🔶 Новые детали по CVE-2019-13720 в Google Chrome от GReAT
В общем они на сенсорах KEP словили 0day под Chrome, и репортнули его гуглу. Тот конечно экстренно подлечил браузер.
Эксплоит использовался в атаках, которым присвоили имя WizardOpium.
Однозначно связать инцидент с какой-либо APT группой у ребят из GReAT не получилось, вроде и Lazarus, а вроде и DarkHotel. Но это не точно.
Впрочем вполне понятно почему - ведь после активного освещения инцидентов последние несколько лет, у APT групп появилась устойчивая привычка оставлять ложный след для усложнения аттрибуции атаки к определенной группе.
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
#chrome #exploit #in_the_wild #wizardopium #lazarus #darkhotel #GReAT
В общем они на сенсорах KEP словили 0day под Chrome, и репортнули его гуглу. Тот конечно экстренно подлечил браузер.
Эксплоит использовался в атаках, которым присвоили имя WizardOpium.
Однозначно связать инцидент с какой-либо APT группой у ребят из GReAT не получилось, вроде и Lazarus, а вроде и DarkHotel. Но это не точно.
Впрочем вполне понятно почему - ведь после активного освещения инцидентов последние несколько лет, у APT групп появилась устойчивая привычка оставлять ложный след для усложнения аттрибуции атаки к определенной группе.
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
#chrome #exploit #in_the_wild #wizardopium #lazarus #darkhotel #GReAT
Подробные детали истории WizardOpium
В общем кто-то подломил корейский портал, и разместил там свой js с закосом под jQuery компонент.
JS выполнял первую стадию атаки - валидацию Chrome браузера на x64 архитектуру и версию >=65, и в случае успеха серией ajax запросов загружал и расшифровывал основную начинку.
Обфусцированная часть снова валидировала версию, но уже 76 и 77, что может намекать на то, что 0day под 65+ еще небыл адаптирован, но планировалось.
Далее через уязвимость пытались вычитать адреса из памяти процесса для обхода ASLR, забили кучу, и загрузили шеллкод(аллё, песочница!).
Стянули им пошифрованный бинарь из "worst.jpg" и дропнули updata.exe. Для персистентности заюзали Task Sheduler.
Далее из updata.exe, которая на самом деле была rar sfx архивом, вылезло два бинаря, один из которых - msdisp64.exe - полез на удаленный сервер за доп нагрузкой в папочку, которая там была, и волшебным образом совпала с именем пробитого компьютера.
Это может говорить, что эксплоит писался под конкретную цель.
Что он там пытался стянуть, кто цель - неизвестно.
#wizardopium
В общем кто-то подломил корейский портал, и разместил там свой js с закосом под jQuery компонент.
JS выполнял первую стадию атаки - валидацию Chrome браузера на x64 архитектуру и версию >=65, и в случае успеха серией ajax запросов загружал и расшифровывал основную начинку.
Обфусцированная часть снова валидировала версию, но уже 76 и 77, что может намекать на то, что 0day под 65+ еще небыл адаптирован, но планировалось.
Далее через уязвимость пытались вычитать адреса из памяти процесса для обхода ASLR, забили кучу, и загрузили шеллкод(аллё, песочница!).
Стянули им пошифрованный бинарь из "worst.jpg" и дропнули updata.exe. Для персистентности заюзали Task Sheduler.
Далее из updata.exe, которая на самом деле была rar sfx архивом, вылезло два бинаря, один из которых - msdisp64.exe - полез на удаленный сервер за доп нагрузкой в папочку, которая там была, и волшебным образом совпала с именем пробитого компьютера.
Это может говорить, что эксплоит писался под конкретную цель.
Что он там пытался стянуть, кто цель - неизвестно.
#wizardopium
getmonero.org был взломан.
Security Warning: CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. - Monero
https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
#monero
Security Warning: CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. - Monero
https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
#monero
Ребята из Project Zero описали CVE-2019-2215, используемую в качестве 0day уязвимости в удаленных установках шпиона Pegasus от NSO Group.
Кратко:
Исходя из материалов NSO Group - работает удаленно, через браузер, давно. Функциональная часть процесса по установке Pegasus, очень универсально.
Исходя из анализа гугла - UAF, в драйвере Binder, ядро, Linux kernel >= 4.14, SELinux isolated_app не спасает, эксплуатируется из Chrome, песочница не спасает.
о Pegasus:
Модульная коммерческая спайварь от NSO Group.
