Если нет прав RDP на машину, но установлен TeamViewer, то можно использовать TeamViewer для удаленного доступа, что также позволяет копировать данные или планировать задачи от NT AUTHORITY\SYSTEM, так что пользователь с низким уровнем привилегий может сразу перейти к SYSTEM...
Собственно еще горячее:
https://whynotsecurity.com/blog/teamviewer/
За ссылку спасибо @ky3bmu4
Собственно еще горячее:
https://whynotsecurity.com/blog/teamviewer/
За ссылку спасибо @ky3bmu4
WhyNotSecurity
TeamViewer
Oh man where to even begin with this one. This was a crazy ride and I learned a ton along the way.
Эксплуатация контроллера доступа Emerge E3
Эти системы контроля доступа используются для коммерческих, промышленных, банковских, медицинских, розничных, гостиничных и тп и тд
Суть - удаленный злоумышленник, не прошедший проверку подлинности, может выполненять произвольные команды в контексте приложения управлением админкой с помощью HTTP-запроса
Кратенький PoC:
https://securitynews.sonicwall.com/xmlpost/linear-emerge-e3-access-controller-actively-being-exploited/
Эти системы контроля доступа используются для коммерческих, промышленных, банковских, медицинских, розничных, гостиничных и тп и тд
Суть - удаленный злоумышленник, не прошедший проверку подлинности, может выполненять произвольные команды в контексте приложения управлением админкой с помощью HTTP-запроса
Кратенький PoC:
https://securitynews.sonicwall.com/xmlpost/linear-emerge-e3-access-controller-actively-being-exploited/
Новый релиз sudo, закрывает багу переполнение буфера в привилегированных sudo процессах:
https://www.sudo.ws/alerts/pwfeedback.html
CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18634
https://www.sudo.ws/alerts/pwfeedback.html
CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18634
Sudo
Buffer overflow when pwfeedback is set in sudoers
Sudo’s pwfeedback option can be used to provide visual feedback when the user is inputting their password. For each key press, an asterisk is printed. This option was added in response to user confusion over how the standard Password: prompt disables the…
Вышел Chrome 80, содержащий 56 фиксов безопасности (из них около 9 с высоким приоритетом)
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop.html
В новом релизе, реализован функционал cookie контроля. Этот функционал был анонсирован примерно год назад. Детали:
https://blog.chromium.org/2019/05/improving-privacy-and-security-on-web.html
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop.html
В новом релизе, реализован функционал cookie контроля. Этот функционал был анонсирован примерно год назад. Детали:
https://blog.chromium.org/2019/05/improving-privacy-and-security-on-web.html
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 80 to the stable channel for Windows, Mac and Linux. This will roll out ove...
Realtek... Аудио устройства и драйвера стоят практически на ~80% ноутбуков / мат платах :)
Собственно, новая уязвимость (в Windows по крайней мере), позволяет осуществить подмену неподписанной библиотеки и осуществить пейлоад (благодаря фондовому процессу RAVBg64.exe) с правами SYSTEM...
PoC
https://safebreach.com/Post/Realtek-HD-Audio-Driver-Package-DLL-Preloading-and-Potential-Abuses-CVE-2019-19705
Reltek об этом знает (с середины прошлого года) и даже пишет (январь 2020):
https://www.realtek.com/images/safe-report/PM_Realtek_Audio_Drivers_for_Windows_DLL_preloading_and_potential_Abuses_CVE-2019-19705_20200115.docx
Собственно осталось ждать / обновлять Realtek ПО на своих / корпоративных девайсах :)
Собственно, новая уязвимость (в Windows по крайней мере), позволяет осуществить подмену неподписанной библиотеки и осуществить пейлоад (благодаря фондовому процессу RAVBg64.exe) с правами SYSTEM...
