SMB через QUIC

QUIC-это стандартизированный протокол, который заменяет TCP на веб-ориентированный механизм UDP, который теоретически улучшает производительность. В отличие от TCP, QUIC всегда зашифрован, работает используя TLS 1.3

Сотрудник из MS говорит, что это экономит кучу денег, что виндовый новый осел (edge) его уже может, выделяет два ключевых императива:

> Безопасность - защита от MiTM
> Простота - безшовность

https://techcommunity.microsoft.com/t5/blogs/blogarticleprintpage/blog-id/ITOpsTalkBlog/article-id/600

За ссылку спасибо @ldviolet

Собственно вводные обозревательные ролики (много всего) по анализу малвари и реверсу

Введение в гидру, анализ exe, работа с метасплоитом и построение своего собственного RAT, построение разного рода атак и много, много другого:

https://class.malware.re/

Один из моих любимых сервисов на сегодня - DuckDuckGo, рассказывает о трекерах и о том, как они борятся с этим выпиливая трекинг и различные механизмы слежения за пользователями

Зло которое несет трекинг в дополнение к истории покупок, они (трекеры) могут собирать историю местоположения, историю поиска, историю просмотра, сведения о возрасте и многое другое, даже сведения об этнической принадлежности, полу, интересам и привычкам. Различные компании собирают эти личные данные в детальный профиль, постоянно выставляя вас (нас) на аукцион по бросовым ценам...

Боритесь за свою конфиденциальность друзья 🤘

https://spreadprivacy.com/duckduckgo-tracker-radar/

Команда US-CERT предупредила о критической уязвимости в демоне протокола PPP, реализованном в большинстве операционных систем на базе Linux, а также в прошивках различных сетевых устройств:

https://www.securitylab.ru/news/505625.php

За ссылку спасибо @ldviolet

Power Toys for Windows Power Users:
https://github.com/microsoft/PowerToys/blob/master/README.md

Новые уязвимости Collide+Probe и Load+Reload теперь в AMD процессорах.

Что характерно, Collide можно запустить удалённо, через браузер, без взаимодействия с пользователем. Обе атаки позволяют получить доступ к памяти атакуемого компьютера.

Успокаивает одно, эти атаки не так серьезны, как Meltdown / Zombieload

Информация на официальном сайте AMD:

https://www.amd.com/en/corporate/product-security

Новый тип атаки LVI-LFB на Intel CPU, в результате спекулятивного использования недостатков в архитектуре процессора есть возможность получить доступ к защищённой памяти

Атака LVI, это новый уровень, который обходит предыдущие атаки, такие как Meltdown, Foreshadow, ZombieLoad, RIDL, Fallout и нивелирует все существующие средства смягчения в ноль т.е. существующие способы устранения последствий предыдущих атак, такие как Meltdown, Spectre не являются достаточными для полного устранения новой уязвимости

Суть такая - злоумышленник управляющий непривилигерованным процессом, может перехватить более привилигерованный процесс, в результате это приводит к существенным рискам связанным с перехватом высокочувствительных данных, таких как например ключи шифрования, пароли и тп:

https://businessinsights.bitdefender.com/bitdefender-researchers-discover-new-side-channel-attack

Intel говорит, ДА, и приводит список уязвимых CPU:

https://software.intel.com/security-software-guidance/insights/processors-affected-load-value-injection

Хорошо про атаку написано на официальном сайте уязвимости:

https://lviattack.eu/

Собственно можно самому убедиться собрав свой PoC (при наличии уязвимого CPU и Visual Studio):

https://github.com/bitdefender/lvi-lfb-attack-poc/blob/master/README.md

За ссылки спасибо @ldviolet

Microsoft признала существование уязвимости, которую может эксплуатировать неаутентифицированный злоумышленник путем выполнения произвольного кода, отправив специальный пакет на целевую машину с включенным SMB

Патчей нет. Последние версии Windows в "теме". Есть способ по отключению. Описание / осознание от вендора:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

За ссылку спасибо @ldviolet

Многогранный Гребной Молот

Rowhammer, уязвимость существовавшая в DDR3, которая могла привести к повреждению данных хранящихся в ячейках памяти...

