CLOUD FUNCTION как HACKER PROXY SERVER
Google Security Team не считает нижеописанный набор уязвимостей проблемой (что уже тянет на проблему)
Детальное описание уязвимостей + PoC от первого лица (Alex 🖖):
https://hackervision.org/2020/04/18/google-function-as-hacker-proxy-server/
P.S. ох уж эти ваши контейнеры)
Google Security Team не считает нижеописанный набор уязвимостей проблемой (что уже тянет на проблему)
Детальное описание уязвимостей + PoC от первого лица (Alex 🖖):
https://hackervision.org/2020/04/18/google-function-as-hacker-proxy-server/
P.S. ох уж эти ваши контейнеры)
Фишинговая компания нацеленная на пользователей GitHub
Фишинговое сообщение содержит информацию о том, что в репозитории или параметрах в учетной записи пользователя GitHub были произведены измененения или что была обнаружена несанкционированная деятельность из-под учетной записи пользователя. Суть сообщения сводится к тому, что-бы пользователь нажал на вредоносную ссылку:
https://github.blog/2020-04-14-sawfish-phishing-campaign-targets-github-users/
Фишинговое сообщение содержит информацию о том, что в репозитории или параметрах в учетной записи пользователя GitHub были произведены измененения или что была обнаружена несанкционированная деятельность из-под учетной записи пользователя. Суть сообщения сводится к тому, что-бы пользователь нажал на вредоносную ссылку:
https://github.blog/2020-04-14-sawfish-phishing-campaign-targets-github-users/
The GitHub Blog
Sawfish phishing campaign targets GitHub users
A phishing campaign targeting our customers lures GitHub users into providing their credentials (including two-factor authentication codes). Learn more about the threat and what you can do to protect yourself.
Автор говорит, что исследование поверхностное, наверное это в нем говорит природная скромность)
Реверс Zoom Windows клиента с интересными догадками, пруфами, предположениями. Кто влепил Zoo в Zoom:
https://dev.io/posts/zoomzoo/
За ссылку спасибо @ldviolet
Реверс Zoom Windows клиента с интересными догадками, пруфами, предположениями. Кто влепил Zoo в Zoom:
https://dev.io/posts/zoomzoo/
За ссылку спасибо @ldviolet
Группа исследователей из Немецкого института Хорста Герца по ИТ-безопасности в Рурском университете Бохума и Института безопасности и конфиденциальности Макса Планка обнаружили, что чипы FPGA подвержены критической уязвимости — они назвали ее Starbleed — уязвимость может быть использована для получения полного контроля над чипами.
FPGA расшифровывается как Field Programmable Gate Array - программируемые пользователем вентильные матрицы, ППВМ. В более общем случае они называются ПЛИС - программируемые логические интегральные схемы.
Представим, что процессор вместо того, чтобы выполнять набор инструкций, будет перестраиваться под каждую программу и превращать алгоритм непосредственно в "железо". Так и работают FPGA.
Эти микросхемы считаются безопасными компонентами и присутствуют в широком спектре систем, включая промышленные системы управления, облачные центры обработки данных, базовые станции сотовой связи, медицинские приборы, авиационные системы.
Xilinx отмечает в своем заключении, что атака достаточно сложная поэтому не ослабляет безопасность устройств.
Неуловимый кремний. Разрыв шифрования битового потока
Xilinx 7-Series FPGAs:
https://www.usenix.org/conference/usenixsecurity20/presentation/ender
https://www.xilinx.com/support/answers/73541.html
FPGA расшифровывается как Field Programmable Gate Array - программируемые пользователем вентильные матрицы, ППВМ. В более общем случае они называются ПЛИС - программируемые логические интегральные схемы.
Представим, что процессор вместо того, чтобы выполнять набор инструкций, будет перестраиваться под каждую программу и превращать алгоритм непосредственно в "железо". Так и работают FPGA.
Эти микросхемы считаются безопасными компонентами и присутствуют в широком спектре систем, включая промышленные системы управления, облачные центры обработки данных, базовые станции сотовой связи, медицинские приборы, авиационные системы.
