Всем привет! 22.02.2020 прошел локальный SysConf, ну что сказать, было круто :)
Огромне спасибо всем, кто пришел, кто принял участие. Сам формат был фактически "тот самый" в духе SysConf, все познакомились, представились и самое главное все три часа были полны диалогов, докладов, обсуждения персональных и общественных перспектив
Очень понравилось, что участники были из разных сфер ИТ, разного опыта и возраста, крайне надеюсь, что это было не первый и не последний раз ;)
Большое спасибо за поддержку @r0crewKZ, @OrderOfSixAngles, @nitroteamchat
Краткое резюме + доклады на форуме: https://forum.sys-adm.in/t/2020-local-sysconf-almaty-22-feb/6852
Когда мы знаем информацию о чем-то, особенно когда это может помочь другим, этим нужно делиться. Всем PEACE ✌️
P.S. Кто был на конфе, стучитесь в личку, буду раз знакомству. Коля (AWS) ping :)
Огромне спасибо всем, кто пришел, кто принял участие. Сам формат был фактически "тот самый" в духе SysConf, все познакомились, представились и самое главное все три часа были полны диалогов, докладов, обсуждения персональных и общественных перспектив
Очень понравилось, что участники были из разных сфер ИТ, разного опыта и возраста, крайне надеюсь, что это было не первый и не последний раз ;)
Большое спасибо за поддержку @r0crewKZ, @OrderOfSixAngles, @nitroteamchat
Краткое резюме + доклады на форуме: https://forum.sys-adm.in/t/2020-local-sysconf-almaty-22-feb/6852
Когда мы знаем информацию о чем-то, особенно когда это может помочь другим, этим нужно делиться. Всем PEACE ✌️
P.S. Кто был на конфе, стучитесь в личку, буду раз знакомству. Коля (AWS) ping :)
Моцарт (malware), попадает через pdf, скрывает трафик и получает команды используя DNS запросы. Подписан цифровым сертификатом и конечно же использует мною любимый WSH
PoC:
https://www.vkremez.com/2020/02/lets-learn-diving-deeper-into-mozart.html
PoC:
https://www.vkremez.com/2020/02/lets-learn-diving-deeper-into-mozart.html
Google "говорит" пользователям Edge - переходите на Chrome :D
Конкурирующие боаузеры, использующие одну и туже платформу начали маркетинговую войну (ну бред же). Chrome vs Edge (неужели им кто-то пользуется?):
"У нас уже есть DoH, кросс-платформенный трекинг пользователей" Edge, дно, го к нам в Chrome :)
Особенно понравилась цитата "кросс-платформенный трекинг пользователей".
Борьба за слежку и рынок пользователей (более бредовой ситуации давно не встречал, хотя если все данные сливаются в итоге в одно место, то все выглядит вполне себе норм, с учётом того что разрабы google говорят спасибо разрабам MS за предоставленные модули и ряд фич в chromium складывается впечатление, что цели и этих групп разработчиков в принципе одни):
https://www.forbes.com/sites/zakdoffman/2020/02/21/google-warns-millions-of-microsoft-edge-users-to-switch-to-chrome/#382d26983549
Конкурирующие боаузеры, использующие одну и туже платформу начали маркетинговую войну (ну бред же). Chrome vs Edge (неужели им кто-то пользуется?):
"У нас уже есть DoH, кросс-платформенный трекинг пользователей" Edge, дно, го к нам в Chrome :)
Особенно понравилась цитата "кросс-платформенный трекинг пользователей".
Борьба за слежку и рынок пользователей (более бредовой ситуации давно не встречал, хотя если все данные сливаются в итоге в одно место, то все выглядит вполне себе норм, с учётом того что разрабы google говорят спасибо разрабам MS за предоставленные модули и ряд фич в chromium складывается впечатление, что цели и этих групп разработчиков в принципе одни):
https://www.forbes.com/sites/zakdoffman/2020/02/21/google-warns-millions-of-microsoft-edge-users-to-switch-to-chrome/#382d26983549
Forbes
Google Is Now Warning Millions Of Microsoft Edge Users To Switch To Chrome: Here’s Why
It's Chrome Vs Edge and Google is not pulling any punches when it comes to maintaining its huge browser dominance. Here's the reason for the new warning.
