Шпионский бэкдор Daxin повышает ставки на китайские вредоносные программы.
С помощью узлового хоппинга инструмент шпионажа может достигать компьютеров, даже не подключенных к Интернету.
По словам исследователей, вредоносная программа Daxin нацелена на защищенные правительственные сети по всему миру с целью кибершпионажа.
Команда Symantec Threat Hunter заметила передовую постоянную угрозу (APT) в действии в ноябре, отметив, что это "самая продвинутая часть вредоносного ПО, которую исследователи Symantec видели от связанных с Китаем субъектов... демонстрирующая техническую сложность, ранее невиданную для таких субъектов".
Они добавили, что специфический набор операций Daxin включает чтение и запись произвольных файлов, запуск произвольных процессов и взаимодействие с ними, а также расширенные возможности латерального перемещения и скрытности.
С помощью узлового хоппинга инструмент шпионажа может достигать компьютеров, даже не подключенных к Интернету.
По словам исследователей, вредоносная программа Daxin нацелена на защищенные правительственные сети по всему миру с целью кибершпионажа.
Команда Symantec Threat Hunter заметила передовую постоянную угрозу (APT) в действии в ноябре, отметив, что это "самая продвинутая часть вредоносного ПО, которую исследователи Symantec видели от связанных с Китаем субъектов... демонстрирующая техническую сложность, ранее невиданную для таких субъектов".
Они добавили, что специфический набор операций Daxin включает чтение и запись произвольных файлов, запуск произвольных процессов и взаимодействие с ними, а также расширенные возможности латерального перемещения и скрытности.
Forwarded from Типичный Сисадмин
В РФ вводят меры в поддержку IT.
На три года все IT-компании будут освобождены от уплаты налога на прибыль и от проверок контрольными органами. Они смогут на выгодном условии взять кредиты на продолжение работы и новые проекты по ставке, не превышающей 3%.
Помимо этого, действующие сотрудники таких компаний в возрасте до 27 лет получат отсрочку от призыва на военную службу.
На три года все IT-компании будут освобождены от уплаты налога на прибыль и от проверок контрольными органами. Они смогут на выгодном условии взять кредиты на продолжение работы и новые проекты по ставке, не превышающей 3%.
Помимо этого, действующие сотрудники таких компаний в возрасте до 27 лет получат отсрочку от призыва на военную службу.
👍8🤔4
Модель ИИ научили выявлять психические расстройства на основе сообщений в Интернете
Исследователи из Дартмута обучили модель различать эмоции в постах, а не их содержание. В своей работе исследователи сосредоточились депрессии, тревоге и биполярном расстройстве, — эмоциональные расстройства с четкими эмоциональными паттернами. Они изучили данные пользователей, которые сообщили о наличии у себя одного из этих расстройств, и пользователей без каких-либо известных психических расстройств.
Модель обучилась маркировать эмоции, выраженные в сообщениях пользователей, например, «радость», «гнев», «печаль», «страх», «отсутствие эмоций» или их комбинацию. В получилась матрица, показывающая, насколько вероятно, что пользователь перейдет из одного состояния в другое. Создавая эмоциональный «цифровой отпечаток» пользователя и сравнивая его с установленными признаками эмоциональных расстройств, модель может обнаружить их.
Особенностью модели является то, что другие модели построены на опоре на содержание текста, поэтому могут вводить в заблуждение.
Например, если модель научится соотносить «COVID» с «грустью» или «тревожностью», то она предположит, что ученый, изучающий и публикующий (довольно беспристрастно) информацию о COVID-19, страдает депрессией или тревогой.
Исследователи из Дартмута обучили модель различать эмоции в постах, а не их содержание. В своей работе исследователи сосредоточились депрессии, тревоге и биполярном расстройстве, — эмоциональные расстройства с четкими эмоциональными паттернами. Они изучили данные пользователей, которые сообщили о наличии у себя одного из этих расстройств, и пользователей без каких-либо известных психических расстройств.
Модель обучилась маркировать эмоции, выраженные в сообщениях пользователей, например, «радость», «гнев», «печаль», «страх», «отсутствие эмоций» или их комбинацию. В получилась матрица, показывающая, насколько вероятно, что пользователь перейдет из одного состояния в другое. Создавая эмоциональный «цифровой отпечаток» пользователя и сравнивая его с установленными признаками эмоциональных расстройств, модель может обнаружить их.