...DDR4, все думали, что баги исправлены, предыдущий опыт учтен, как бы не так

Исследование обхода защиты (ссылка в репе), набор скриптов для исследования проблемы:

https://github.com/vusec/trrespass/blob/master/README.md

За инфу спасибо @ldviolet

Akamai. Отсчёт о том, как в их CDN сети гулял / гуляет фишинговый трафик:

https://blogs.akamai.com/sitr/2020/03/phishing-victims-from-a-cdns-point-of-view.html

Злые ярлыки Windows

LNK Remote Code Execution Vulnerability - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0684

up
Сводка по уязвимостям и патчам (ооочень много патчей и соотв уязвимостей) - https://blog.talosintelligence.com/2020/03/microsoft-patch-tuesday-march-2020.html

В связи с эпидемией коронавируса COVID-1, PHDays (конференция по информационной безопасности на которой я тоже намервался быть) переносится на осень (точная дата пока неизвестна).

Всем здоровья друзья! Ждем точных дат:

https://www.phdays.com/ru/press/news/perenos-srokov-provedeniya-phdays-10/

Firefox 74, в новой версии убрана поддержка TLS 1.0/1.1. Добавлены исправления безопасности с приоритетом high, medium, low

Анонс:

https://developer.mozilla.org/en-US/docs/Mozilla/Firefox/Releases/74

Информация по security патчам:

https://www.mozilla.org/en-US/security/advisories/mfsa2020-08/

Возможность MiTM'а в Avast AntiTrack (служба, которую можно установить на свой компьютер, служба направлена на выпиливание рекламы, всевозможных трекеров)

Суть: Удаленный злоумышленник, запускающий вредоносный прокси-сервер, может перехватить HTTPS-трафик своей жертвы, перехватить учетные данные для последующего использования. Если сайту требуется двухфакторная аутентификация (например, одноразовый пароль), то злоумышленник все равно может перехватить сеанс live, клонируя файлы cookie сеанса после авторизации...

Проблема в том, что служба не проверяет действительность сертификатов, занижает уровень TLS до 1.0 ... Вот такой вот антитрекер..

https://www.davideade.com/2020/03/avast-antitrack.html

OFFZONE в этом году то-же отменяется. Новые даты неизвестны. Ждем обновлений.

Кто не знает, OFFZONE - конференция по информационной безопасности - https://offzone.moscow/

Сканер той самой SMBv3 уязвимости - https://github.com/ollypwn/SMBGhost

Как работает уязвимость (коротенькое видео о том, как компьютер ловит “синий” экран)
https://vimeo.com/397149983

Микротик в опасносте:

https://habr.com/ru/company/mailru/blog/492094/

За ссылку спасибо BORODA(C)

Появились заплатки для SMBv3

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

Инфа по KB

https://support.microsoft.com/en-us/help/4551762/windows-10-update-kb4551762

И снова роутеры, но уже не микроты:

https://sec-consult.com/en/blog/advisories/authenticated-command-injection-in-phoenix-contact-tc-router-cloud-client/

Коронавирус шагает по планете, конференции изменяют сроки, некоторые авиарейсы останавливают или изменяют режим их работы, крупные и мелкие организации и даже учебные учреждения переходят на удалённый режим работы.. Сегодня пришло сообщение от Cloudflare, они дают возможность бесплатной работы для малых и средних команд на своей площадке, на время эпидемии:

https://blog.cloudflare.com/cloudflare-for-teams-free-for-small-businesses-during-coronavirus-emergency/

Огонь. Подбор пароля mail.ru, вопрос этичности сервиса, PoC...

Авторский пост от просто хорошего человека и моего друга ( Alex, respect 🤘)

MAIL.RU BRUTE-FORCE или BUG-BOUNTY ПО-РУССКИ… Встречаем:

https://hackervision.org/2020/03/12/mailru-bb-fuckup/