Читает sms, переписку, делает скриншоты, пишет звук, логгирует ввод, экспортирует контакты - полный набор для солидных господ.
об NSO Group:
Израильская компания, разрабатывающая и продающая методы удаленного слежения через интернет, как минимум Pegasus и Chrysaor.
# https://googleprojectzero.blogspot.com/2019/11/bad-binder-android-in-wild-exploit.html
# https://www.kaspersky.ru/blog/pegasus-spyware/14569/
# https://en.wikipedia.org/wiki/NSO_Group
Кратко:
Исходя из материалов NSO Group - работает удаленно, через браузер, давно. Функциональная часть процесса по установке Pegasus, очень универсально.
Исходя из анализа гугла - UAF, в драйвере Binder, ядро, Linux kernel >= 4.14, SELinux isolated_app не спасает, эксплуатируется из Chrome, песочница не спасает.
о Pegasus:
Модульная коммерческая спайварь от NSO Group.
Читает sms, переписку, делает скриншоты, пишет звук, логгирует ввод, экспортирует контакты - полный набор для солидных господ.
об NSO Group:
Израильская компания, разрабатывающая и продающая методы удаленного слежения через интернет, как минимум Pegasus и Chrysaor.
# https://googleprojectzero.blogspot.com/2019/11/bad-binder-android-in-wild-exploit.html
# https://www.kaspersky.ru/blog/pegasus-spyware/14569/
# https://en.wikipedia.org/wiki/NSO_Group
CVE-2019-19521 - обход подсистемы аутентификации в OpenBSD (ldapd/radiusd/smtpd как минимум).
Ресерчеры из Qualys обнаружили документированные особенности в реализации аутентификации в обертках
без проблем завершится успешной аутентификацией!
В репорте показали обход аутентификации в smtpd, ldapd и radiusd, просто передавая имя пользователя -schallenge
sshd, благодаря дополнительной проверке, не подвержен, хотя через него и можно проверить наличие уязвимости в системе.
⚠️Читайте детали https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt
#openbsd #login_passwd
Ресерчеры из Qualys обнаружили документированные особенности в реализации аутентификации в обертках
/usr/libexec/auth/login_*
Например /usr/libexec/auth/login_passwd работает так: login_passwd [-s service] [-v wheel=yes|no] [-v lastchance=yes|no] user
[class]
И получается, что если передать на аутентификацию юзернейм -schallenge или -schallenge:passwd, то login_passwdбез проблем завершится успешной аутентификацией!
В репорте показали обход аутентификации в smtpd, ldapd и radiusd, просто передавая имя пользователя -schallenge
sshd, благодаря дополнительной проверке, не подвержен, хотя через него и можно проверить наличие уязвимости в системе.
⚠️Читайте детали https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt
#openbsd #login_passwd
Помните тот 0-day в Google Chrome, который использовался в кампании, которую обнаружили GReAT, которые прозвали все это WizardOpium?
Так вот. Выяснилось, что там эксплуатировалось две уязвимости:
* CVE-2019-13720 в Google Chrome
* CVE-2019-1458 в win32k.sys
Сбежать из песочницы хрома в том эксплоите помогала CVE-2019-1458 в win32k.sys, позволяющая оперировать GDI примитивами (классика sandbox escaping последних лет, почитайте разборы после pwn2own, и j00ru).
GReAT заявляют, что эксплоит очень похож на то, что делает Volodya aka BuggyCorp.
Этот разработчик давненько продает зеродеи заинтересованным лицам, активно дрючит win32k.sys и при любом удобном случае сбегает прямо в ядро.
* https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/
* https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
* https://www.zdnet.com/article/mysterious-hacker-has-been-selling-windows-0-days-to-apt-groups-for-three-years/
#wizardopium #volodya #0day
Так вот. Выяснилось, что там эксплуатировалось две уязвимости:
* CVE-2019-13720 в Google Chrome
* CVE-2019-1458 в win32k.sys
Сбежать из песочницы хрома в том эксплоите помогала CVE-2019-1458 в win32k.sys, позволяющая оперировать GDI примитивами (классика sandbox escaping последних лет, почитайте разборы после pwn2own, и j00ru).
GReAT заявляют, что эксплоит очень похож на то, что делает Volodya aka BuggyCorp.
Этот разработчик давненько продает зеродеи заинтересованным лицам, активно дрючит win32k.sys и при любом удобном случае сбегает прямо в ядро.
