Анонс Windows 10 Insider Preview Build 19536. Какие фичи в свежей сборке Windows:

- Доп драйвера для устройств
- Среда восстановления не требует пароль администратора для восстановления
- Настройки семейной группы
- Множество мелких исправлений

https://blogs.windows.com/windowsexperience/2019/12/16/announcing-windows-10-insider-preview-build-19536/#xogQVtqesTSXajtB.97

В Intel rapid найдена уязвимость позволяющая запускать привилегированные процессы, а также потенциально обходить черные списки антивирусов.

Intel rapid технология обеспечивающая повышенную производительность жёстких дисков SATA. Работает под Windows и поставляется, как правило уже в предустановленном виде с ноутбуками оснащёнными ОС Windows. Так что желательно этот момент проверить и обновить это ПО.

PoC:
https://safebreach.com/Post/Intel-Rapid-Storage-Technology-Service-DLL-Preloading-and-Potential-Abuses-CVE-2019-14568

Новый RAT под названием Dacls от Lazarus нацелен на Linux и Windows системы.

Модульный, кроссплатформенный, пока обнаружен на серверах где установлен продукт Atlassian Confluence, известно точно, что используется уязвимость этого продукта для внедрения Dacls на конечные системы.

Детальный PoC, как и что (правда на китайском) от первого лица:

https://blog.netlab.360.com/dacls-the-dual-platform-rat/

Atlassian CVE:
https://nvd.nist.gov/vuln/detail/CVE-2019-3396

Гангнам индастриал стайл или как промышленный шпионаж формирует новое лицо через почтовый фишинг :)

https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/

Не успел Intel rapid остыть и тут подоспели...

Aser / Asus снабжают ноутбуки уязвимым ПО. Непонятно то ли это ошибки программеров, то ли закладки от вендоров :)

Собственно Acer Quick Access и Asus ATK содержат уязвимости позволяющие поднять привилегии в системе по максимуму... Так то:

https://safebreach.com/Post/Acer-Quick-Access-DLL-Search-Order-Hijacking-and-Potential-Abuses-CVE-2019-18670

Имя, адрес, электронная почта, логин, пароль, дата рождения, номер медицинской карты и результаты лабораторных тестов - доступ к таким данным получили злоумышленники в одной из Канадских компаний занимающейся лабораторными исследованиями.

15 миллионов клиентов! Именно по такому количеству людей были украдены данные.

Компания провела переговоры с преступниками и ВЫКУПИЛА ДАННЫЕ У ПРЕСТУПНИКОВ!

Эпично и честно. Официальное письмо от LifeLabs:

https://customernotice.lifelabs.com/

MS рассказывает что такое фишинг, какова его эволюция, что такое “человек по середине” и тп…

Но между нами говоря, фишинговые письма людям приходят при этом даже как бы от внутренних пользователей компании или как бы от официальный тех поддержки…

Как бы там ни было, от знатоков фишинга из MS статья на тему эволюции фишинга в природе:

https://www.microsoft.com/security/blog/2019/12/11/the-quiet-evolution-of-phishing/

Концепция целенаправленных атак вымогателей проста:

‣ получить доступ к корпоративной сети ‣ получить доступ ко всему, что можно ‣ зашифровать данные (чем больше, тем лучше) ‣ запросить единовременную выплату, для восстановления доступа к зашифрованным данным ‣ получить прибыль

До "сегодняшнего дня", теперь к этой парадигме прибавилось:

‣ удержание в заложниках с угрозами публикации данные жертвы, если оплата за расшифровку не будет получена

Что интересно, теперь злоумышленники или их ПО прежде чем донести до жертвы сей мессадж, проводят какое-то время в инфраструктуре, собирают данные и тп..

Собственно рассказ о нескольких подобных инцидентах (имеющих место) от Cisco ресечеров:

https://blog.talosintelligence.com/2019/12/IR-Lessons-Maze.html

Много кто переходит на Matrix (децентрализованный сервер коммуникаций):

https://matrix.org/

В начале года это был проект KDE, теперь Mozilla:

https://www.opennet.ru/opennews/art.shtml?num=52056

Овер 260 миллионов пользователей. Facebook. Снова.

https://www.comparitech.com/blog/information-security/267-million-phone-numbers-exposed-online/

Минимальная выплата за найденные уязвимости 100к долларов. Apple и их баунти программа:

https://developer.apple.com/security-bounty/

Критическая уязвимость Cisco ASA до сих пор эксплуатируется.

