
Далее он подешевеет, потом станет приватным, а еще чуть позже будет слит в публичный доступ.
Ждем массовую эксплуатацию в ближайшие дни! А может и червя.
Обновляйтесь, или отключайте протокол.
Если выберете второй вариант, не забудьте что протокол включен по умолчанию, и в ряде случаев он может включиться обратно, без вашего участия. Поэтому лучше обновляйтесь.
Итак, через неделю после закрытия, эксплойт на уязвимость в IPv6 написан и пока продается за $30 000.
Далее он подешевеет, потом станет приватным, а еще чуть позже будет слит в публичный доступ.
Ждем массовую эксплуатацию в ближайшие дни! А может и червя.
Обновляйтесь, или отключайте протокол.
Если выберете второй вариант, не забудьте что протокол включен по умолчанию, и в ряде случаев он может включиться обратно, без вашего участия. Поэтому лучше обновляйтесь.
🤯12🔥5
Китайский бекдор в MIFARE Classic
С 2007 года начали активно использоваться карты MIFARE Classic. От общественного транспорта ("Тройка", "Подорожник" и прочие), до пропусков в бизнес-центры. Их использовали буквально повсюду по всему миру.
В чем защита?
Фишка подобных карт в том, что с клонировать их, имея доступ только с самой карте - крайне сложно. Хотя исследователи раз за разом находили в их защите новые уязвимости, которые позволяли подбирать ключи, и все же клонировать карты, стандарт модифицировали, и карты становились безопаснее. Вот и сейчас исследователи рутинно искали изъяны защиты нового стандарта. А нашли сенсацию и скандал.
Что обнаружили?
Крупнейший китайский производитель карт Shanghai Fudan Microelectronics закладывал в каждую карту аппаратный бекдор! Который позволял с клонировать любую карту, зная специальный ключ - единый для всех карт. Например, для последней прошивки FM11RF08S - A396EFA4E24F. Это ключ фактически сводит на нет всю защиту карт последнего поколения.
Когда внедрили эту лазейку?
По мнению исследователей с самого начала в 2007 году. 17 лет весь мир пользовался картами, которые были беззащитны перед знающими.
Вот так бывает.
Репутация производителя не панацея.
Все тайное становится явным, а бекдоры находятся.
Сколько раз его использовали за 17 лет? Неизвестно.
Ссылка на само исследование - https://eprint.iacr.org/2024/1275.
С 2007 года начали активно использоваться карты MIFARE Classic. От общественного транспорта ("Тройка", "Подорожник" и прочие), до пропусков в бизнес-центры. Их использовали буквально повсюду по всему миру.
В чем защита?
Фишка подобных карт в том, что с клонировать их, имея доступ только с самой карте - крайне сложно. Хотя исследователи раз за разом находили в их защите новые уязвимости, которые позволяли подбирать ключи, и все же клонировать карты, стандарт модифицировали, и карты становились безопаснее. Вот и сейчас исследователи рутинно искали изъяны защиты нового стандарта. А нашли сенсацию и скандал.
Что обнаружили?
Крупнейший китайский производитель карт Shanghai Fudan Microelectronics закладывал в каждую карту аппаратный бекдор! Который позволял с клонировать любую карту, зная специальный ключ - единый для всех карт. Например, для последней прошивки FM11RF08S - A396EFA4E24F. Это ключ фактически сводит на нет всю защиту карт последнего поколения.
Когда внедрили эту лазейку?
По мнению исследователей с самого начала в 2007 году. 17 лет весь мир пользовался картами, которые были беззащитны перед знающими.
Вот так бывает.
Репутация производителя не панацея.
Все тайное становится явным, а бекдоры находятся.
Сколько раз его использовали за 17 лет? Неизвестно.
Ссылка на само исследование - https://eprint.iacr.org/2024/1275.
1🔥27🤯12👍5🤣3
Арест Дурова, Телеграм и подобное
Когда случаются подобные громкие ситуации многие каналы начинают об этом писать.
Для новостных это логично, но даже профессиональные и корпоративные бегут за волной хайпа и стараются высказать свое важное мнение. Мнение которое зачастую выходит за области их профессиональных компетенций и совсем их не красит. Постепенно многие превращаются "экспертов по всему".