Не баг, а фича. Любое запущенное приложение iOS, iPadOS может прочитать данные копируемой фотографии (если фото сделано на одном из мобильных устройств, в него будут записаны так-же данные GPS) в том числе и данные геолокации. Этот процесс может происходить без взаимодействия с пользователем. В Apple, со слов автора, говорят, что это нормально:
https://www.mysk.blog/2020/02/24/precise-location-information-leaking-through-system-pasteboard/
https://www.mysk.blog/2020/02/24/precise-location-information-leaking-through-system-pasteboard/
Mysk Blog – In-Depth Cybersecurity & Mobile App Privacy Research
Precise Location Information Leaking Through System Pasteboard
iOS and iPadOS apps have unrestricted access to the systemwide general pasteboard. A user may unwittingly expose their precise location to apps by simply copying a photo taken by the built-in Camera app to the general pasteboard. Through the GPS coordinates…
Скиммеры на сайтах дампили данные платежных карт. Обфусцированные JavaScript сниппеты в web-страницах, детали:
https://www.riskiq.com/blog/labs/magecart-group-12-olympics/
Исследование скиммера с сайта крупного ресцеллера по продаже билетов на спортивные мероприятия (на самом деле, это статья-продолжение, в ней же есть ссылки на предыдущие шаги направленные на исследование этой проблемы):
https://www.goggleheadedhacker.com/blog/post/15
https://www.riskiq.com/blog/labs/magecart-group-12-olympics/
Исследование скиммера с сайта крупного ресцеллера по продаже билетов на спортивные мероприятия (на самом деле, это статья-продолжение, в ней же есть ссылки на предыдущие шаги направленные на исследование этой проблемы):
https://www.goggleheadedhacker.com/blog/post/15
Microsoft
Microsoft Defender Threat Intelligence | Microsoft Security
Protect your organization today from modern cyberthreats and exposure with Microsoft Defender Threat Intelligence, a dynamic threat intelligence solution.
CIS_CentOS_Linux_8_Benchmark_v1.0.0.pdf
2.8 MB
CIS Benchmark for CentOS 8
Обнаружены новые типы атак в 4g/5g сетях - IMP4GT
С помощью IMP4GT злоумышленник может подделать любой интернет трафик, например, чтобы использовать личность жертвы для загрузки критичных данных...
Варианты атак, сценарии нападения, последствия:
https://imp4gt-attacks.net/
С помощью IMP4GT злоумышленник может подделать любой интернет трафик, например, чтобы использовать личность жертвы для загрузки критичных данных...
Варианты атак, сценарии нападения, последствия:
https://imp4gt-attacks.net/
Zyxel NAS RCE инфа с офф сайта, патчи там же:
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
WordPress + плагин = уязвимость. 1 миллион сайтов, снова:
https://www.wordfence.com/blog/2020/02/active-attack-on-recently-patched-duplicator-plugin-vulnerability-affects-over-1-million-sites/
И это не все :)
https://www.wordfence.com/blog/2020/02/critical-vulnerability-in-profile-builder-plugin-allowed-site-takeover/
https://www.wordfence.com/blog/2020/02/active-attack-on-recently-patched-duplicator-plugin-vulnerability-affects-over-1-million-sites/
И это не все :)
https://www.wordfence.com/blog/2020/02/critical-vulnerability-in-profile-builder-plugin-allowed-site-takeover/
Wordfence
Active Attack on Recently Patched Duplicator Plugin Vulnerability Affects Over 1 Million Sites
Denoscription: Unauthenticated Arbitrary File Download Affected Plugin: Duplicator Affected Versions: <= 1.3.26 CVE ID: CVE-2020-11738 CVSS Score: 7.5 (High) CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Patched Version: 1.3.28 A critical security…
Microsoft выпиливает из Windows возможность создавать локальную учётную запись, вынуждая пользователей использовать онлайн запись Microsoft...
