Fedora 32, будет чуть позже:

https://www.mail-archive.com/devel-announce@lists.fedoraproject.org/msg02233.html

Список "злого-зла" Chrome top6 (на сегодня)* :)

https://securitylab.github.com/advisories

CLOUD FUNCTION как HACKER PROXY SERVER

Google Security Team не считает нижеописанный набор уязвимостей проблемой (что уже тянет на проблему)

Детальное описание уязвимостей + PoC от первого лица (Alex 🖖):

https://hackervision.org/2020/04/18/google-function-as-hacker-proxy-server/

P.S. ох уж эти ваши контейнеры)

Фишинговая компания нацеленная на пользователей GitHub

Фишинговое сообщение содержит информацию о том, что в репозитории или параметрах в учетной записи пользователя GitHub были произведены измененения или что была обнаружена несанкционированная деятельность из-под учетной записи пользователя. Суть сообщения сводится к тому, что-бы пользователь нажал на вредоносную ссылку:

https://github.blog/2020-04-14-sawfish-phishing-campaign-targets-github-users/

Автор говорит, что исследование поверхностное, наверное это в нем говорит природная скромность)

Реверс Zoom Windows клиента с интересными догадками, пруфами, предположениями. Кто влепил Zoo в Zoom:

https://dev.io/posts/zoomzoo/

За ссылку спасибо @ldviolet

Группа исследователей из Немецкого института Хорста Герца по ИТ-безопасности в Рурском университете Бохума и Института безопасности и конфиденциальности Макса Планка обнаружили, что чипы FPGA подвержены критической уязвимости — они назвали ее Starbleed — уязвимость может быть использована для получения полного контроля над чипами.

FPGA расшифровывается как Field Programmable Gate Array - программируемые пользователем вентильные матрицы, ППВМ. В более общем случае они называются ПЛИС - программируемые логические интегральные схемы.

Представим, что процессор вместо того, чтобы выполнять набор инструкций, будет перестраиваться под каждую программу и превращать алгоритм непосредственно в "железо". Так и работают FPGA.

Эти микросхемы считаются безопасными компонентами и присутствуют в широком спектре систем, включая промышленные системы управления, облачные центры обработки данных, базовые станции сотовой связи, медицинские приборы, авиационные системы.

Xilinx отмечает в своем заключении, что атака достаточно сложная поэтому не ослабляет безопасность устройств.

Неуловимый кремний. Разрыв шифрования битового потока
Xilinx 7-Series FPGAs:

https://www.usenix.org/conference/usenixsecurity20/presentation/ender

https://www.xilinx.com/support/answers/73541.html

Использование SMBGhost (CVE-2020-0796) для локальной эскалации привилегий: Описание + PoC

https://blog.zecops.com/vulnerabilities/exploiting-smbghost-cve-2020-0796-for-a-local-privilege-escalation-writeup-and-poc/

* уязвимость представляет собой переполнение буфера на серверах SMB Microsoft, затрагивает SMBv3.

Простой сканер данной уязвимости https://github.com/ollypwn/SMBGhost

Собственно Ахтунг. Обновление, выпущенное сегодня для OpenSSL исправляет уязвимость высокой степени серьезности, которая может использоваться для атак типа "отказ в обслуживании" (DoS)

Ошибка сегментации в SSL_check_chain (CVE-2020-1967)

Серверные или клиентские приложения, вызывающие функцию SSL_check_chain () могут вызать сбой из-за неправильной обработки расширения TLS "signature_algorithms_cert" о время или после рукопожатия TLS 1.3

Сбой происходит, если получен недопустимый или непризнанный алгоритм подписи от пира. Это может быть использовано злонамеренным узлом для проведения атаки типа Denial of Service attack

Подвержены этой проблеме OpenSSL версии 1.1.1d, 1.1.1e, 1.1.1f

https://www.openssl.org/news/secadv/20200421.txt

Обновленная версия на офф сайте:

https://www.openssl.org/source/

Фишинг маскирующийся под налоговое ведомство правительства

Атака была организована на пользователей o365, было выбрано время окончания налогового сезона (в Великобритании), под этим соусом рассылалось письмо со ссылкой на сайт, где предлагалось ввести данные платежных карт. Качественно исполненные письмо и сайт маскированный под сайт gov.uk + удачно выбранное время могли легко вывести в заблуждение получателей письма...