PoC
https://safebreach.com/Post/Realtek-HD-Audio-Driver-Package-DLL-Preloading-and-Potential-Abuses-CVE-2019-19705
Reltek об этом знает (с середины прошлого года) и даже пишет (январь 2020):
https://www.realtek.com/images/safe-report/PM_Realtek_Audio_Drivers_for_Windows_DLL_preloading_and_potential_Abuses_CVE-2019-19705_20200115.docx
Собственно осталось ждать / обновлять Realtek ПО на своих / корпоративных девайсах :)
Дыра в ведре. Как злоумышленники используют BitBucket или анатомия многоцелевой атаки. Много и подробно:
https://www.cybereason.com/blog/the-hole-in-the-bucket-attackers-abuse-bitbucket-to-deliver-an-arsenal-of-malware
https://www.cybereason.com/blog/the-hole-in-the-bucket-attackers-abuse-bitbucket-to-deliver-an-arsenal-of-malware
Cybereason
The Hole in the Bucket: Attackers Abuse Bitbucket to Deliver an Arsenal of Malware
Cybereason is following an active campaign to deliver multiple different types of malware to victims all over the world. This attack is able to steal data, mine for cryptocurrency, and in specific cases deliver ransomware.
Привет, уже прошло несколько месяцев со дня последнего Open SysConf'19 и мы потихоньку начинаем готовиться к следующей конференции (примерно Апрель 2020). Пока суть да дело, мы собираем заявки на предмет желания (готов / не готов) участия в конференции в качестве докладчика, причем не принципиально, можно принимать участие удаленно или очно.
- Форма регистрации, как докладчика
Также мы планировали встретиться на этой неделе локально в Алматы, в связи с некоторыми обстоятельствами, встреча переносится на следующую неделю, 22 февраля, пожалуйста, кто хочет прийти, отметьтесь в форме (нужно понять где собираться, так как место зависит от количества человек)
- Хочу встретиться 22 февраля в Алматы
P.S. Важны мнения, идеи и взгляды в не зависимости от опыта и направления деятельности в области ИТ. Возможно имеено ты и нужен 🙂
Привет, уже прошло несколько месяцев со дня последнего Open SysConf'19 и мы потихоньку начинаем готовиться к следующей конференции (примерно Апрель 2020). Пока суть да дело, мы собираем заявки на предмет желания (готов / не готов) участия в конференции в качестве докладчика, причем не принципиально, можно принимать участие удаленно или очно.
- Форма регистрации, как докладчика
Также мы планировали встретиться на этой неделе локально в Алматы, в связи с некоторыми обстоятельствами, встреча переносится на следующую неделю, 22 февраля, пожалуйста, кто хочет прийти, отметьтесь в форме (нужно понять где собираться, так как место зависит от количества человек)
- Хочу встретиться 22 февраля в Алматы
P.S. Важны мнения, идеи и взгляды в не зависимости от опыта и направления деятельности в области ИТ. Возможно имеено ты и нужен 🙂
Armis-CDPwn-WP.pdf
1.8 MB
Armis-CDPwn-WP.pdf
...
5 zero day vulnerabilities affecting a wide array of Cisco products, including Cisco
routers, switches, IP Phones and IP cameras. Four of the vulnerabilities enable Remote Code Execution
(RCE)
...
В довесок Cisco Advisories:
https://tools.cisco.com/security/center/publicationListing.x
...
5 zero day vulnerabilities affecting a wide array of Cisco products, including Cisco
routers, switches, IP Phones and IP cameras. Four of the vulnerabilities enable Remote Code Execution
(RCE)
...
В довесок Cisco Advisories:
https://tools.cisco.com/security/center/publicationListing.x
Hyper-V на arm64, скоро:
https://blogs.windows.com/windowsexperience/2020/02/05/announcing-windows-10-insider-preview-build-19559/
https://blogs.windows.com/windowsexperience/2020/02/05/announcing-windows-10-insider-preview-build-19559/
Windows Experience Blog
Announcing Windows 10 Insider Preview Build 19559
Hello Windows Insiders, today we’re releasing Windows 10 Insider Preview Build 19559.1000 to Windows Insiders in the Fast ring. If you want a complete look at what build is in which Insider ring, head over to Flight Hub. You can also check out the rest of…
CoreOS все (Май 2020) , теперь будет Fedora CoreOS (FCOS), как мигрировать, тем, кто использует:
https://docs.fedoraproject.org/en-US/fedora-coreos/migrate-cl/
https://docs.fedoraproject.org/en-US/fedora-coreos/migrate-cl/
Нашел на странице Израильского Исследовательского Центра по Кибербезопаснсости...
Яркость экрана, как возможность для кражи данных.. Эксфильтрация данных при помощи линии электропередач... Кража данных через воздушный зазор между устройствами... И много, много чего еще.
