Снова скиммеры на веб-сайтах, маскировка под CDN службы с использованием Ngrok
Скомпрометированный сайт, где осуществляется ввод данных платежных карт, загружает скиммер с фиктивного CDN домена (типа cdn-sources.org, cdn-mediafiles.org и т.п.). Данные собираются, когда покупатель собирается совершить платеж, после чего отправляются на сервер ngrok при помощи обычного перенаправления:
https://blog.malwarebytes.com/threat-analysis/2020/02/fraudsters-cloak-credit-card-skimmer-with-fake-content-delivery-network-ngrok-server/
Скомпрометированный сайт, где осуществляется ввод данных платежных карт, загружает скиммер с фиктивного CDN домена (типа cdn-sources.org, cdn-mediafiles.org и т.п.). Данные собираются, когда покупатель собирается совершить платеж, после чего отправляются на сервер ngrok при помощи обычного перенаправления:
https://blog.malwarebytes.com/threat-analysis/2020/02/fraudsters-cloak-credit-card-skimmer-with-fake-content-delivery-network-ngrok-server/
Malwarebytes
Fraudsters cloak credit card skimmer with fake content delivery network, ngrok server
Criminals set up fraudulent infrastructure that looks like a typical content delivery network—except it isn't. Behind it hides a credit card skimmer injected into Magento online stores.
Cisco FXOS - выполнение произвольного кода (hight):
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cmdinj
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cli-cmdinj
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cmdinj
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cli-cmdinj
Cisco
Cisco Security Advisory: Cisco FXOS and UCS Manager Software CLI Command Injection Vulnerability
A vulnerability in the CLI of Cisco FXOS Software and Cisco UCS Manager Software could allow an authenticated, local attacker to execute arbitrary commands on the underlying operating system (OS).
The vulnerability is due to insufficient input validation.…
The vulnerability is due to insufficient input validation.…
SophosLab опубликовал отчет о новой вредоносной программе - Cloud Snooper, которая может поставить под угрозу безопасность любого сервера Linux или других ОС, используя драйвер ядра
Cloud Snooper - это возможно инновация, которая может установить связь с сервером облачных вычислений, минуя брандмауэр
Помимо всего прочего в отчете есть очень прикольные аналогии с курятником, баранами, курами, прикольно и познавательно
30 страниц PoC'a:
https://news.sophos.com/wp-content/uploads/2020/02/CloudSnooper_report.pdf
Cloud Snooper - это возможно инновация, которая может установить связь с сервером облачных вычислений, минуя брандмауэр
Помимо всего прочего в отчете есть очень прикольные аналогии с курятником, баранами, курами, прикольно и познавательно
30 страниц PoC'a:
https://news.sophos.com/wp-content/uploads/2020/02/CloudSnooper_report.pdf
Группа исследователей создала фреймворк песочницы, который может повысить безопасность Firefox путем изоляции сторонних библиотек, используемых браузером... Во как ☝️
Сложно, но для некоторых товарищей думаю будет самое то :)
https://github.com/shravanrn/LibrarySandboxing
Сложно, но для некоторых товарищей думаю будет самое то :)
https://github.com/shravanrn/LibrarySandboxing
GitHub
GitHub - shravanrn/LibrarySandboxing: Root Repo for the RLBox Sandboxing Library Research prototype. Note: this is the original…
Root Repo for the RLBox Sandboxing Library Research prototype. Note: this is the original research prototype for this library. For the production version of rlbox, go to rlbox.dev - shravanrn/Libra...
Не прошло и пары суток, цискари уже успели выпустить патч от kr00k'a (CVE-2019-15126):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure
Cisco
Cisco Security Advisory: Wi-Fi Protected Network and Wi-Fi Protected Network 2 Information Disclosure Vulnerability
On February 26th, 2020, researchers Štefan Svorencík and Robert Lipovsky disclosed a vulnerability in the implementation of the wireless egress packet processing of certain Broadcom Wi-Fi chipsets. This vulnerability could allow an unauthenticated, adjacent…
Удалённое выполнение кода на серверах MS Exchange. Патч от этой уязвимости только вышел, а обновлять exchange сервера не всегда все торопятся по ряду причин...