Наш канал максимально старается не выходить за области своих компетенций, и не комментировать подобное. Для нас качество материала и наша репутация значительно важнее сиюминутного хайпа и прироста подписчиков.
Поэтому не удивляйтесь, что от нас об этом ни слова!
Когда случаются подобные громкие ситуации многие каналы начинают об этом писать.
Для новостных это логично, но даже профессиональные и корпоративные бегут за волной хайпа и стараются высказать свое важное мнение. Мнение которое зачастую выходит за области их профессиональных компетенций и совсем их не красит. Постепенно многие превращаются "экспертов по всему".
Наш канал максимально старается не выходить за области своих компетенций, и не комментировать подобное. Для нас качество материала и наша репутация значительно важнее сиюминутного хайпа и прироста подписчиков.
Поэтому не удивляйтесь, что от нас об этом ни слова!
👍37🤡8🗿6❤5🔥1
BIS Summit 2024
Выступаю 19 сентября в Москве на BIS Summit!
Спасибо организаторам за приглашение, и за место в максимально подходящей мне секции.
Регистрируйтесь, приходите, будет интересно.
https://www.bissummit.ru/programma-meropriyatiya-bissummit
Выступаю 19 сентября в Москве на BIS Summit!
Спасибо организаторам за приглашение, и за место в максимально подходящей мне секции.
Регистрируйтесь, приходите, будет интересно.
https://www.bissummit.ru/programma-meropriyatiya-bissummit
🔥8👍2
Forwarded from Кибердом
Кибердом растёт вместе с вами!
🔓 Как и обещали, знакомим вас с Амбассадорами клуба резидентов!
Эти активные люди в комьюнити делают вклад в экспертную повестку клуба и индустриальные треки Кибердома, помогают популяризировать ИБ в России и лидируют регулярные встречи по выбранным направлениям, в том числе встречи по киберграмотности для не ИБ-специалистов.
↗️ И первым амбассадором клуба резидентов, который рассказал о себе в карточках выше, стал Антон Бочкарев, СЕО «Третья сторона».
#клуб_резидентов
🏠 Подписаться на Кибердом & Бизнес
Эти активные люди в комьюнити делают вклад в экспертную повестку клуба и индустриальные треки Кибердома, помогают популяризировать ИБ в России и лидируют регулярные встречи по выбранным направлениям, в том числе встречи по киберграмотности для не ИБ-специалистов.
#клуб_резидентов
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍8🔥4👏1
This media is not supported in your browser
VIEW IN TELEGRAM
Питерский социальный инженер
Lexus LX 570 стоимостью примерно 22 миллиона рублей, без номеров, и каких-либо средств отслеживания машины угнал неизвестный из дилерского центра на Шереметьевской улице в Санкт-Петербурге.
Сама по себе новость не привлекает внимание, но если посмотреть как он это сделал - это действительно красиво!
1. Злоумышленник устроил маскарад, оделся как типичный сотрудник дилерского центра, а для интеллигентного образа надел очки.
2. Точно знал, где в офисе лежат ключи и уверенной походкой сразу направился к ним и забрал.
3. Выехал на машине со стоянки, но путь ему преграждали ворота и охранник.
4. Поговорил с охранником, отвез охранника к воротам и тот сам открыл ему их.
На все это ему потребовалось несколько минут!
Что именно он говорил охраннику? Неизвестно, узнает полиция на допросе.
Лицо свое он в целом засветил на камерах, но качество оставляет желать лучшего, да и никто не отменял грим и иные методы маскировки.
За видео спасибо 78 каналу!
Ну, а легально получить призы за социальную инженерию можно было у нас на конкурсе на PHDays=)
Lexus LX 570 стоимостью примерно 22 миллиона рублей, без номеров, и каких-либо средств отслеживания машины угнал неизвестный из дилерского центра на Шереметьевской улице в Санкт-Петербурге.
Сама по себе новость не привлекает внимание, но если посмотреть как он это сделал - это действительно красиво!
1. Злоумышленник устроил маскарад, оделся как типичный сотрудник дилерского центра, а для интеллигентного образа надел очки.
2. Точно знал, где в офисе лежат ключи и уверенной походкой сразу направился к ним и забрал.