Особенностью модели является то, что другие модели построены на опоре на содержание текста, поэтому могут вводить в заблуждение.
Например, если модель научится соотносить «COVID» с «грустью» или «тревожностью», то она предположит, что ученый, изучающий и публикующий (довольно беспристрастно) информацию о COVID-19, страдает депрессией или тревогой.
👍5
В новой тестовой сборке Windows 11 в учетную запись Microsoft предлагается добавить данные банковской карты
По информации Microsoft, в новой тестовой сборке Windows 11 Insider Preview Build 22567 в настройках учетной записи Microsoft предлагается добавить данные банковской карты пользователя в новый интерфейс для управления подпиской Microsoft 365.
Это сделано для упрощения продления подписок на ПО и совершения покупок в Microsoft Store в одно касание.
Microsoft будет отслеживать срок окончания действия карты в аккаунте и заранее предупреждать пользователя о необходимости ввода новой карты для оплаты подписок.
По информации Microsoft, в новой тестовой сборке Windows 11 Insider Preview Build 22567 в настройках учетной записи Microsoft предлагается добавить данные банковской карты пользователя в новый интерфейс для управления подпиской Microsoft 365.
Это сделано для упрощения продления подписок на ПО и совершения покупок в Microsoft Store в одно касание.
Microsoft будет отслеживать срок окончания действия карты в аккаунте и заранее предупреждать пользователя о необходимости ввода новой карты для оплаты подписок.
🤯6💩5🤬3👍2
Журналисты и пользователи заметили, что Samsung принудительно замедляет более 10 тыс. мобильных приложений для повышения автономности
За замедление отвечает элемент операционной системы под названием Game Optimizing Service (GOS). Он помогает оптимизировать потребление электроэнергии во время запуска игр и требовательных приложений.
Всего в списке на замедление 10 тыс. приложений. Интересно, что в нём нет бенчмарков. В теории, это помогает GOS маскироваться. Корейский YouTube-блогер решил проверить это предположение и замерил показатели бенчмарка 3DMark. Затем он переименовал приложение на «Genshin Impact» (эта игра есть в списке на замедление). В итоге показатели производительности значительно снизились.
Samsung пока не комментировала ситуацию. Специалисты отмечают, что замедление добавлено намеренно, что нарушает права пользователей, которые не получают заявленную мощность устройства и не могут сами управлять процессом.
За замедление отвечает элемент операционной системы под названием Game Optimizing Service (GOS). Он помогает оптимизировать потребление электроэнергии во время запуска игр и требовательных приложений.
Всего в списке на замедление 10 тыс. приложений. Интересно, что в нём нет бенчмарков. В теории, это помогает GOS маскироваться. Корейский YouTube-блогер решил проверить это предположение и замерил показатели бенчмарка 3DMark. Затем он переименовал приложение на «Genshin Impact» (эта игра есть в списке на замедление). В итоге показатели производительности значительно снизились.
Samsung пока не комментировала ситуацию. Специалисты отмечают, что замедление добавлено намеренно, что нарушает права пользователей, которые не получают заявленную мощность устройства и не могут сами управлять процессом.
👍7
Голосового помощника Amazon Alexa можно взломать с помощью аудиокоманд
Злоумышленник, имеющий доступ к «умному» динамику, может с помощью уязвимости в устройстве транслировать команды себе или другим умным динамикам поблизости. Это позволяет преступнику запускать прочие «умные» устройства в доме, совершать покупки и подслушивать пользователей.
Уязвимость (CVE-2022-25809) получила название Alexa vs Alexa. Она затрагивает устройства Echo Dot третьего и четвертого поколения. Специально созданные аудиофайлы могут быть размещены на интернет-радиостанции, настраиваемой Amazon Echo. В этом сценарии злоумышленнику просто нужно настроить интернет-радиостанцию (по сути, командный сервер) с целью получить контроль над устройством.