* https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/
* https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
* https://www.zdnet.com/article/mysterious-hacker-has-been-selling-windows-0-days-to-apt-groups-for-three-years/
#wizardopium #volodya #0day
Багбаунтеры, смотрите. Есть в убунте ErrorTracker
Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com
Код бекенда конечно открыт, и код этот воняет.
Например есть там такое место:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366
Так формируется crash_signature на клиенте:
https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292
Последний коммит намекает, что там есть проблема с бекслешем:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907
Похоже там такое:
Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com
Код бекенда конечно открыт, и код этот воняет.
Например есть там такое место:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366
crash_signature = report.crash_signature()
...
cql_crash_sig = crash_signature.replace("'", "''")
_session.execute(
SimpleStatement("INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '%s')"
% ('OOPS', hex_oopsid, cql_crash_sig)))
Так формируется crash_signature на клиенте:
https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292
Последний коммит намекает, что там есть проблема с бекслешем:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907
Похоже там такое:
INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '\''[SQLI]')
⚠️Обновляйте Firefox
CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion.
⭕️ We are aware of targeted attacks in the wild abusing this flaw.
Схожая уязвимость в прошлом году была на на pwn2own:
https://www.thezdi.com/blog/2019/4/18/the-story-of-two-winning-pwn2own-jit-vulnerabilities-in-mozilla-firefox
Даже патчи идентичны:
1. https://github.com/mozilla/gecko-dev/commit/369406707f9fef96ac8405fb9cbb58da4bcc4f1d
2. https://github.com/mozilla/gecko-dev/commit/2e7bcc8dfa4fce5c8f3d8b224abde0627e1dee0e
Подробный разбор и эксплоит:
https://doar-e.github.io/blog/2019/06/17/a-journey-into-ionmonkey-root-causing-cve-2019-9810/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion.
⭕️ We are aware of targeted attacks in the wild abusing this flaw.
Схожая уязвимость в прошлом году была на на pwn2own:
https://www.thezdi.com/blog/2019/4/18/the-story-of-two-winning-pwn2own-jit-vulnerabilities-in-mozilla-firefox
Даже патчи идентичны:
1. https://github.com/mozilla/gecko-dev/commit/369406707f9fef96ac8405fb9cbb58da4bcc4f1d
2. https://github.com/mozilla/gecko-dev/commit/2e7bcc8dfa4fce5c8f3d8b224abde0627e1dee0e
Подробный разбор и эксплоит:
https://doar-e.github.io/blog/2019/06/17/a-journey-into-ionmonkey-root-causing-cve-2019-9810/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
⚠️Обновляйте Google Chrome до 80.0.3987.122
CVE-2020-6418: type confusion vulnerability in V8, Google Chrome’s open-source JavaScript and WebAssembly engine. It was discovered and reported by Clément Lecigne, security engineer of Google’s Threat Analysis Group (TAG). Last year, Lecigne was credited with finding and reporting CVE-2019-5786, a use-after-free vulnerability in Google Chrome that was also exploited in the wild.
https://www.tenable.com/blog/cve-2020-6418-google-chrome-type-confusion-vulnerability-exploited-in-the-wild
https://bugs.chromium.org/p/chromium/issues/detail?id=1053604
#chrome #exploit #in_the_wild
CVE-2020-6418: type confusion vulnerability in V8, Google Chrome’s open-source JavaScript and WebAssembly engine. It was discovered and reported by Clément Lecigne, security engineer of Google’s Threat Analysis Group (TAG). Last year, Lecigne was credited with finding and reporting CVE-2019-5786, a use-after-free vulnerability in Google Chrome that was also exploited in the wild.
https://www.tenable.com/blog/cve-2020-6418-google-chrome-type-confusion-vulnerability-exploited-in-the-wild
https://bugs.chromium.org/p/chromium/issues/detail?id=1053604
#chrome #exploit #in_the_wild
Занимательный сериал Spying on the Scammers!
Ресерчер под псевдонимом Jim Browning сдеанонил колл-центр скаммеров в Индии, оказывающих "услуги по поддержке Windows" англоговорящим пользователям Европы и США.
Скрытое наблюдение за скамерами, контроль звонков, контроль рабочих станций, контроль доходов (а их там под 3 млн. долларов в год!), наблюдение с дрона, и конечно же полный деанон сотрудников.