Звучит, как фантастика (и вообще "ваши файрволы" - днище). Но ученым виднее. Есть демонстрационные видео + статьи, оч круто:
https://cyber.bgu.ac.il/advanced-cyber/airgap
Яркость экрана, как возможность для кражи данных.. Эксфильтрация данных при помощи линии электропередач... Кража данных через воздушный зазор между устройствами... И много, много чего еще.
Звучит, как фантастика (и вообще "ваши файрволы" - днище). Но ученым виднее. Есть демонстрационные видео + статьи, оч круто:
https://cyber.bgu.ac.il/advanced-cyber/airgap
Андроид Bluetooth... Удалённое выполнение произвольного кода и много чего еще..
Бюллетень:
https://source.android.com/security/bulletin/2020-02-01
Про Bluetooth уязвимость:
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/
И закрыть это может февральский патч, который некоторые вендора спустя полгода выпустят (или вообще никогда не выпустят)
Бюллетень:
https://source.android.com/security/bulletin/2020-02-01
Про Bluetooth уязвимость:
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/
И закрыть это может февральский патч, который некоторые вендора спустя полгода выпустят (или вообще никогда не выпустят)
Обновление KB4539602 убивает Windows Server 2008 R2
Как избежать проблемы / решать проблему:
https://www.reddit.com/r/sysadmin/comments/f1q8w0/microsoft_update/
Как избежать проблемы / решать проблему:
https://www.reddit.com/r/sysadmin/comments/f1q8w0/microsoft_update/
Reddit
From the sysadmin community on Reddit
Explore this post and more from the sysadmin community
В будущих релизах Chrome отключат возможность загрузки файлов по http
https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html
https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html
У трояна Emotet появилась новая функция, теперь он помимо доставки и загрузки модулей на компьютеры жертв, сканирует WiFi сети и пытается распространится в эти сети, заражая все устройства к которым удастся получить доступ.
Полный дебаг трояна с обзором его возможностей по взлому и анализу WiFi сетей:
https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/
Полный дебаг трояна с обзором его возможностей по взлому и анализу WiFi сетей:
https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/
Уязвимость в Dell DSA позволяет выполнить произвольный код. Заплатка и описание на официальном сайте:
https://www.dell.com/support/article/pt/pt/ptbsdt1/sln320101/dsa-2020-005-dell-supportassist-client-uncontrolled-search-path-vulnerability?lang=en
https://www.dell.com/support/article/pt/pt/ptbsdt1/sln320101/dsa-2020-005-dell-supportassist-client-uncontrolled-search-path-vulnerability?lang=en
На форуме SANS попался интересный тред о новой фишинговой компании, маскирующейся под PayPal.
По почте приходит письмо с информацией о блокировке учетной записи PayPal с кнопкой ведущей на фиктивный сайт один в один сделанный как PayPal 🙂
В чем суть данной компании - теперь фишеры не просто уводят данные карт, но и собирают максимум информации о "клиенте":
- дата рождения
- номер соц страхования
- фото паспорта
- адрес проживания
- собственно данные платежной карты
https://isc.sans.edu/forums/diary/Current+PayPal+phishing+campaign+or+give+me+all+your+personal+information/25786/
Будьте внимательны при прочтении писем и особенно к ссылкам содержащихся в них.
По почте приходит письмо с информацией о блокировке учетной записи PayPal с кнопкой ведущей на фиктивный сайт один в один сделанный как PayPal 🙂
В чем суть данной компании - теперь фишеры не просто уводят данные карт, но и собирают максимум информации о "клиенте":
- дата рождения
- номер соц страхования
- фото паспорта
- адрес проживания
- собственно данные платежной карты
https://isc.sans.edu/forums/diary/Current+PayPal+phishing+campaign+or+give+me+all+your+personal+information/25786/
Будьте внимательны при прочтении писем и особенно к ссылкам содержащихся в них.