Для выполнения атаки нужно использовать функции Amazon Alexa Skills. Язык разметки синтеза речи (SSML) предоставил хакерам еще один путь для использования Alexa Skills, отличный от подхода к потоковому радио. Это язык, который позволяет разработчикам программировать, как Alexa будет говорить в определенных ситуациях. Тег SSML может сказать, что Alexa будет шептать или говорить в хорошем настроении.
Любой может создать новый навык Alexa Skill и опубликовать его в магазине Alexa Skill. Навыкам не нужны какие-либо особые привилегии для работы на устройстве с поддержкой Alexa, хотя Amazon утверждает, что проверяет их, прежде чем выпустить в эфир.
Злоумышленник, имеющий доступ к «умному» динамику, может с помощью уязвимости в устройстве транслировать команды себе или другим умным динамикам поблизости. Это позволяет преступнику запускать прочие «умные» устройства в доме, совершать покупки и подслушивать пользователей.
Уязвимость (CVE-2022-25809) получила название Alexa vs Alexa. Она затрагивает устройства Echo Dot третьего и четвертого поколения. Специально созданные аудиофайлы могут быть размещены на интернет-радиостанции, настраиваемой Amazon Echo. В этом сценарии злоумышленнику просто нужно настроить интернет-радиостанцию (по сути, командный сервер) с целью получить контроль над устройством.
Для выполнения атаки нужно использовать функции Amazon Alexa Skills. Язык разметки синтеза речи (SSML) предоставил хакерам еще один путь для использования Alexa Skills, отличный от подхода к потоковому радио. Это язык, который позволяет разработчикам программировать, как Alexa будет говорить в определенных ситуациях. Тег SSML может сказать, что Alexa будет шептать или говорить в хорошем настроении.
Любой может создать новый навык Alexa Skill и опубликовать его в магазине Alexa Skill. Навыкам не нужны какие-либо особые привилегии для работы на устройстве с поддержкой Alexa, хотя Amazon утверждает, что проверяет их, прежде чем выпустить в эфир.
👍2
Microsoft остановила продажи и поддержку продуктов в России
Компания заявила о координации работы в тесном сотрудничестве с правительствами США, Европейского Союза и Соединенного Королевства, и дальнейшее решения касательно бизнеса в РФ будут принимать в соответствии с решениями правительства о санкциях.
Компания заявила о координации работы в тесном сотрудничестве с правительствами США, Европейского Союза и Соединенного Королевства, и дальнейшее решения касательно бизнеса в РФ будут принимать в соответствии с решениями правительства о санкциях.
👍5
В России могут легализовать пиратство
На фоне набирающих оборот санкций российские власти экстренно готовят меры поддержки. Согласно плану Минцифры, для поддержки российских информационных технологий предлагается механизм принудительного лицензирования в отношении ПО, без согласия патентообладателя.
Также власти предлагают отмену уголовной и административной ответственности за использование пиратского программного обеспечения «из стран, поддержавших санкции».
Такой шаг мог бы временно смягчить уход из России Microsoft, IBM, Oracle и других, допускают эксперты. Но большая часть значимого софта этих компаний продается по подписке, а значит, доступ к нему в любом случае будет заблокирован.
Эти шаги позволят российскому рынку некоторое время существовать «по инерции, не делая резких движений по импортозамещению».
На фоне набирающих оборот санкций российские власти экстренно готовят меры поддержки. Согласно плану Минцифры, для поддержки российских информационных технологий предлагается механизм принудительного лицензирования в отношении ПО, без согласия патентообладателя.
Также власти предлагают отмену уголовной и административной ответственности за использование пиратского программного обеспечения «из стран, поддержавших санкции».
Такой шаг мог бы временно смягчить уход из России Microsoft, IBM, Oracle и других, допускают эксперты. Но большая часть значимого софта этих компаний продается по подписке, а значит, доступ к нему в любом случае будет заблокирован.
Эти шаги позволят российскому рынку некоторое время существовать «по инерции, не делая резких движений по импортозамещению».
👍7👎1
Выпущен бесплатный расшифровщик HermeticRansom Ransomware.
Непродуманная криптография означает, что жертвы, чьи файлы были зашифрованы мучительной для Украины программой-вымогателем, могут разорвать цепи, не заплатив вымогателям.