3. Выехал на машине со стоянки, но путь ему преграждали ворота и охранник.
4. Поговорил с охранником, отвез охранника к воротам и тот сам открыл ему их.
На все это ему потребовалось несколько минут!
Что именно он говорил охраннику? Неизвестно, узнает полиция на допросе.
Лицо свое он в целом засветил на камерах, но качество оставляет желать лучшего, да и никто не отменял грим и иные методы маскировки.
За видео спасибо 78 каналу!
Ну, а легально получить призы за социальную инженерию можно было у нас на конкурсе на PHDays=)
🔥50😁6❤3👍3🤔1
ТОПовая самозащита
Я уже не однократно писал, что ТОПов обязательно нужно учить защищать себя. Так как их устройства никогда не будут полноценно в ИБ-контуре компаний, а их действия невозможно полноценно контролировать.
Ну, а взлом личного устройства не менее критичен. Пытаюсь это донести через Хабр и популярный блог Timeweb Cloud.
Если вы разделяете мою позицию, поддержите плюсиком! На Хабре это важно и поможет распространить ее.
https://habr.com/ru/companies/timeweb/articles/837800/
Я уже не однократно писал, что ТОПов обязательно нужно учить защищать себя. Так как их устройства никогда не будут полноценно в ИБ-контуре компаний, а их действия невозможно полноценно контролировать.
Ну, а взлом личного устройства не менее критичен. Пытаюсь это донести через Хабр и популярный блог Timeweb Cloud.
Если вы разделяете мою позицию, поддержите плюсиком! На Хабре это важно и поможет распространить ее.
https://habr.com/ru/companies/timeweb/articles/837800/
Хабр
Чем выше ТОП, тем короче пароль: как защититься от угроз?
Компании стремятся обеспечить свою безопасность. Они следят за периметром, фильтруют почту и сообщения, контролируют рабочие станции. Для этого используются разнообразные инструменты для...
👍26🔥5
На IOS снова 0-day
Спасибо SecAtor за подсветку, тревожно!
Ждем обновления, а те кто не "Неуловимый Джо" (Политики/журналисты/активисты/крупные бизнесмены), включаем Lockdown Mode на своих айфонах. Он в теории должен защитить от заряженной SMS.
Спасибо SecAtor за подсветку, тревожно!
Ждем обновления, а те кто не "Неуловимый Джо" (Политики/журналисты/активисты/крупные бизнесмены), включаем Lockdown Mode на своих айфонах. Он в теории должен защитить от заряженной SMS.
Telegram
SecAtor
͏Тем временем, в киберподполье подкатили новинки в категории iOS RCE.
KeeperZed предлагает приобрести iOS 0-day RCE эксплойт, который не требует взаимодействия с пользователем (ZeroClick) и обеспечивает полный контроль над устройствами под управлением iOS…
KeeperZed предлагает приобрести iOS 0-day RCE эксплойт, который не требует взаимодействия с пользователем (ZeroClick) и обеспечивает полный контроль над устройствами под управлением iOS…
🤬8👍4🔥3😁3🤡1
Старая, опасная кавычка
Знаете, когда какая-либо новая уязвимость появляется в сети, обязательно появляются скептики которые говорят что-то в стиле "ну и к чему такой ажиотаж? Ее сейчас все закроют и все".
Самые простые SQL-инъекции вида
И их до сих пор можно встретить далеко не в студенческих/школьных приложениях.
Компания Collins Aerospace - предлагала услуги личного кабинета для небольших авиакомпаний. Приложение FlyCASS для регистрации членов экипажа. Через их приложение можно было:
- Посмотреть список и личные данные всех членов экипажа каждого рейса авиакомпании.
- Внести нового члена экипажа на рейс для более быстрого, и как правило, менее пристрастного досмотра в аэропорту.
- Внести данные члена экипажа, который не на службе, а летит как частное лицо, чтобы оформить ему перелет на дополнительном кресле в кабине пилотов, а не в салоне.
Для входа в личный кабинет этого приложения необходимо было ввести логин и пароль авиакомпании, или:
Чтобы зайти под любой авиакомпанией на выбор.