Новая уязвимость нулевого дня в IE + RCE
Уязвимость удаленного выполнения кода существует в том, как обработчик сценариев обрабатывает объекты в памяти в Internet Explorer. Уязвимость может привести к повреждению памяти таким образом, что злоумышленник может выполнить произвольный код в контексте текущего пользователя
Подвержены - IE 9, 10, 11. Начиная с Windows 7 и заканчивая 2019:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0674
Уязвимость удаленного выполнения кода существует в том, как обработчик сценариев обрабатывает объекты в памяти в Internet Explorer. Уязвимость может привести к повреждению памяти таким образом, что злоумышленник может выполнить произвольный код в контексте текущего пользователя
Подвержены - IE 9, 10, 11. Начиная с Windows 7 и заканчивая 2019:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0674
Intel - новая уязвимость может привести к отказу в обслуживании, повышению привилегий и раскрытию информации
Intel предупреждает о серьезном дефекте в микропрограммном обеспечении своего конвергентного механизма безопасности и управления (CSME), который в случае эксплуатации может привести к эскалации привилегий, отказу в обслуживании и раскрытию информации:
🔗 Intel | Data Center Solutions, IoT, and PC Innovation
Intel предупреждает о серьезном дефекте в микропрограммном обеспечении своего конвергентного механизма безопасности и управления (CSME), который в случае эксплуатации может привести к эскалации привилегий, отказу в обслуживании и раскрытию информации:
🔗 Intel | Data Center Solutions, IoT, and PC Innovation
Intel
INTEL-SA-00307
Привет! Кто не успел - 22 февраля, суббота, локальная SysConf встреча в Алматы
Формат и цели встреч
- Рассказать чем занимался последнее время
- К чему пришел
- Куда собираешься двигаться дальше
- Какие трудности встречал или есть на данный момент времени. Если есть что-то серьезное, будем думать как решить
- Доклады и рефлексия
Планируемые доклады на 22 февраля
- Sys-Admin Forum - кратко об эволюции форума. Sysadminkz. SCM.
- Анализируй это. MOD RK. Nitro Team. Тематика - хакинг
- 3д принтер что это и с чем его едят. Gbroman. SCM. Тематика - железо
- 2FA в Linux SSH / Windows Logon. Sysadminkz. SCM.
- Нюансы организации слаботочных систем при постройке здания из ЛСТК. Vadimml24. SCM (remote speaker if it may posible).
+ Возможно еще несколько, пока на стадии обсуждения
Рега на нашу февральскую встречу (ты можешь прийти и рассказать свой доклад, только согласуй. Время и место пока выбирается, возможно SmartPoint):
- https://docs.google.com/forms/d/e/1FAIpQLSdSi1ayZ_equ5d7AmWOm4QSP6znxL7x9wav660advLrA1r-9Q/viewform?usp=sf_link
А тем временем, в Апреле 2020 состоится открытый Open SysConf, где Вы так-же можете выступить докладчиком (после ревью предлагаемых тематик):
- https://docs.google.com/forms/d/e/1FAIpQLSd3JYF9ICgrSyL7fpkb-3YNXMuxEm9ncY0VlD_IlNMSCB9oAA/viewform?usp=sf_link
Формат и цели встреч
- Рассказать чем занимался последнее время
- К чему пришел
- Куда собираешься двигаться дальше
- Какие трудности встречал или есть на данный момент времени. Если есть что-то серьезное, будем думать как решить
- Доклады и рефлексия
Планируемые доклады на 22 февраля
- Sys-Admin Forum - кратко об эволюции форума. Sysadminkz. SCM.
- Анализируй это. MOD RK. Nitro Team. Тематика - хакинг
- 3д принтер что это и с чем его едят. Gbroman. SCM. Тематика - железо
- 2FA в Linux SSH / Windows Logon. Sysadminkz. SCM.
- Нюансы организации слаботочных систем при постройке здания из ЛСТК. Vadimml24. SCM (remote speaker if it may posible).
+ Возможно еще несколько, пока на стадии обсуждения
Рега на нашу февральскую встречу (ты можешь прийти и рассказать свой доклад, только согласуй. Время и место пока выбирается, возможно SmartPoint):
- https://docs.google.com/forms/d/e/1FAIpQLSdSi1ayZ_equ5d7AmWOm4QSP6znxL7x9wav660advLrA1r-9Q/viewform?usp=sf_link
А тем временем, в Апреле 2020 состоится открытый Open SysConf, где Вы так-же можете выступить докладчиком (после ревью предлагаемых тематик):
- https://docs.google.com/forms/d/e/1FAIpQLSd3JYF9ICgrSyL7fpkb-3YNXMuxEm9ncY0VlD_IlNMSCB9oAA/viewform?usp=sf_link