Решить вопрос можно, если лишить возможности коннекта машины к сети интернет
С другой стороны, это еще один хороший повод начать изучать другие ОС / дистрибутивы / технологии :)
https://www.windowslatest.com/2020/02/22/microsoft-is-making-it-harder-to-use-windows-10-local-accounts/
Решить вопрос можно, если лишить возможности коннекта машины к сети интернет
С другой стороны, это еще один хороший повод начать изучать другие ОС / дистрибутивы / технологии :)
https://www.windowslatest.com/2020/02/22/microsoft-is-making-it-harder-to-use-windows-10-local-accounts/
Windows Latest
Microsoft is making it harder to use Windows 10 local accounts
Comments Share Subscribe Manage Push Notifications All Update Subscribe Push notifications Windows 10 has always preferred that you log into your PC using a Microsoft account and Microsoft has made it more and more to difficult to use a local account on your…
KR00K - Уязвимость которая позволяет несанкционированно расшифровывать WPA2 трафик
Уязвимость затрагивает непатченные устройства с чипами Broadcom и Cypress FullMac Wi-Fi. Это распространенные чипы Wi-Fi, используемые в современных устройствах, изготовленные известными производителями, включая Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy)
https://www.eset.com/int/kr00k/
Уязвимость затрагивает непатченные устройства с чипами Broadcom и Cypress FullMac Wi-Fi. Это распространенные чипы Wi-Fi, используемые в современных устройствах, изготовленные известными производителями, включая Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy)
https://www.eset.com/int/kr00k/
Eset
A serious vulnerability deep inside Wi-Fi encryption | ESET
Kr00k – formally known as CVE-2019-15126 – is a vulnerability in Broadcom and Cypress Wi-Fi chips that allows unauthorized decryption of some WPA2-encrypted traffic.
Снова скиммеры на веб-сайтах, маскировка под CDN службы с использованием Ngrok
Скомпрометированный сайт, где осуществляется ввод данных платежных карт, загружает скиммер с фиктивного CDN домена (типа cdn-sources.org, cdn-mediafiles.org и т.п.). Данные собираются, когда покупатель собирается совершить платеж, после чего отправляются на сервер ngrok при помощи обычного перенаправления:
https://blog.malwarebytes.com/threat-analysis/2020/02/fraudsters-cloak-credit-card-skimmer-with-fake-content-delivery-network-ngrok-server/
Скомпрометированный сайт, где осуществляется ввод данных платежных карт, загружает скиммер с фиктивного CDN домена (типа cdn-sources.org, cdn-mediafiles.org и т.п.). Данные собираются, когда покупатель собирается совершить платеж, после чего отправляются на сервер ngrok при помощи обычного перенаправления:
https://blog.malwarebytes.com/threat-analysis/2020/02/fraudsters-cloak-credit-card-skimmer-with-fake-content-delivery-network-ngrok-server/
Malwarebytes
Fraudsters cloak credit card skimmer with fake content delivery network, ngrok server
Criminals set up fraudulent infrastructure that looks like a typical content delivery network—except it isn't. Behind it hides a credit card skimmer injected into Magento online stores.
Cisco FXOS - выполнение произвольного кода (hight):
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cmdinj
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cli-cmdinj
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cmdinj
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cli-cmdinj
Cisco
Cisco Security Advisory: Cisco FXOS and UCS Manager Software CLI Command Injection Vulnerability
A vulnerability in the CLI of Cisco FXOS Software and Cisco UCS Manager Software could allow an authenticated, local attacker to execute arbitrary commands on the underlying operating system (OS).
