Экплуатация почти всех известных антивирусов под Windows, Linux, macOS
Тот случай, когда антивирус можно обернуть в обратную сторону. Обмануть антивирус можно путем использования symlink'ов (Linux, macOS) и путем соединения каталогов (directory junctions) в Windows. Со слов авторов этого метода, все просто и тривиально как "два пальца". В статье отметились McAfee, Kasperskyь(KIS))
PoC (описание, видеодемонстрация)
https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
Тот случай, когда антивирус можно обернуть в обратную сторону. Обмануть антивирус можно путем использования symlink'ов (Linux, macOS) и путем соединения каталогов (directory junctions) в Windows. Со слов авторов этого метода, все просто и тривиально как "два пальца". В статье отметились McAfee, Kasperskyь(KIS))
PoC (описание, видеодемонстрация)
https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
RHEL Insight позволяет расширять возможности управления операционными рисками / рисками информационной безопасности
https://www.redhat.com/en/blog/expanding-management-operational-and-security-risks-new-red-hat-insights
https://www.redhat.com/en/blog/expanding-management-operational-and-security-risks-new-red-hat-insights
Пять бесплатных вебинаров на русском языке от AWS
https://pages.awscloud.com/EMEA-field-OE-RUSUACIS-AWSome-Webinars-Week-2020-reg-event.html
https://pages.awscloud.com/EMEA-field-OE-RUSUACIS-AWSome-Webinars-Week-2020-reg-event.html
Запуск вредоносного кода через RDP, обход Windows AppLocker (Application Locker). Во Всем виноват MSTSC (клиент службы терминалов Windows)
В общем и целом - обход контроля безопасности через библиотеку mstscax.dll которую использует mstsc, что в итоге приводит к возможности выполнять вредоносный код в контексте цифровой подписи mstsc
Microsoft отказалась исправлять данную уязвимость, так как по их словам эксплаутация требует привилегий в рамках системы (смеюсь)
Описание + PoC
https://cymulate.com/news/cymulate-discovers-hidden-malware-mstsc/
В общем и целом - обход контроля безопасности через библиотеку mstscax.dll которую использует mstsc, что в итоге приводит к возможности выполнять вредоносный код в контексте цифровой подписи mstsc
Microsoft отказалась исправлять данную уязвимость, так как по их словам эксплаутация требует привилегий в рамках системы (смеюсь)
Описание + PoC
https://cymulate.com/news/cymulate-discovers-hidden-malware-mstsc/
Cymulate
Cymulate Discovers Hidden Malware Defense Evasion Technique
Cymulate discovers hidden malware defense evasion technique using Microsoft Terminal Services Client (MSTSC). Read more about the malware.
Множественные уязвимости в промышленных контроллерах ABB 800xA - RCE, повышение привилегий, доступ к чувствительной информации…
https://applied-risk.com/resources/ar-2020-02
https://applied-risk.com/resources/ar-2020-02
DNV
DNV Cyber
Fedora Workstation как предустановленная система на ноутбуках Lenovo ThinkPad. Скоро.
https://fedoramagazine.org/coming-soon-fedora-on-lenovo-laptops/
https://fedoramagazine.org/coming-soon-fedora-on-lenovo-laptops/
Fedora Magazine
Coming soon: Fedora on Lenovo laptops! - Fedora Magazine
Today, I’m excited to share some big news with you—Fedora Workstation will be available on Lenovo ThinkPad laptops! Yes, I know, many of us already run a Fedora operating system on a Lenovo system, but this is different. You’ll soon be able to get Fedora…
SQL инъекция в Sohpos firewall:
https://community.sophos.com/kb/en-us/135412
+++
Расширенное руководство AWS Security Ramp-up
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
https://community.sophos.com/kb/en-us/135412
+++
Расширенное руководство AWS Security Ramp-up
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Распространение через флешки старо но актуально, новая волна ботнета использует именно этот способ
На флешке размещены вроде бы вполне не опасные файлы - bmp, pdf, lnk… запуская один из файлов, запускается autoit скрипт, который в виде метаданных уже присутсвует в файле в результате чего подгружается модуль написанный на .NET среди кучи мусора в коде моделуль содержит сжатую, зашифрованную dll библиотеку в которой тоже содержится autoit скрипт, который инжектится в полне легитимные Windows процессы vbc.exe (компилятор Visual Basic) или csc.exe (компилятор Visual C#). В результате запускается monero майнинг.
PoC:
https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/
На флешке размещены вроде бы вполне не опасные файлы - bmp, pdf, lnk… запуская один из файлов, запускается autoit скрипт, который в виде метаданных уже присутсвует в файле в результате чего подгружается модуль написанный на .NET среди кучи мусора в коде моделуль содержит сжатую, зашифрованную dll библиотеку в которой тоже содержится autoit скрипт, который инжектится в полне легитимные Windows процессы vbc.exe (компилятор Visual Basic) или csc.exe (компилятор Visual C#). В результате запускается monero майнинг.