Выпущен бесплатный дешифратор для разблокирования вымогательского ПО, обнаруженного в результате использования вредоносной программы HermeticWiper для очистки данных, которую ESET и Broadcom's Symantec обнаружили на прошлой неделе на машинах финансовых, оборонных, авиационных и ИТ-служб в Украине, Литве и Латвии.
Тот факт, что к вредоносному ПО для стирания данных прилипло ПО для выкупа, конечно же, не удивил экспертов по кибербезопасности. Например, это предсказала Кэти Никельс, директор по разведке компании Red Canary: Она написала в Твиттере, что, скорее всего, имела место "более широкая цепочка вторжений".
Непродуманная криптография означает, что жертвы, чьи файлы были зашифрованы мучительной для Украины программой-вымогателем, могут разорвать цепи, не заплатив вымогателям.
Выпущен бесплатный дешифратор для разблокирования вымогательского ПО, обнаруженного в результате использования вредоносной программы HermeticWiper для очистки данных, которую ESET и Broadcom's Symantec обнаружили на прошлой неделе на машинах финансовых, оборонных, авиационных и ИТ-служб в Украине, Литве и Латвии.
Тот факт, что к вредоносному ПО для стирания данных прилипло ПО для выкупа, конечно же, не удивил экспертов по кибербезопасности. Например, это предсказала Кэти Никельс, директор по разведке компании Red Canary: Она написала в Твиттере, что, скорее всего, имела место "более широкая цепочка вторжений".
👍6
Хакеры, взломавшие NVIDIA, взломали и Samsung
В сеть утекло 190 ГБ данных, среди которых алгоритмы Samsung для операций биометрической разблокировки, исходники загрузчиков. Также утёк код для серверов активации Samsung — исходный код технологии, используемой для авторизации и аутентификации учетных записей Samsung, включая API и различные службы и сервисы. А также исходники компании-партнёра Qualcomm. Хакеры просто выложили исходники в открытый доступ и не стали выставлять условий компании.
В сеть утекло 190 ГБ данных, среди которых алгоритмы Samsung для операций биометрической разблокировки, исходники загрузчиков. Также утёк код для серверов активации Samsung — исходный код технологии, используемой для авторизации и аутентификации учетных записей Samsung, включая API и различные службы и сервисы. А также исходники компании-партнёра Qualcomm. Хакеры просто выложили исходники в открытый доступ и не стали выставлять условий компании.
Массивная бот-сеть Meris внедряет Ransomware Notes from REvil.
В DDoS-атаки с целью выкупа акций компаний были встроены записки, угрожающие обвалить курс акций целевых компаний, в виде строки_текста, адресованной генеральным директорам и webop_geeks в URL-адресе.
Hey webop_geeks, you_are_already_dead, - гласила записка, оставленная бандой вымогателей REvil, встроенная в саму атаку в виде строки текста в URL-адресе для требования вымогательства.
Компания Imperva сообщила об интересном повороте в пятницу - одном из нескольких, которые она наблюдала в развитии распределенных атак типа "отказ в обслуживании" (DDoS) в этом году.
В своем сообщении, в котором подробно описываются меры по смягчению последствий недавней атаки, которая достигла 2,5 Mrps (миллионы запросов в секунду) на один веб-сайт, Нелли Клепфиш из Imperva поделилась несколькими громогласными записками с требованием выкупа - снимок экрана одной из них приведен ниже - которые ее целевой клиент получил до начала атаки.
В DDoS-атаки с целью выкупа акций компаний были встроены записки, угрожающие обвалить курс акций целевых компаний, в виде строки_текста, адресованной генеральным директорам и webop_geeks в URL-адресе.
Hey webop_geeks, you_are_already_dead, - гласила записка, оставленная бандой вымогателей REvil, встроенная в саму атаку в виде строки текста в URL-адресе для требования вымогательства.
Компания Imperva сообщила об интересном повороте в пятницу - одном из нескольких, которые она наблюдала в развитии распределенных атак типа "отказ в обслуживании" (DDoS) в этом году.
В своем сообщении, в котором подробно описываются меры по смягчению последствий недавней атаки, которая достигла 2,5 Mrps (миллионы запросов в секунду) на один веб-сайт, Нелли Клепфиш из Imperva поделилась несколькими громогласными записками с требованием выкупа - снимок экрана одной из них приведен ниже - которые ее целевой клиент получил до начала атаки.