https://abnormalsecurity.com/blog/abnormal-attack-stories-uk-government-tax-refund/

Взаимодействие по WinRM, SSH между хостами PowerShell
⁠
Функция удаленного взаимодействия PowerShell обычно использует WinRM для передачи данных. Теперь протокол SSH доступен на платформах Linux и Windows, что позволяет осуществлять многоплатформенное удаленное взаимодействие с PowerShell. Начиная с PowerShell 6 и выше можно работать по WinRM между Windows и Linux машинами, так-же можно работать непосредственно по SSH, при условии, что на Windows машине установлен SSH клиент.

https://sys-adm.in/os/windows/888-ssh-podklyuchenie-k-linux-iz-powershell.html
⁠

iOS почтовая бомба для отказа в обслуживании аппарата apple

https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

За ссылку спасибо @ldviolet

Пачка уязвимостей для приложений Autodesk использующих FBX-SDK, а имеенно:

- Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Flame, Infraworks, Navisworks, Autodesk AutoCAD

https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002

MS выпустил пачку обновлений под это дело:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200004

22 апреля 2020 года (вчера), в мире маршрутизации BGP произошло нечто, что обычно происходит довольно редко (почти год назад был похожий инцидент). BGP RPKI не спасет когда идет утечка у других по пути маршрута. Протечка Бразильского Tier1 захватило многих - Akamai, Cloudflare, Vodafone, NTT, Amazon, NVIDIA

Причина утечки маршрутов банальна - неправильная конфигурация оборудования

https://radar.qrator.net/blog/as263444-hitting-newsline-again

Экплуатация почти всех известных антивирусов под Windows, Linux, macOS
⁠
Тот случай, когда антивирус можно обернуть в обратную сторону. Обмануть антивирус можно путем использования symlink'ов (Linux, macOS) и путем соединения каталогов (directory junctions) в Windows. Со слов авторов этого метода, все просто и тривиально как "два пальца". В статье отметились McAfee, Kasperskyь(KIS))

PoC (описание, видеодемонстрация)

https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/

RHEL Insight позволяет расширять возможности управления операционными рисками / рисками информационной безопасности

https://www.redhat.com/en/blog/expanding-management-operational-and-security-risks-new-red-hat-insights

Пять бесплатных вебинаров на русском языке от AWS

https://pages.awscloud.com/EMEA-field-OE-RUSUACIS-AWSome-Webinars-Week-2020-reg-event.html

Запуск вредоносного кода через RDP, обход Windows AppLocker (Application Locker). Во Всем виноват MSTSC (клиент службы терминалов Windows)

В общем и целом - обход контроля безопасности через библиотеку mstscax.dll которую использует mstsc, что в итоге приводит к возможности выполнять вредоносный код в контексте цифровой подписи mstsc

Microsoft отказалась исправлять данную уязвимость, так как по их словам эксплаутация требует привилегий в рамках системы (смеюсь)

Описание + PoC

https://cymulate.com/news/cymulate-discovers-hidden-malware-mstsc/

Множественные уязвимости в промышленных контроллерах ABB 800xA - RCE, повышение привилегий, доступ к чувствительной информации…

https://applied-risk.com/resources/ar-2020-02

Fedora Workstation как предустановленная система на ноутбуках Lenovo ThinkPad. Скоро.

https://fedoramagazine.org/coming-soon-fedora-on-lenovo-laptops/

SQL инъекция в Sohpos firewall:

https://community.sophos.com/kb/en-us/135412

+++

Расширенное руководство AWS Security Ramp-up

https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/

Распространение через флешки старо но актуально, новая волна ботнета использует именно этот способ

На флешке размещены вроде бы вполне не опасные файлы - bmp, pdf, lnk… запуская один из файлов, запускается autoit скрипт, который в виде метаданных уже присутсвует в файле в результате чего подгружается модуль написанный на .NET среди кучи мусора в коде моделуль содержит сжатую, зашифрованную dll библиотеку в которой тоже содержится autoit скрипт, который инжектится в полне легитимные Windows процессы vbc.exe (компилятор Visual Basic) или csc.exe (компилятор Visual C#). В результате запускается monero майнинг.

PoC:

https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/