Опасный OneNote обходит любые файерволы. Фишинг с полезной нагрузкой :) Общий обзор:

https://cofense.com/threat-actor-uses-onenote-learn-credential-phishing-evade-microsoft-fireeye-detection/

Знаю многие используют Cisco Webex. Произвольное выполнение кода в Webex Player (hight):

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player

PowerShell 7, доступен для множества платформ, куча фиксов и плюшек. Детали в анонсе:

https://devblogs.microsoft.com/powershell/announcing-powershell-7-0/

Не фанат, но теперь в WhatsApp есть темная тема. Адепты, встречаем :)

MCSA, MCSD, MCSE с июля 2020 года (конец финансового года в Microsoft) вместе со всеми предыдущими экзаменами, кроме новых Role-based, прекращают своё существование

https://habr.com/ru/post/490598/

За ссылку спасибо Denis Konarev

Конфиденциально-дружественные альтернативы сервисам Google. Без трекинга:

https://nomoregoogle.com/

За ссылку спасибо @ldviolet

Intel. Обнаружена уязвимость (Positive Techlogies) в ПЗУ Converged Security and Management Engine (CSME). Уязвимость ставит под угрозу доверие к Intel в принципе так как Intel CSME отвечает за первоначальную аутентификацию Intel-based систем путем загрузки и проверки других прошивок устройств. Например, Intel CSME взаимодействует с микрокодом CPU для аутентификации UEFI BIOS с помощью BootGuard. Intel CSME также проверяет контроллер управления питанием, отвечающий за подачу питания на чипсет Intel… В общем весело.. инфа по сабжу от авторов:

http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html

SMB через QUIC

QUIC-это стандартизированный протокол, который заменяет TCP на веб-ориентированный механизм UDP, который теоретически улучшает производительность. В отличие от TCP, QUIC всегда зашифрован, работает используя TLS 1.3

Сотрудник из MS говорит, что это экономит кучу денег, что виндовый новый осел (edge) его уже может, выделяет два ключевых императива:

> Безопасность - защита от MiTM
> Простота - безшовность

https://techcommunity.microsoft.com/t5/blogs/blogarticleprintpage/blog-id/ITOpsTalkBlog/article-id/600

За ссылку спасибо @ldviolet

Собственно вводные обозревательные ролики (много всего) по анализу малвари и реверсу

Введение в гидру, анализ exe, работа с метасплоитом и построение своего собственного RAT, построение разного рода атак и много, много другого:

https://class.malware.re/

Один из моих любимых сервисов на сегодня - DuckDuckGo, рассказывает о трекерах и о том, как они борятся с этим выпиливая трекинг и различные механизмы слежения за пользователями

Зло которое несет трекинг в дополнение к истории покупок, они (трекеры) могут собирать историю местоположения, историю поиска, историю просмотра, сведения о возрасте и многое другое, даже сведения об этнической принадлежности, полу, интересам и привычкам. Различные компании собирают эти личные данные в детальный профиль, постоянно выставляя вас (нас) на аукцион по бросовым ценам...

Боритесь за свою конфиденциальность друзья 🤘

https://spreadprivacy.com/duckduckgo-tracker-radar/

Команда US-CERT предупредила о критической уязвимости в демоне протокола PPP, реализованном в большинстве операционных систем на базе Linux, а также в прошивках различных сетевых устройств:

https://www.securitylab.ru/news/505625.php

За ссылку спасибо @ldviolet

Power Toys for Windows Power Users:
https://github.com/microsoft/PowerToys/blob/master/README.md

Новые уязвимости Collide+Probe и Load+Reload теперь в AMD процессорах.

Что характерно, Collide можно запустить удалённо, через браузер, без взаимодействия с пользователем. Обе атаки позволяют получить доступ к памяти атакуемого компьютера.