Главные IT-новости недели
🎮 Valve начала продажи Steam Deck
💰 Хакеры продают данные Nvidia по снятию ограничения хэшрейта в видеокартах
🔍 Китайский хакерский инструмент Daxin обходил обнаружение 10 лет
🐌 Samsung принудительно замедляет более 10 тыс. мобильных приложений для повышения автономности
🔓 Хакеры, взломавшие NVIDIA, взломали и Samsung
🎮 Valve начала продажи Steam Deck
💰 Хакеры продают данные Nvidia по снятию ограничения хэшрейта в видеокартах
🔍 Китайский хакерский инструмент Daxin обходил обнаружение 10 лет
🐌 Samsung принудительно замедляет более 10 тыс. мобильных приложений для повышения автономности
🔓 Хакеры, взломавшие NVIDIA, взломали и Samsung
Firefox исправляет две уязвимости нулевого дня
Обнаруженные уязвимости активно эксплуатируются в сетевых атаках на пользователей браузера. Mozilla выпустила внеплановое обновление.
Первая уязвимость CVE-2022-26485 связана с ошибкой обработки XSLT параметров. Она может использоваться для удаленного выполнения произвольного кода на вашем компьютере при посещении специально созданного Web сайта.
Вторая ошибка CVE-2022-26486 обнаружена в WebGPU IPC Framework. Она позволяет удаленному злоумышленнику выйти за пределы песочницы. Уязвимости такого типа могут использоваться как самостоятельно, так и в сочетании с RCE ошибками, позволяя вредоносному коду выйти за установленные ограничения безопасности вашим браузером, тем самым усугубляя и без того плохую ситуацию.
Обнаруженные уязвимости активно эксплуатируются в сетевых атаках на пользователей браузера. Mozilla выпустила внеплановое обновление.
Первая уязвимость CVE-2022-26485 связана с ошибкой обработки XSLT параметров. Она может использоваться для удаленного выполнения произвольного кода на вашем компьютере при посещении специально созданного Web сайта.
Вторая ошибка CVE-2022-26486 обнаружена в WebGPU IPC Framework. Она позволяет удаленному злоумышленнику выйти за пределы песочницы. Уязвимости такого типа могут использоваться как самостоятельно, так и в сочетании с RCE ошибками, позволяя вредоносному коду выйти за установленные ограничения безопасности вашим браузером, тем самым усугубляя и без того плохую ситуацию.
Тысячи пользователей спутниковой связи отключены в Европе после кибератаки, является ли это перетоком конфликта?
Orange подтвердил, что "почти 9 000 абонентов" спутникового интернета, предоставляемого его дочерней компанией Nordnet во Франции, были отключены от сети после "кибернетического события", произошедшего 24 февраля в компании Viasat, американском гигантском спутниковом операторе, предоставляющем услуги европейским операторам связи.
Около трети из 40 000 абонентов спутникового интернет-сервиса bigblu в Европе, в Германии, Франции, Венгрии, Греции, Италии и Польше, были затронуты тем же киберсобытием.
Компания Viasat объявила в среду, что "кибер-случай" вызвал "частичное отключение сети" для клиентов "в Украине и других местах" в Европе, которые полагаются на ее спутник KA-SAT.
На данный момент компания Viasat еще не предоставила технических подробностей о злонамеренном событии, которое находится в стадии расследования правоохранительными органами.
Orange подтвердил, что "почти 9 000 абонентов" спутникового интернета, предоставляемого его дочерней компанией Nordnet во Франции, были отключены от сети после "кибернетического события", произошедшего 24 февраля в компании Viasat, американском гигантском спутниковом операторе, предоставляющем услуги европейским операторам связи.
Около трети из 40 000 абонентов спутникового интернет-сервиса bigblu в Европе, в Германии, Франции, Венгрии, Греции, Италии и Польше, были затронуты тем же киберсобытием.
Компания Viasat объявила в среду, что "кибер-случай" вызвал "частичное отключение сети" для клиентов "в Украине и других местах" в Европе, которые полагаются на ее спутник KA-SAT.
На данный момент компания Viasat еще не предоставила технических подробностей о злонамеренном событии, которое находится в стадии расследования правоохранительными органами.