Xilinx отмечает в своем заключении, что атака достаточно сложная поэтому не ослабляет безопасность устройств.
Неуловимый кремний. Разрыв шифрования битового потока
Xilinx 7-Series FPGAs:
https://www.usenix.org/conference/usenixsecurity20/presentation/ender
https://www.xilinx.com/support/answers/73541.html
Использование SMBGhost (CVE-2020-0796) для локальной эскалации привилегий: Описание + PoC
https://blog.zecops.com/vulnerabilities/exploiting-smbghost-cve-2020-0796-for-a-local-privilege-escalation-writeup-and-poc/
* уязвимость представляет собой переполнение буфера на серверах SMB Microsoft, затрагивает SMBv3.
Простой сканер данной уязвимости https://github.com/ollypwn/SMBGhost
https://blog.zecops.com/vulnerabilities/exploiting-smbghost-cve-2020-0796-for-a-local-privilege-escalation-writeup-and-poc/
* уязвимость представляет собой переполнение буфера на серверах SMB Microsoft, затрагивает SMBv3.
Простой сканер данной уязвимости https://github.com/ollypwn/SMBGhost
Jamf
Jamf Threat Labs | Blog
Собственно Ахтунг. Обновление, выпущенное сегодня для OpenSSL исправляет уязвимость высокой степени серьезности, которая может использоваться для атак типа "отказ в обслуживании" (DoS)
Ошибка сегментации в SSL_check_chain (CVE-2020-1967)
Серверные или клиентские приложения, вызывающие функцию SSL_check_chain () могут вызать сбой из-за неправильной обработки расширения TLS "signature_algorithms_cert" о время или после рукопожатия TLS 1.3
Сбой происходит, если получен недопустимый или непризнанный алгоритм подписи от пира. Это может быть использовано злонамеренным узлом для проведения атаки типа Denial of Service attack
Подвержены этой проблеме OpenSSL версии 1.1.1d, 1.1.1e, 1.1.1f
https://www.openssl.org/news/secadv/20200421.txt
Обновленная версия на офф сайте:
https://www.openssl.org/source/
Ошибка сегментации в SSL_check_chain (CVE-2020-1967)
Серверные или клиентские приложения, вызывающие функцию SSL_check_chain () могут вызать сбой из-за неправильной обработки расширения TLS "signature_algorithms_cert" о время или после рукопожатия TLS 1.3
Сбой происходит, если получен недопустимый или непризнанный алгоритм подписи от пира. Это может быть использовано злонамеренным узлом для проведения атаки типа Denial of Service attack
Подвержены этой проблеме OpenSSL версии 1.1.1d, 1.1.1e, 1.1.1f
https://www.openssl.org/news/secadv/20200421.txt
Обновленная версия на офф сайте:
https://www.openssl.org/source/
Фишинг маскирующийся под налоговое ведомство правительства
Атака была организована на пользователей o365, было выбрано время окончания налогового сезона (в Великобритании), под этим соусом рассылалось письмо со ссылкой на сайт, где предлагалось ввести данные платежных карт. Качественно исполненные письмо и сайт маскированный под сайт gov.uk + удачно выбранное время могли легко вывести в заблуждение получателей письма...
https://abnormalsecurity.com/blog/abnormal-attack-stories-uk-government-tax-refund/
Атака была организована на пользователей o365, было выбрано время окончания налогового сезона (в Великобритании), под этим соусом рассылалось письмо со ссылкой на сайт, где предлагалось ввести данные платежных карт. Качественно исполненные письмо и сайт маскированный под сайт gov.uk + удачно выбранное время могли легко вывести в заблуждение получателей письма...
https://abnormalsecurity.com/blog/abnormal-attack-stories-uk-government-tax-refund/
Abnormal AI
Attack Stories
Abnormal AI provides advanced cloud email security to prevent credential phishing, business email compromise, account takeover, and more.