1️⃣ https://youtu.be/le71yVPh4uk
2️⃣ https://youtu.be/uV-qa9M-o4E
3️⃣ https://youtu.be/jTXN9iTKHc8
4️⃣ https://youtu.be/G15xjQM-rGc
Ресерчер под псевдонимом Jim Browning сдеанонил колл-центр скаммеров в Индии, оказывающих "услуги по поддержке Windows" англоговорящим пользователям Европы и США.
Скрытое наблюдение за скамерами, контроль звонков, контроль рабочих станций, контроль доходов (а их там под 3 млн. долларов в год!), наблюдение с дрона, и конечно же полный деанон сотрудников.
1️⃣ https://youtu.be/le71yVPh4uk
2️⃣ https://youtu.be/uV-qa9M-o4E
3️⃣ https://youtu.be/jTXN9iTKHc8
4️⃣ https://youtu.be/G15xjQM-rGc
In this paper, we introduce novel low-cost attacks against
the Xilinx 7-Series (and Virtex-6) bitstream encryption, resulting in the total loss of authenticity and confidentiality. We
exploit a design flaw which piecewise leaks the decrypted bitstream. In the attack, the FPGA is used as a decryption oracle,
while only access to a configuration interface is needed. The
attack does not require any sophisticated tools and, depending
on the target system, can potentially be launched remotely. In
addition to the attacks, we discuss several countermeasures.
https://www.usenix.org/system/files/sec20fall_ender_prepub.pdf
the Xilinx 7-Series (and Virtex-6) bitstream encryption, resulting in the total loss of authenticity and confidentiality. We
exploit a design flaw which piecewise leaks the decrypted bitstream. In the attack, the FPGA is used as a decryption oracle,
while only access to a configuration interface is needed. The
attack does not require any sophisticated tools and, depending
on the target system, can potentially be launched remotely. In
addition to the attacks, we discuss several countermeasures.
https://www.usenix.org/system/files/sec20fall_ender_prepub.pdf
Посмотрите, какой удобный сервис для парсинга фейсбука - а точнее для получения в удобном CSV виде комментариев, лайков от поста.
#osint #facebook
https://zxfacebook.com
#osint #facebook
https://zxfacebook.com
Актуальный сборник различных трюков и техник по пентесту без лишней воды.
☝️https://book.hacktricks.xyz/
☝️https://book.hacktricks.xyz/
⭕️ CVE-2020-10713 GRUB2 - BootHole
В GNU GRUB2 обнаружили эпичную уязвимость.
Затрагивает системы с Secure Boot и стандартным CA UEFI CA, все подписанные версии GRUB2.
Уязвимы почти все дистры Linux, куча других embedded операционок и решений вроде Xen, большинство современных операционных систем, сервера и рабочие станции, немало IoT`ов.
Уязвимость как из учебника, переполнение кучи при чтении слишком длинного параметра из
Проверку на длину конечно же добавили, и на такой случай вызвали макрос
И это всё за пределами контекста операционной системы, никаких ASLR, DEP и nx mitigation нет, зато есть полный контроль над загрузкой оси. Идеально для буткитов.
Репорт подтолкнул поаудитить код GRUB, и оказалось, что там еще ряд неприятных багов.
👉 https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
В GNU GRUB2 обнаружили эпичную уязвимость.
Затрагивает системы с Secure Boot и стандартным CA UEFI CA, все подписанные версии GRUB2.
Уязвимы почти все дистры Linux, куча других embedded операционок и решений вроде Xen, большинство современных операционных систем, сервера и рабочие станции, немало IoT`ов.
Уязвимость как из учебника, переполнение кучи при чтении слишком длинного параметра из
grub.cfg.Проверку на длину конечно же добавили, и на такой случай вызвали макрос
fatal_error, и как оказалось fatal_error громко ругается, но не останавливает исполнение кода (а все надеялись), отсюда контроль над памятью. И это всё за пределами контекста операционной системы, никаких ASLR, DEP и nx mitigation нет, зато есть полный контроль над загрузкой оси. Идеально для буткитов.
Репорт подтолкнул поаудитить код GRUB, и оказалось, что там еще ряд неприятных багов.
👉 https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
Forwarded from Anton Kirsanov
CVE-2021-41773: Apache 2.4.49 Path Traversal
Уязвимость позволяет выйти за пределы директории вебсайта и без проблем считать, ну например,
В реализации с проверкой обработки символа '.' в пути и закрался баг в 571 строке - программист не учел, что в контексте еще не произошел url decode.