Уязвимость может быть эксплуатирована специальным письмом, в частности уязвимость обнаружена в компоненте управления Exchange (ECP)
PoC + видеодемонстрация:
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys
Уязвимость может быть эксплуатирована специальным письмом, в частности уязвимость обнаружена в компоненте управления Exchange (ECP)
PoC + видеодемонстрация:
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys
Zero Day Initiative
Zero Day Initiative — CVE-2020-0688: Remote Code Execution on Microsoft Exchange Server Through Fixed Cryptographic Keys
This most recent Patch Tuesday, Microsoft released an Important-rated patch to address a remote code execution bug in Microsoft Exchange Server. This vulnerability was reported to us by an anonymous researcher and affects all supported versions of Microsoft…
Кот-призрак, уязвимость Ghostcat затрагивает все версии tomcat
Суть - используя уязвимость Ghostcat, злоумышленник может прочитать содержимое файлов конфигурации и файлов исходного кода всех веб-приложений, развернутых на Tomcat (собственно Ахтунг!:))
Описание, как фиксить, детектить:
https://www.chaitin.cn/en/ghostcat
Суть - используя уязвимость Ghostcat, злоумышленник может прочитать содержимое файлов конфигурации и файлов исходного кода всех веб-приложений, развернутых на Tomcat (собственно Ахтунг!:))
Описание, как фиксить, детектить:
https://www.chaitin.cn/en/ghostcat
MS идет большими шагами в облака и всех тащит туда же :) Я не фанат VS Code, но вот тут говорят, что им и Visual Studio IDE уже можно пользоваться прям в браузере. В общем, кому интересен сабж, описание в их блоге:
https://devblogs.microsoft.com/visualstudio/whats-new-in-visual-studio-online-feb-2020/
https://devblogs.microsoft.com/visualstudio/whats-new-in-visual-studio-online-feb-2020/
Microsoft News
What’s New in Visual Studio Online
Try Docker support, edit environment settings, and more in the latest update to Visual Studio Online!
Security обновления Nvidia драйверов под Windows, собственно фиксы:
- отказа в обслуживании
- эскалации привилегий
- раскрытия информации
Бюллетень:
https://nvidia.custhelp.com/app/answers/detail/a_id/4996/kw/Security%20Bulletin
Дрова качать можно с офф сайта:
https://www.nvidia.com/Download/index.aspx
- отказа в обслуживании
- эскалации привилегий
- раскрытия информации
Бюллетень:
https://nvidia.custhelp.com/app/answers/detail/a_id/4996/kw/Security%20Bulletin
Дрова качать можно с офф сайта:
https://www.nvidia.com/Download/index.aspx
NVIDIA
Official NVIDIA Drivers
Get automatic notifications of new driver releases from NVIDIA.
Подборка программных методов, при помощи которых вредоносное ПО обнаруживает работает ли оно в виртуальной среде или нет:
https://evasions.checkpoint.com/
https://evasions.checkpoint.com/
Прикольная подборка шаблонов для выпечки Windows packer образов (vagrant box’ов):
https://github.com/jacqinthebox/packer-templates
https://github.com/jacqinthebox/packer-templates
GitHub
GitHub - jacqinthebox/packer-templates: Building a development environment with Vagrant, Packer, Windows 10 and Server 2016
Building a development environment with Vagrant, Packer, Windows 10 and Server 2016 - jacqinthebox/packer-templates
Ультразвуковая волна против голосовых помощников
От SurfingAttack не спасают даже силиконовые чехлы, для атаки уязвимы устройства от - Apple, Google, Samsung, Huawei, Xiaomi...
Атака позволяет совершать звонки, читать SMS, взаимодействовать с голосовым помощником...
Атака происходит через колебания передаваемые через твердые поверхности (например стол).
Защита - более толстый чехол, уменьшение площади касания телефона с твердыми поверхностями, отключение голосового помощника
Детали:
https://surfingattack.github.io/
От SurfingAttack не спасают даже силиконовые чехлы, для атаки уязвимы устройства от - Apple, Google, Samsung, Huawei, Xiaomi...
Атака позволяет совершать звонки, читать SMS, взаимодействовать с голосовым помощником...
Атака происходит через колебания передаваемые через твердые поверхности (например стол).
Защита - более толстый чехол, уменьшение площади касания телефона с твердыми поверхностями, отключение голосового помощника
Детали:
https://surfingattack.github.io/
VSCode-python - inject_dll_x86.exe is detected like malware
Антивирусы ругаются на малварь в офф коде от MS VSCode - McAfee, Sophos, Cisco AMP for Endpoints
Народ жалуется:
- https://github.com/microsoft/vscode-python/issues/9474
Но вроде как все сходится к false positive, но тут что-то вспонилось - "суслика видишь? нет? а он есть!"
За ссылку спасибо @rustc
Антивирусы ругаются на малварь в офф коде от MS VSCode - McAfee, Sophos, Cisco AMP for Endpoints
Народ жалуется:
- https://github.com/microsoft/vscode-python/issues/9474
Но вроде как все сходится к false positive, но тут что-то вспонилось - "суслика видишь? нет? а он есть!"
За ссылку спасибо @rustc
GitHub
inject_dll_x86.exe is detected like malware · Issue #9474 · microsoft/vscode-python
Today ran Visual Studio Code and the Python Extension was updated to 2020.1.57204. My company use Cisco AMP for Endpoints like antimalware / antivirus and the next file was detected like malware. C...