Успокаивает одно, эти атаки не так серьезны, как Meltdown / Zombieload

Информация на официальном сайте AMD:

https://www.amd.com/en/corporate/product-security

Новый тип атаки LVI-LFB на Intel CPU, в результате спекулятивного использования недостатков в архитектуре процессора есть возможность получить доступ к защищённой памяти

Атака LVI, это новый уровень, который обходит предыдущие атаки, такие как Meltdown, Foreshadow, ZombieLoad, RIDL, Fallout и нивелирует все существующие средства смягчения в ноль т.е. существующие способы устранения последствий предыдущих атак, такие как Meltdown, Spectre не являются достаточными для полного устранения новой уязвимости

Суть такая - злоумышленник управляющий непривилигерованным процессом, может перехватить более привилигерованный процесс, в результате это приводит к существенным рискам связанным с перехватом высокочувствительных данных, таких как например ключи шифрования, пароли и тп:

https://businessinsights.bitdefender.com/bitdefender-researchers-discover-new-side-channel-attack

Intel говорит, ДА, и приводит список уязвимых CPU:

https://software.intel.com/security-software-guidance/insights/processors-affected-load-value-injection

Хорошо про атаку написано на официальном сайте уязвимости:

https://lviattack.eu/

Собственно можно самому убедиться собрав свой PoC (при наличии уязвимого CPU и Visual Studio):

https://github.com/bitdefender/lvi-lfb-attack-poc/blob/master/README.md

За ссылки спасибо @ldviolet

Microsoft признала существование уязвимости, которую может эксплуатировать неаутентифицированный злоумышленник путем выполнения произвольного кода, отправив специальный пакет на целевую машину с включенным SMB

Патчей нет. Последние версии Windows в "теме". Есть способ по отключению. Описание / осознание от вендора:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

За ссылку спасибо @ldviolet

Многогранный Гребной Молот

Rowhammer, уязвимость существовавшая в DDR3, которая могла привести к повреждению данных хранящихся в ячейках памяти...

...DDR4, все думали, что баги исправлены, предыдущий опыт учтен, как бы не так

Исследование обхода защиты (ссылка в репе), набор скриптов для исследования проблемы:

https://github.com/vusec/trrespass/blob/master/README.md

За инфу спасибо @ldviolet

Akamai. Отсчёт о том, как в их CDN сети гулял / гуляет фишинговый трафик:

https://blogs.akamai.com/sitr/2020/03/phishing-victims-from-a-cdns-point-of-view.html

Злые ярлыки Windows

LNK Remote Code Execution Vulnerability - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0684

up
Сводка по уязвимостям и патчам (ооочень много патчей и соотв уязвимостей) - https://blog.talosintelligence.com/2020/03/microsoft-patch-tuesday-march-2020.html

В связи с эпидемией коронавируса COVID-1, PHDays (конференция по информационной безопасности на которой я тоже намервался быть) переносится на осень (точная дата пока неизвестна).

Всем здоровья друзья! Ждем точных дат:

https://www.phdays.com/ru/press/news/perenos-srokov-provedeniya-phdays-10/

Firefox 74, в новой версии убрана поддержка TLS 1.0/1.1. Добавлены исправления безопасности с приоритетом high, medium, low

Анонс:

https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/74

Информация по security патчам:

https://www.mozilla.org/en-US/security/advisories/mfsa2020-08/

Возможность MiTM'а в Avast AntiTrack (служба, которую можно установить на свой компьютер, служба направлена на выпиливание рекламы, всевозможных трекеров)

Суть: Удаленный злоумышленник, запускающий вредоносный прокси-сервер, может перехватить HTTPS-трафик своей жертвы, перехватить учетные данные для последующего использования. Если сайту требуется двухфакторная аутентификация (например, одноразовый пароль), то злоумышленник все равно может перехватить сеанс live, клонируя файлы cookie сеанса после авторизации...

Проблема в том, что служба не проверяет действительность сертификатов, занижает уровень TLS до 1.0 ... Вот такой вот антитрекер..

https://www.davideade.com/2020/03/avast-antitrack.html