Производители микросхем представили новый стандарт UCIe
Intel, AMD, Arm, TSMC и Samsung представили новый консорциум Universal Chiplet Interconnect Express (UCIe) с целью стандартизации межкомпонентных соединений между чипами с открытым интерфейсом. Участники консорциума стремятся сделать UCIe таким же универсальным, как и другие стандарты (USB, PCIe и NVMe). Все производители примут эту технологию вместе с экосистемами x86 и Arm.
UCIe — это многоуровневый протокол с физическим уровнем и сквозным адаптером. Физический уровень может состоять из всех типов текущих вариантов упаковки от нескольких компаний: стандартной 2D-упаковки и более продвинутой 2,5D-упаковки (Intel EMIB), CoWoS на основе промежуточного устройства от TSMC и подходов промежуточного разветвления (FOCoS-B).
UCIe обеспечит стандартизированное соединение между чиплетами, такими как ядра, память и ввод-вывод, которое выглядит и работает аналогично соединениям на кристалле, а также обеспечивает соединения вне кристалла с другими компонентами. Оно опирается на существующие протоколы, такие как PCIe и CXL.
Спецификация UCIe 1.0 уже доступна, и у консорциума также есть веб-сайт с официальным документом и другими ресурсами.
Intel, AMD, Arm, TSMC и Samsung представили новый консорциум Universal Chiplet Interconnect Express (UCIe) с целью стандартизации межкомпонентных соединений между чипами с открытым интерфейсом. Участники консорциума стремятся сделать UCIe таким же универсальным, как и другие стандарты (USB, PCIe и NVMe). Все производители примут эту технологию вместе с экосистемами x86 и Arm.
UCIe — это многоуровневый протокол с физическим уровнем и сквозным адаптером. Физический уровень может состоять из всех типов текущих вариантов упаковки от нескольких компаний: стандартной 2D-упаковки и более продвинутой 2,5D-упаковки (Intel EMIB), CoWoS на основе промежуточного устройства от TSMC и подходов промежуточного разветвления (FOCoS-B).
UCIe обеспечит стандартизированное соединение между чиплетами, такими как ядра, память и ввод-вывод, которое выглядит и работает аналогично соединениям на кристалле, а также обеспечивает соединения вне кристалла с другими компонентами. Оно опирается на существующие протоколы, такие как PCIe и CXL.
Спецификация UCIe 1.0 уже доступна, и у консорциума также есть веб-сайт с официальным документом и другими ресурсами.
👍4
Сайт Pikabu подтвердил утечку данных
В сети появились сообщения об утечке миллиона строк пользовательских данных с популярного развлекательного сайта Pikabu. В свободном доступе были опубликованы список логинов, адресов электронной почты и телефонов российских и белорусских пользователей ресурса.
Администрация Pikabu официально подтвердила, что утечка действительно имеет место:
«Наша команда искала источник и установила, что утечка произошла в декабре 2021 года, единоразово, и злоумышленники не имели доступа к нашим базам данных. Сведений об утере паролей, социальных сетей, других персональных данных, попыток взлома аккаунтов не зафиксировано, и утерянных данных недостаточно для входа в аккаунт.
О мотивах злоумышленников и их целях нам ничего неизвестно, и мы можем лишь предполагать, почему декабрьская утечка была выложена именно сейчас», — гласит официальное сообщение.
В сети появились сообщения об утечке миллиона строк пользовательских данных с популярного развлекательного сайта Pikabu. В свободном доступе были опубликованы список логинов, адресов электронной почты и телефонов российских и белорусских пользователей ресурса.
Администрация Pikabu официально подтвердила, что утечка действительно имеет место:
«Наша команда искала источник и установила, что утечка произошла в декабре 2021 года, единоразово, и злоумышленники не имели доступа к нашим базам данных. Сведений об утере паролей, социальных сетей, других персональных данных, попыток взлома аккаунтов не зафиксировано, и утерянных данных недостаточно для входа в аккаунт.
О мотивах злоумышленников и их целях нам ничего неизвестно, и мы можем лишь предполагать, почему декабрьская утечка была выложена именно сейчас», — гласит официальное сообщение.