Атакующий может либо перезагрузить устройство, либо получить доступ к информации устройства в обход аутентификации:

https://blog.talosintelligence.com/2019/12/ASA-Bug-Attacked-In-The-Wild.html

Информация об уязвимости:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd

Повышение привилегий до уровня SYSTEM в ОС Windows при помощи механизма самообновления DropBox клиента. Все оказалось очень просто. Есть ли на данный момент патч, ещё под вопросом.

PoC:

https://decoder.cloud/2019/12/18/from-dropboxupdater-to-nt-authoritysystem/

Думаю настало время рассказать про Sys-Admin Forum, которому в этом году исполнилось 10 лет!
⁠
Эти годы пролетели достаточно быстро. На форуме, а в дальнейшем и в телеграм чатах образовалось небольшое, но достаточное крепкое коммюнити в составе которого есть профи из разных областей ИТ и не только 🙂

Основная цель форума - помощь и персональное развитие, а так же:
- Шаринг навыков, awareness
- Расширение круга общения
- Расширение области знаний
- Повышение уровня грамотности ИТ среди населения
- Хранение советов, решений, истории общения на форуме и т.п.

В итоге получилось так, что сам форум это уже не только, площадка для общения - это площадка для развития, персонального роста. Многие нашли себе новых друзей, изменили взгляды на подходы, как к жизни, так и к работе, мало того нашли новую работу, получили новые идеи и мотивацию.

За последние годы произошли достаточно крупные метаморфозы в жизни форума, изменилась экосистема форума, которую уже достаточно сложно назвать только форумом.

В этом году, спустя 10 лет произошла одна из самых серьезных метаморфоз - миграция форума со старой платформы, на новую, миграция длилась несколько месяцев, в итоге:

- Все посты с сохранением авторства и ровного редиректа т.е. все старые ссылки рабочие, это очень ВАЖНО
- Перенесены все учетные записи
- Все минималистично, удобно, быстро - создаются и редактируются посты, происходит регистрация и тп

Собственно Welcome
- Трансформация Sys-Admin Форума в новую экосистему
⁠

Всем хорошим людям - здоровья, достатка и всего хорошего, всем остальным, всего остального.

С Наступающим! Peace!✌️

Данные камер / устройств Wize оказались доступны паблику

Собственно у Wize много различных IoT устройств, которыми пользуется огромное количество людей, в итоге благодаря мисконфигу паблику стали доступные такие данные, как:

- Email покупателя / пользователя устройства
- Список всех камер в доме / территории
- WiFi SSID, внутренняя схема подсети
- API токены
- Данные маркеров здоровья (так понимаю хелси устройства) - вес, рост, суточное потребление белка и т.п.

Со своей стороны всегда критически относился к хелси устройствам типа MI Band и т.п. а теперь представь, что злоумышленники узнали твою почту, настройки внутренней сети, получили доступ к камерам, знают кто ты… не очень прикольно на самом деле(

Всего скомпроментированных данных - 2.4 млн пользователей, так что, если кто-то использует устройство(а) от Wize, то возможно есть смысл что-то предпринять в его / их отношении…

🔗 Wyze Essay 1 - Beijing Dragon Network Co Ltd.

Новый BlackArch в новом году

Состоялся релиз дистрибутива для пентеста на базе Arch - BlackArch

Что нового:

- добавлено новых утилит - 120
- обновлен blackarch-installer
- linux kernel 5.4.6
- обновлены window менеджеры (awesome, fluxbox, openbox)
- исправлены ошибки

Загрузить можно от сюда:

https://blackarch.org/downloads.html

Фишинговые PayPal сайты собирают креды
⁠
Механика следущая - приходит письмо, в котором ссылка. Получатель письма при переходе по ссылке попадает на поддельный сайт PayPal.

Письмо в свою очередь побуждает пользователя перейти на ссылку, благодаря используемым техникам СИ:

🔗 Ambitious scam wants far more than just PayPal logins | WeLiveSecurity

Уязвимость удаленного выполнения кода в устройствах D-Link:

https://medium.com/@s1kr10s/d-link-dir-859-rce-unautenticated-cve-2019-17621-en-d94b47a15104