The vulnerability is due to insufficient input validation.…
The vulnerability is due to insufficient input validation.…
SophosLab опубликовал отчет о новой вредоносной программе - Cloud Snooper, которая может поставить под угрозу безопасность любого сервера Linux или других ОС, используя драйвер ядра
Cloud Snooper - это возможно инновация, которая может установить связь с сервером облачных вычислений, минуя брандмауэр
Помимо всего прочего в отчете есть очень прикольные аналогии с курятником, баранами, курами, прикольно и познавательно
30 страниц PoC'a:
https://news.sophos.com/wp-content/uploads/2020/02/CloudSnooper_report.pdf
Cloud Snooper - это возможно инновация, которая может установить связь с сервером облачных вычислений, минуя брандмауэр
Помимо всего прочего в отчете есть очень прикольные аналогии с курятником, баранами, курами, прикольно и познавательно
30 страниц PoC'a:
https://news.sophos.com/wp-content/uploads/2020/02/CloudSnooper_report.pdf
Группа исследователей создала фреймворк песочницы, который может повысить безопасность Firefox путем изоляции сторонних библиотек, используемых браузером... Во как ☝️
Сложно, но для некоторых товарищей думаю будет самое то :)
https://github.com/shravanrn/LibrarySandboxing
Сложно, но для некоторых товарищей думаю будет самое то :)
https://github.com/shravanrn/LibrarySandboxing
GitHub
GitHub - shravanrn/LibrarySandboxing: Root Repo for the RLBox Sandboxing Library Research prototype. Note: this is the original…
Root Repo for the RLBox Sandboxing Library Research prototype. Note: this is the original research prototype for this library. For the production version of rlbox, go to rlbox.dev - shravanrn/Libra...
Не прошло и пары суток, цискари уже успели выпустить патч от kr00k'a (CVE-2019-15126):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure
Cisco
Cisco Security Advisory: Wi-Fi Protected Network and Wi-Fi Protected Network 2 Information Disclosure Vulnerability
On February 26th, 2020, researchers Štefan Svorencík and Robert Lipovsky disclosed a vulnerability in the implementation of the wireless egress packet processing of certain Broadcom Wi-Fi chipsets. This vulnerability could allow an unauthenticated, adjacent…
Удалённое выполнение кода на серверах MS Exchange. Патч от этой уязвимости только вышел, а обновлять exchange сервера не всегда все торопятся по ряду причин...
Уязвимость может быть эксплуатирована специальным письмом, в частности уязвимость обнаружена в компоненте управления Exchange (ECP)
PoC + видеодемонстрация:
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys
Уязвимость может быть эксплуатирована специальным письмом, в частности уязвимость обнаружена в компоненте управления Exchange (ECP)
PoC + видеодемонстрация:
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys
Zero Day Initiative
Zero Day Initiative — CVE-2020-0688: Remote Code Execution on Microsoft Exchange Server Through Fixed Cryptographic Keys
This most recent Patch Tuesday, Microsoft released an Important-rated patch to address a remote code execution bug in Microsoft Exchange Server. This vulnerability was reported to us by an anonymous researcher and affects all supported versions of Microsoft…
Кот-призрак, уязвимость Ghostcat затрагивает все версии tomcat
Суть - используя уязвимость Ghostcat, злоумышленник может прочитать содержимое файлов конфигурации и файлов исходного кода всех веб-приложений, развернутых на Tomcat (собственно Ахтунг!:))
Описание, как фиксить, детектить:
https://www.chaitin.cn/en/ghostcat
Суть - используя уязвимость Ghostcat, злоумышленник может прочитать содержимое файлов конфигурации и файлов исходного кода всех веб-приложений, развернутых на Tomcat (собственно Ахтунг!:))
Описание, как фиксить, детектить:
https://www.chaitin.cn/en/ghostcat
MS идет большими шагами в облака и всех тащит туда же :) Я не фанат VS Code, но вот тут говорят, что им и Visual Studio IDE уже можно пользоваться прям в браузере. В общем, кому интересен сабж, описание в их блоге:
https://devblogs.microsoft.com/visualstudio/whats-new-in-visual-studio-online-feb-2020/
https://devblogs.microsoft.com/visualstudio/whats-new-in-visual-studio-online-feb-2020/
Microsoft News
What’s New in Visual Studio Online
Try Docker support, edit environment settings, and more in the latest update to Visual Studio Online!