В итоге возникла ситуация, когда все проверки на обход каталога через
Уязвимость позволяет выйти за пределы директории вебсайта и без проблем считать, ну например,
/etc/passwd
К уязвимости привел обычный рефакторинг - разработчики в версии 2.4.49 решили унифицировать простыню с нормализацией пути, и вынесли обработку в отдельную функцию ap_normalize_path. В реализации с проверкой обработки символа '.' в пути и закрался баг в 571 строке - программист не учел, что в контексте еще не произошел url decode.
В итоге возникла ситуация, когда все проверки на обход каталога через
%2e%2e попали в условие, которое не обрабатывалось, и доверенная функция по нормализации пути ap_normalize_path, которая и должна срезать ситуации вроде ../, стала возвращать ненормализованный путь.⭕️ CVE-2021-4034: pwnkit: Local Privilege Escalation in polkit's pkexec
Внезапно подъехала действительно серьезная проблема повышения привилегий (LPE) до рута практически во всех линукс дистрибутивах, за счет наличия по-умолчанию утилиты
Бага с первого коммита аж в мае 2009 года, и ресерчеры Qalys заявляют, что хоть это и повреждение памяти, но эксплуатация уязвимости быстра, надежна, и независима от архитектуры.
Обнаружилось, что при обработке переменной
Просто до жути.
Это и делает CVE-2021-4034 весьма реальной угрозой, связанной с повышением привилегий в Linux.
🧟 Эксплоит уже в комментариях.
Быстрый фикс:
Исправление:
https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683
Подробно:
👉 https://www.openwall.com/lists/oss-security/2022/01/25/11
Внезапно подъехала действительно серьезная проблема повышения привилегий (LPE) до рута практически во всех линукс дистрибутивах, за счет наличия по-умолчанию утилиты
pkexec с суидным битом.Бага с первого коммита аж в мае 2009 года, и ресерчеры Qalys заявляют, что хоть это и повреждение памяти, но эксплуатация уязвимости быстра, надежна, и независима от архитектуры.
Обнаружилось, что при обработке переменной
PATH специального вида существуют условия перезаписи за пределы границ envp[0], что дает возможность внедрить какбэ свою особенную LD_PRELOAD прям в суидник.Просто до жути.
Это и делает CVE-2021-4034 весьма реальной угрозой, связанной с повышением привилегий в Linux.
🧟 Эксплоит уже в комментариях.
Быстрый фикс:
🔥chmod 0755 /usr/bin/pkexec
Исправление:
https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683
Подробно:
👉 https://www.openwall.com/lists/oss-security/2022/01/25/11
С последними событиями мы вступили в новую эпоху.
Пришло время говорить. И безопасность, бессердечная ты, мне есть что тебе сказать.
Годами ты была другой.
Одну тебя, продажную, рисовали нам на слайдах шустрые прикольные ребята из богатых компаний, придумывающие страшные цифры для острастки публики прям за 5 минут до выступления. Все громко охали, ахали, пили шампанское, в коридорах - улыбались.
Другую тебя, запретную, показывали нам суровые люди с прописными буквами и бумажными лицами, в требованиях которых было много такого непонятного и даже непонятного в непонятном, в соответствии с нормами и положениями которого читать бы-ы-ы-ы-ы-стро сервера лучше было не включать, а если и включать, то не включать и в соответствии с этим. Так точно!
Непонятно.
Все ахали, охали, в коридорах - мялись. Пили водку, молча. Думали, но на утро отпускало.
Продолжение - https://news.1rj.ru/str/secinfosex/44
Пришло время говорить. И безопасность, бессердечная ты, мне есть что тебе сказать.
Годами ты была другой.
Одну тебя, продажную, рисовали нам на слайдах шустрые прикольные ребята из богатых компаний, придумывающие страшные цифры для острастки публики прям за 5 минут до выступления. Все громко охали, ахали, пили шампанское, в коридорах - улыбались.
Другую тебя, запретную, показывали нам суровые люди с прописными буквами и бумажными лицами, в требованиях которых было много такого непонятного и даже непонятного в непонятном, в соответствии с нормами и положениями которого читать бы-ы-ы-ы-ы-стро сервера лучше было не включать, а если и включать, то не включать и в соответствии с этим. Так точно!
Непонятно.
Все ахали, охали, в коридорах - мялись. Пили водку, молча. Думали, но на утро отпускало.
Продолжение - https://news.1rj.ru/str/secinfosex/44