К счастью, случаев использования уязвимости 25 летней давности обнаружено не было. Никто не захватил самолет из кабины и не пронес на борт что-то опасное, использовав всего несколько кавычек!
Знаете, когда какая-либо новая уязвимость появляется в сети, обязательно появляются скептики которые говорят что-то в стиле "ну и к чему такой ажиотаж? Ее сейчас все закроют и все".
Самые простые SQL-инъекции вида
' or '1'='1 впервые были описаны в легендарном журнале PHRACK 12 декабря 1998 года, более 25 лет назад! И их до сих пор можно встретить далеко не в студенческих/школьных приложениях.
Компания Collins Aerospace - предлагала услуги личного кабинета для небольших авиакомпаний. Приложение FlyCASS для регистрации членов экипажа. Через их приложение можно было:
- Посмотреть список и личные данные всех членов экипажа каждого рейса авиакомпании.
- Внести нового члена экипажа на рейс для более быстрого, и как правило, менее пристрастного досмотра в аэропорту.
- Внести данные члена экипажа, который не на службе, а летит как частное лицо, чтобы оформить ему перелет на дополнительном кресле в кабине пилотов, а не в салоне.
Для входа в личный кабинет этого приложения необходимо было ввести логин и пароль авиакомпании, или:
Логин: ' or '1'='1
Пароль: ') OR MD5('1')=MD5('1
Чтобы зайти под любой авиакомпанией на выбор.
К счастью, случаев использования уязвимости 25 летней давности обнаружено не было. Никто не захватил самолет из кабины и не пронес на борт что-то опасное, использовав всего несколько кавычек!
2😁36👍11🔥9🤔1🤯1
Эксплойт на Wi-Fi чипы Mediatek
Вышел публичный эксплойт на CVE-2024-20017, RCE (выполнение кода), 0-click (действий пользователя не требуется).
Опасность: максимальная, легко компрометируется любое Wi-Fi устройство, от роутера до мобильного телефона с уязвимым чипом.
Какие чипы MediaTek уязвимы: MT6890, MT7915, MT7916, MT7981, MT7986, MT7622.
В устройствах каких производителей их используют чаще всего? Ubiquiti, Xiaomi, Netgear, многие устройства на Android и множество роутеров, с поддержкой Wifi6 (802.11ax).
Как определить уязвимо ли мое устройство? Пока таблицы уязвимых устройств нет, придется гуглить модель вашего устройства со словами "wi-fi chipset", и искать спецификации.
А если уязвимо то что? Обновляйтесь, уязвимость была обнаружена в марте, поэтому если прошивка устройства новее, то скорее всего все ок. Если обновлений нет, придется принять риск.
Именно из-за таких уязвимостей важно иметь регулярно обновляемые производителем телефоны/роутеры, чтобы не оказаться без защиты.
Тут прочитать полный технический репорт.
Тут публичный эксплойт.
Вышел публичный эксплойт на CVE-2024-20017, RCE (выполнение кода), 0-click (действий пользователя не требуется).
Опасность: максимальная, легко компрометируется любое Wi-Fi устройство, от роутера до мобильного телефона с уязвимым чипом.
Какие чипы MediaTek уязвимы: MT6890, MT7915, MT7916, MT7981, MT7986, MT7622.
В устройствах каких производителей их используют чаще всего? Ubiquiti, Xiaomi, Netgear, многие устройства на Android и множество роутеров, с поддержкой Wifi6 (802.11ax).
Как определить уязвимо ли мое устройство? Пока таблицы уязвимых устройств нет, придется гуглить модель вашего устройства со словами "wi-fi chipset", и искать спецификации.
А если уязвимо то что? Обновляйтесь, уязвимость была обнаружена в марте, поэтому если прошивка устройства новее, то скорее всего все ок. Если обновлений нет, придется принять риск.
Именно из-за таких уязвимостей важно иметь регулярно обновляемые производителем телефоны/роутеры, чтобы не оказаться без защиты.
Тут прочитать полный технический репорт.
Тут публичный эксплойт.
hyprblog
4 exploits, 1 bug: exploiting CVE-2024-20017 4 different ways
a post going over 4 exploits for CVE-2024-20017, a remotely exploitable buffer overflow in a component of the MediaTek MT7622 SDK.
1🔥17👍6🤯4