Взаимодействие по WinRM, SSH между хостами PowerShell
Функция удаленного взаимодействия PowerShell обычно использует WinRM для передачи данных. Теперь протокол SSH доступен на платформах Linux и Windows, что позволяет осуществлять многоплатформенное удаленное взаимодействие с PowerShell. Начиная с PowerShell 6 и выше можно работать по WinRM между Windows и Linux машинами, так-же можно работать непосредственно по SSH, при условии, что на Windows машине установлен SSH клиент.
https://sys-adm.in/os/windows/888-ssh-podklyuchenie-k-linux-iz-powershell.html
Функция удаленного взаимодействия PowerShell обычно использует WinRM для передачи данных. Теперь протокол SSH доступен на платформах Linux и Windows, что позволяет осуществлять многоплатформенное удаленное взаимодействие с PowerShell. Начиная с PowerShell 6 и выше можно работать по WinRM между Windows и Linux машинами, так-же можно работать непосредственно по SSH, при условии, что на Windows машине установлен SSH клиент.
https://sys-adm.in/os/windows/888-ssh-podklyuchenie-k-linux-iz-powershell.html
iOS почтовая бомба для отказа в обслуживании аппарата apple
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
За ссылку спасибо @ldviolet
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
За ссылку спасибо @ldviolet
Jamf
Jamf Threat Labs | Blog
Пачка уязвимостей для приложений Autodesk использующих FBX-SDK, а имеенно:
- Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Flame, Infraworks, Navisworks, Autodesk AutoCAD
https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002
MS выпустил пачку обновлений под это дело:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200004
- Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Flame, Infraworks, Navisworks, Autodesk AutoCAD
https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002
MS выпустил пачку обновлений под это дело:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200004
22 апреля 2020 года (вчера), в мире маршрутизации BGP произошло нечто, что обычно происходит довольно редко (почти год назад был похожий инцидент). BGP RPKI не спасет когда идет утечка у других по пути маршрута. Протечка Бразильского Tier1 захватило многих - Akamai, Cloudflare, Vodafone, NTT, Amazon, NVIDIA
Причина утечки маршрутов банальна - неправильная конфигурация оборудования
https://radar.qrator.net/blog/as263444-hitting-newsline-again
Причина утечки маршрутов банальна - неправильная конфигурация оборудования
https://radar.qrator.net/blog/as263444-hitting-newsline-again
Экплуатация почти всех известных антивирусов под Windows, Linux, macOS
Тот случай, когда антивирус можно обернуть в обратную сторону. Обмануть антивирус можно путем использования symlink'ов (Linux, macOS) и путем соединения каталогов (directory junctions) в Windows. Со слов авторов этого метода, все просто и тривиально как "два пальца". В статье отметились McAfee, Kasperskyь(KIS))
PoC (описание, видеодемонстрация)
https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
Тот случай, когда антивирус можно обернуть в обратную сторону. Обмануть антивирус можно путем использования symlink'ов (Linux, macOS) и путем соединения каталогов (directory junctions) в Windows. Со слов авторов этого метода, все просто и тривиально как "два пальца". В статье отметились McAfee, Kasperskyь(KIS))
PoC (описание, видеодемонстрация)
https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
RHEL Insight позволяет расширять возможности управления операционными рисками / рисками информационной безопасности
https://www.redhat.com/en/blog/expanding-management-operational-and-security-risks-new-red-hat-insights
https://www.redhat.com/en/blog/expanding-management-operational-and-security-risks-new-red-hat-insights
Пять бесплатных вебинаров на русском языке от AWS
https://pages.awscloud.com/EMEA-field-OE-RUSUACIS-AWSome-Webinars-Week-2020-reg-event.html
https://pages.awscloud.com/EMEA-field-OE-RUSUACIS-AWSome-Webinars-Week-2020-reg-event.html
Запуск вредоносного кода через RDP, обход Windows AppLocker (Application Locker). Во Всем виноват MSTSC (клиент службы терминалов Windows)
В общем и целом - обход контроля безопасности через библиотеку mstscax.dll которую использует mstsc, что в итоге приводит к возможности выполнять вредоносный код в контексте цифровой подписи mstsc
Microsoft отказалась исправлять данную уязвимость, так как по их словам эксплаутация требует привилегий в рамках системы (смеюсь)
Описание + PoC
https://cymulate.com/news/cymulate-discovers-hidden-malware-mstsc/
В общем и целом - обход контроля безопасности через библиотеку mstscax.dll которую использует mstsc, что в итоге приводит к возможности выполнять вредоносный код в контексте цифровой подписи mstsc
Microsoft отказалась исправлять данную уязвимость, так как по их словам эксплаутация требует привилегий в рамках системы (смеюсь)
Описание + PoC
https://cymulate.com/news/cymulate-discovers-hidden-malware-mstsc/
Cymulate
Cymulate Discovers Hidden Malware Defense Evasion Technique
Cymulate discovers hidden malware defense evasion technique using Microsoft Terminal Services Client (MSTSC). Read more about the malware.