Как происходит установка Net Support Manager RAT (rat - remote access trojan)
- Word документ, замаскированный под защищенный документ NortonLifeLock
- Пользователь вводит пароль от документа (именно правильный пароль, который возможно указан в письме куда прикреплен word документ)
- После ввода пароля, запускается VBA скрипт, который запускает cmd в результате чего создается bat файл в temp каталоге пользователя
- Далее загружается msi файл, выполняется и снова в temp уже устанавливается powershell скрипт
- Далее происходит остановка антивирусного ПО (Avast, AVG)
- Готово, RAT отправляет данные на сервер управления (включая гео-локационные)
Собственно детали:
https://unit42.paloaltonetworks.com/cortex-xdr-detects-netsupport-manager-rat-campaign/
- Word документ, замаскированный под защищенный документ NortonLifeLock
- Пользователь вводит пароль от документа (именно правильный пароль, который возможно указан в письме куда прикреплен word документ)
- После ввода пароля, запускается VBA скрипт, который запускает cmd в результате чего создается bat файл в temp каталоге пользователя
- Далее загружается msi файл, выполняется и снова в temp уже устанавливается powershell скрипт
- Далее происходит остановка антивирусного ПО (Avast, AVG)
- Готово, RAT отправляет данные на сервер управления (включая гео-локационные)
Собственно детали:
https://unit42.paloaltonetworks.com/cortex-xdr-detects-netsupport-manager-rat-campaign/
Unit 42
Cortex XDR™ Detects New Phishing Campaign Installing NetSupport Manager RAT
Unit 42 discovered a new phishing campaign attempting to deliver a NetSupport Manager RAT through a malicious Microsoft Word document.
Фаззинг — техника тестирования программного обеспечения, часто автоматическая или полуавтоматическая...
Гугл выложил в паблик инструмент FizzBanch:
https://github.com/google/fuzzbench
Анонс (пример генерируемого отчета там тоже имеется):
https://security.googleblog.com/2020/03/fuzzbench-fuzzer-benchmarking-as-service.html?m=1
Гугл выложил в паблик инструмент FizzBanch:
https://github.com/google/fuzzbench
Анонс (пример генерируемого отчета там тоже имеется):
https://security.googleblog.com/2020/03/fuzzbench-fuzzer-benchmarking-as-service.html?m=1
GitHub
GitHub - google/fuzzbench: FuzzBench - Fuzzer benchmarking as a service.
FuzzBench - Fuzzer benchmarking as a service. Contribute to google/fuzzbench development by creating an account on GitHub.
Миллионы Андроид девайсов под угрозой. Какие устройства, какие чипы, как эксплуатировать руткит (о нем ниже):
https://www.xda-developers.com/mediatek-su-rootkit-exploit
Android Security бюллетень. Одна из уязвимостей, описанных в последнем бюллетене, это CVE-2020-0069, критический эксплойт безопасности (тот самый руткит):
https://source.android.com/security/bulletin
https://www.xda-developers.com/mediatek-su-rootkit-exploit
Android Security бюллетень. Одна из уязвимостей, описанных в последнем бюллетене, это CVE-2020-0069, критический эксплойт безопасности (тот самый руткит):
https://source.android.com/security/bulletin
Letsencrypt будет отзывать ряд сертификатов (а именно
3,048,289) в виду найденой баги:
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
Есть сайт, где можно проверить свой серт на предмет САА:
https://checkhost.unboundtest.com
Как можно быстро проверить свой серт при помощи curl:
Результат:
The certificate currently available on domain_name is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem.
3,048,289) в виду найденой баги:
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
Есть сайт, где можно проверить свой серт на предмет САА:
https://checkhost.unboundtest.com
Как можно быстро проверить свой серт при помощи curl:
curl -XPOST -d 'fqdn=domain_name' https://unboundtest.com/caaproblem/checkhostРезультат:
The certificate currently available on domain_name is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem.
Let's Encrypt Community Support
Revoking certain certificates on March 4
[Update 2020-03-05: The most up-to-date summary is at 2020.02.29 CAA Rechecking Bug] Due to the 2020.02.29 CAA Rechecking Bug, we unfortunately need to revoke many Let’s Encrypt TLS/SSL certificates. We’re e-mailing affected subscribers for whom we have…
Zero-day - латинские гомоглифы в доменных именах:
https://www.soluble.ai/blog/public-disclosure-emoji-to-zero-day
https://www.soluble.ai/blog/public-disclosure-emoji-to-zero-day
Опасный OneNote обходит любые файерволы. Фишинг с полезной нагрузкой :) Общий обзор:
https://cofense.com/threat-actor-uses-onenote-learn-credential-phishing-evade-microsoft-fireeye-detection/
https://cofense.com/threat-actor-uses-onenote-learn-credential-phishing-evade-microsoft-fireeye-detection/
Знаю многие используют Cisco Webex. Произвольное выполнение кода в Webex Player (hight):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player
Cisco
Cisco Security Advisory: Cisco Webex Network Recording Player and Cisco Webex Player Arbitrary Code Execution Vulnerabilities
Multiple vulnerabilities in Cisco Webex Network Recording Player for Microsoft Windows and Cisco Webex Player for Microsoft Windows could allow an attacker to execute arbitrary code on an affected system.
The vulnerabilities are due to insufficient validation…
The vulnerabilities are due to insufficient validation…