👎2👍1
Уязвимость безопасности затрагивает тысячи самоуправляемых установок GitLab
Проблема связана с отсутствием проверки аутентификации при выполнении определенных запросов GitLab GraphQL API. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость для сбора зарегистрированных имен пользователей, имен и адресов электронной почты GitLab.
Успешная эксплуатация уязвимости может служить плацдармом для совершения дальнейших атак, включая подбор пароля, распыление пароля и подстановка учетных данных.
CVE-2021-4191 (оценка CVSS: 5,3) затрагивает все версии GitLab Community Edition и Enterprise Edition, начиная с 13.0, и все версии, начиная с 14.4 и до 14.8.
25 февраля 2022 г были выпущены исправления для самоуправляемых серверов в рамках критических выпусков безопасности GitLab 14.8.2, 14.7.4 и 14.6.5.
Проблема связана с отсутствием проверки аутентификации при выполнении определенных запросов GitLab GraphQL API. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость для сбора зарегистрированных имен пользователей, имен и адресов электронной почты GitLab.
Успешная эксплуатация уязвимости может служить плацдармом для совершения дальнейших атак, включая подбор пароля, распыление пароля и подстановка учетных данных.
CVE-2021-4191 (оценка CVSS: 5,3) затрагивает все версии GitLab Community Edition и Enterprise Edition, начиная с 13.0, и все версии, начиная с 14.4 и до 14.8.
25 февраля 2022 г были выпущены исправления для самоуправляемых серверов в рамках критических выпусков безопасности GitLab 14.8.2, 14.7.4 и 14.6.5.
Уязвимость ядра Linux, отслеживаемая как CVE-2022-0492, может позволить злоумышленнику выйти из контейнера и выполнить произвольные команды на хосте контейнера.
Исправленная уязвимость ядра Linux высокой степени серьезности, отслеживаемая как CVE-2022-0492 (CVSS score: 7.0), может быть использована злоумышленником для выхода из контейнера и выполнения произвольных команд на хосте контейнера.
Проблема представляет собой недостаток повышения привилегий, затрагивающий функцию ядра Linux под названием control groups (группы), которая ограничивает, учитывает и изолирует использование ресурсов (CPU, память, дисковый ввод/вывод, сеть и т.д.) набора процессов.
"Обнаружена уязвимость в функции cgroup_release_agent_write ядра Linux в файле kernel/cgroup/cgroup-v1.c. Этот недостаток при определенных обстоятельствах позволяет использовать функцию cgroups v1 release_agent для повышения привилегий и неожиданного обхода изоляции пространства имен." - говорится в консультативном письме, опубликованном для этого недостатка
Исправленная уязвимость ядра Linux высокой степени серьезности, отслеживаемая как CVE-2022-0492 (CVSS score: 7.0), может быть использована злоумышленником для выхода из контейнера и выполнения произвольных команд на хосте контейнера.
Проблема представляет собой недостаток повышения привилегий, затрагивающий функцию ядра Linux под названием control groups (группы), которая ограничивает, учитывает и изолирует использование ресурсов (CPU, память, дисковый ввод/вывод, сеть и т.д.) набора процессов.
"Обнаружена уязвимость в функции cgroup_release_agent_write ядра Linux в файле kernel/cgroup/cgroup-v1.c. Этот недостаток при определенных обстоятельствах позволяет использовать функцию cgroups v1 release_agent для повышения привилегий и неожиданного обхода изоляции пространства имен." - говорится в консультативном письме, опубликованном для этого недостатка
👍2
Уязвимость класса Spectre в процессорах Intel и ARM
Уязвимость представляет собой расширенный вариант уязвимости Spectre-v2, позволяющий обойти добавленные в процессоры механизмы защиты eIBRS и CSV2. Названий у уязвимости несколько: BHI (Branch History Injection, CVE-2022-0001 ), BHB (Branch History Buffer, CVE-2022-0002) и Spectre-BHB (CVE-2022-23960), которые описывают разное проявление одной проблемы (BHI - атака, затрагивающая разные уровни привилегий, например, процесс пользователя и ядро, BHB - атака на одном уровне привилегий, например, eBPF JIT и ядро).
Создан рабочий эксплоит, который позволяет извлекать из пространства пользователя произвольные данные из памяти ядра.