Множественные уязвимости в промышленных контроллерах ABB 800xA - RCE, повышение привилегий, доступ к чувствительной информации…
https://applied-risk.com/resources/ar-2020-02
https://applied-risk.com/resources/ar-2020-02
DNV
DNV Cyber
Fedora Workstation как предустановленная система на ноутбуках Lenovo ThinkPad. Скоро.
https://fedoramagazine.org/coming-soon-fedora-on-lenovo-laptops/
https://fedoramagazine.org/coming-soon-fedora-on-lenovo-laptops/
Fedora Magazine
Coming soon: Fedora on Lenovo laptops! - Fedora Magazine
Today, I’m excited to share some big news with you—Fedora Workstation will be available on Lenovo ThinkPad laptops! Yes, I know, many of us already run a Fedora operating system on a Lenovo system, but this is different. You’ll soon be able to get Fedora…
SQL инъекция в Sohpos firewall:
https://community.sophos.com/kb/en-us/135412
+++
Расширенное руководство AWS Security Ramp-up
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
https://community.sophos.com/kb/en-us/135412
+++
Расширенное руководство AWS Security Ramp-up
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Распространение через флешки старо но актуально, новая волна ботнета использует именно этот способ
На флешке размещены вроде бы вполне не опасные файлы - bmp, pdf, lnk… запуская один из файлов, запускается autoit скрипт, который в виде метаданных уже присутсвует в файле в результате чего подгружается модуль написанный на .NET среди кучи мусора в коде моделуль содержит сжатую, зашифрованную dll библиотеку в которой тоже содержится autoit скрипт, который инжектится в полне легитимные Windows процессы vbc.exe (компилятор Visual Basic) или csc.exe (компилятор Visual C#). В результате запускается monero майнинг.
PoC:
https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/
На флешке размещены вроде бы вполне не опасные файлы - bmp, pdf, lnk… запуская один из файлов, запускается autoit скрипт, который в виде метаданных уже присутсвует в файле в результате чего подгружается модуль написанный на .NET среди кучи мусора в коде моделуль содержит сжатую, зашифрованную dll библиотеку в которой тоже содержится autoit скрипт, который инжектится в полне легитимные Windows процессы vbc.exe (компилятор Visual Basic) или csc.exe (компилятор Visual C#). В результате запускается monero майнинг.
PoC:
https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/
Welivesecurity
Following ESET’s discovery, a Monero mining botnet is disrupted
ESET researchers discover, and play a key role in the disruption of, a 35,000-strong botnet spreading in Latin America via compromised USB drives
Кто помнит, в январе в Windows была уязвимость, когда можно было поднять привилегии / выполнить произвольный код в Win32k компонентах ( https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0624 )
Были подвержены:
▪ Windows 10 Version 1903
▪ Windows 10 Version 1909
▪ Windows Server Version 1903 (Core)
PoC for Windows 10 Vulnerability CVE-2020-0624
https://borncity.com/win/2020/04/24/poc-fr-windows-10-schwachstelle-cve-2020-0624/
https://github.com/james0x40/CVE-2020-0624
Были подвержены:
▪ Windows 10 Version 1903
▪ Windows 10 Version 1909
▪ Windows Server Version 1903 (Core)
PoC for Windows 10 Vulnerability CVE-2020-0624
https://borncity.com/win/2020/04/24/poc-fr-windows-10-schwachstelle-cve-2020-0624/
https://github.com/james0x40/CVE-2020-0624
Born's Tech and Windows World
PoC for Windows 10 Vulnerability CVE-2020-0624