Уязвимость проявляется в большинстве актуальных процессоров Intel, за исключением процессоров семейства Atom. Из процессоров ARM проблеме подвержены Cortex-A15, Cortex-A57, Cortex-A72/73/75/76/77/78, Cortex-X1, Cortex-X2, Cortex-A710, Neoverse N1, Neoverse N2, Neoverse V1 и возможно некоторые чипы Cortex-R. По мнению исследований, в процессорах AMD уязвимость не проявляется. Для устранения проблемы предложено несколько программных методов блокирования уязвимости, которые можно использовать до появления аппаратной защиты в будущих моделях CPU.
Уязвимость представляет собой расширенный вариант уязвимости Spectre-v2, позволяющий обойти добавленные в процессоры механизмы защиты eIBRS и CSV2. Названий у уязвимости несколько: BHI (Branch History Injection, CVE-2022-0001 ), BHB (Branch History Buffer, CVE-2022-0002) и Spectre-BHB (CVE-2022-23960), которые описывают разное проявление одной проблемы (BHI - атака, затрагивающая разные уровни привилегий, например, процесс пользователя и ядро, BHB - атака на одном уровне привилегий, например, eBPF JIT и ядро).
Создан рабочий эксплоит, который позволяет извлекать из пространства пользователя произвольные данные из памяти ядра.
Уязвимость проявляется в большинстве актуальных процессоров Intel, за исключением процессоров семейства Atom. Из процессоров ARM проблеме подвержены Cortex-A15, Cortex-A57, Cortex-A72/73/75/76/77/78, Cortex-X1, Cortex-X2, Cortex-A710, Neoverse N1, Neoverse N2, Neoverse V1 и возможно некоторые чипы Cortex-R. По мнению исследований, в процессорах AMD уязвимость не проявляется. Для устранения проблемы предложено несколько программных методов блокирования уязвимости, которые можно использовать до появления аппаратной защиты в будущих моделях CPU.
👍2
Украденными сертификатами Nvidia подписывают вредоносы
Nvidia была скомпрометирована хакерской группой Lapsus$, которая похитила у производителя учетные данные 71 000 сотрудников, исходные коды и другую информацию.
В ходе утечки пострадали и два сертификата для подписи кода, которые разработчики Nvidia использовали для подписи своих драйверов и исполняемых файлов. Срок действия этих сертификатов истек, однако Windows по-прежнему позволяет использовать их для подписи драйверов.
ИБ-специалисты обнаружили, что недавно украденные сертификаты уже используются злоумышленниками для подписания исходных кодов малвари. Это трюк позволяет маскироваться под легитимное ПО, в итоге загружая в Windows вредоносные драйверы.
Nvidia была скомпрометирована хакерской группой Lapsus$, которая похитила у производителя учетные данные 71 000 сотрудников, исходные коды и другую информацию.
В ходе утечки пострадали и два сертификата для подписи кода, которые разработчики Nvidia использовали для подписи своих драйверов и исполняемых файлов. Срок действия этих сертификатов истек, однако Windows по-прежнему позволяет использовать их для подписи драйверов.
ИБ-специалисты обнаружили, что недавно украденные сертификаты уже используются злоумышленниками для подписания исходных кодов малвари. Это трюк позволяет маскироваться под легитимное ПО, в итоге загружая в Windows вредоносные драйверы.
👍6
Forwarded from Типичный Сисадмин
В LINX (London Internet Exchange) отключили ключевых провайдеров РФ от точки международного обмена трафиком. Теперь трафик пойдет через Азию.
LINX объединяет сети более 950 крупнейших операторов по всему миру. Инфраструктура точки обмена трафиком соединяет сети участников для оптимизации маршрутизации трафика. В пике через LINX проходит 6,89 Тбит/с трафика.
Ранее Россию отключили от своих сетей магистральные интернет-провайдеры Lumen и Cogent.
LINX объединяет сети более 950 крупнейших операторов по всему миру. Инфраструктура точки обмена трафиком соединяет сети участников для оптимизации маршрутизации трафика. В пике через LINX проходит 6,89 Тбит/с трафика.
Ранее Россию отключили от своих сетей магистральные интернет-провайдеры Lumen и Cogent.