PoC:
https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/
Welivesecurity
Following ESET’s discovery, a Monero mining botnet is disrupted
ESET researchers discover, and play a key role in the disruption of, a 35,000-strong botnet spreading in Latin America via compromised USB drives
Кто помнит, в январе в Windows была уязвимость, когда можно было поднять привилегии / выполнить произвольный код в Win32k компонентах ( https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0624 )
Были подвержены:
▪ Windows 10 Version 1903
▪ Windows 10 Version 1909
▪ Windows Server Version 1903 (Core)
PoC for Windows 10 Vulnerability CVE-2020-0624
https://borncity.com/win/2020/04/24/poc-fr-windows-10-schwachstelle-cve-2020-0624/
https://github.com/james0x40/CVE-2020-0624
Были подвержены:
▪ Windows 10 Version 1903
▪ Windows 10 Version 1909
▪ Windows Server Version 1903 (Core)
PoC for Windows 10 Vulnerability CVE-2020-0624
https://borncity.com/win/2020/04/24/poc-fr-windows-10-schwachstelle-cve-2020-0624/
https://github.com/james0x40/CVE-2020-0624
Born's Tech and Windows World
PoC for Windows 10 Vulnerability CVE-2020-0624
CentOS-7.8 (2003) Release Notes
https://wiki.centos.org/Manuals/ReleaseNotes/CentOS7.2003
https://lists.centos.org/pipermail/centos-announce/2020-April/035696.html
Загрузить свежий релиз можно с ближайшего зеркала
http://isoredirect.centos.org/centos/7/isos/x86_64/
https://wiki.centos.org/Manuals/ReleaseNotes/CentOS7.2003
https://lists.centos.org/pipermail/centos-announce/2020-April/035696.html
Загрузить свежий релиз можно с ближайшего зеркала
http://isoredirect.centos.org/centos/7/isos/x86_64/
Как простой gif, может помочь в угоне аккаунта MS Teams
https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/
https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/
Cyberark
Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams
Executive Summary As more and more business is conducted from remote locations, attackers are focusing their efforts on exploiting the key technologies – like Zoom and Microsoft Teams – that...
Hacking Tools Cheat Sheet
https://github.com/CompassSecurity/Hacking_Tools_Cheat_Sheet/blob/master/README.md
https://github.com/CompassSecurity/Hacking_Tools_Cheat_Sheet/blob/master/README.md
GitHub
Hacking_Tools_Cheat_Sheet/README.md at master · CompassSecurity/Hacking_Tools_Cheat_Sheet
Contribute to CompassSecurity/Hacking_Tools_Cheat_Sheet development by creating an account on GitHub.
Чит лист по некоторым инструментам Kali Linux (и не только)
https://github.com/NoorQureshi/kali-linux-cheatsheet/blob/master/README.md
https://github.com/NoorQureshi/kali-linux-cheatsheet/blob/master/README.md
GitHub
kali-linux-cheatsheet/README.md at master · NoorQureshi/kali-linux-cheatsheet
Kali Linux Cheat Sheet for Penetration Testers. Contribute to NoorQureshi/kali-linux-cheatsheet development by creating an account on GitHub.
Новый релиз Burp Suite 2020.4
Что нового:
https://portswigger.net/burp/releases/professional-community-2020-4
Что нового:
https://portswigger.net/burp/releases/professional-community-2020-4
Burp Suite Release Notes
Professional / Community 2020.4
This release mainly provides usability improvements to the HTTP message editor. It also upgrades both Java support and Burp Scanner's embedded browser version. HTTP message editor The HTTP message edi
KB4549951 - удаляет / перемещает файлы, ломает Bluetooth / Wi-Fi, влияет на производительность системы и вызывает даже BSOD
В Microsoft говорят - данные телеметрии (!) показывают что проблем нет, но проблемы высказанные в соц. медиа дают повод для расследования проблем:
https://support.microsoft.com/en-au/help/4549951/windows-10-update-kb4549951
Проблемы кумулятивного обновления (April 14 2020)
https://answers.microsoft.com/en-us/windows/forum/all/cumulative-updates-april-14-2020/32905c44-194c-45cc-8cac-16c38b914534
Возможно у себя или на WSUS'е есть смысл этот апдейт на пока отключить
В Microsoft говорят - данные телеметрии (!) показывают что проблем нет, но проблемы высказанные в соц. медиа дают повод для расследования проблем:
https://support.microsoft.com/en-au/help/4549951/windows-10-update-kb4549951
Проблемы кумулятивного обновления (April 14 2020)
https://answers.microsoft.com/en-us/windows/forum/all/cumulative-updates-april-14-2020/32905c44-194c-45cc-8cac-16c38b914534
Возможно у себя или на WSUS'е есть смысл этот апдейт на пока отключить
Microsoft
April 14, 2020—KB4549951 (OS Builds 18362.778 and 18363.778) - EXPIRED - Microsoft Support
Learn more about update KB4549951, including improvements and fixes, any known issues, and how to get the update.
Интернет Контроль Сервер (ИКС) — интернет-шлюз на базе операционной системы FreeBSD
Отечественная разработка, есть бесплатная редакция на 8 пользователей. Судя по демо, довольно много и гибко можно настраивать доступ в интернет для пользователей, есть предустановленные правила для школ, встроенные антивирусы, фаервол, встроенный модуль IP-телефонии (входящие, исходящие, переадресация), утилита авторизации xauth, fail2ban, отчеты и сбор статистики по активности юзеров и много чего еще 🙂
Есть демо-доступ - https://demo.a-real.ru/#/ (root, 00000)
Документация здесь - https://doc.a-real.ru/doku.php (есть инструкции как установить в виртуальную среду, например VirtualBox, ESXi, Hyper-V)
Полезность для удаленки. Пошаговая настройка VPN и OpenVPN - https://youtu.be/7jXH03Hy7cA
Скачать и протестировать можно здесь
Отечественная разработка, есть бесплатная редакция на 8 пользователей. Судя по демо, довольно много и гибко можно настраивать доступ в интернет для пользователей, есть предустановленные правила для школ, встроенные антивирусы, фаервол, встроенный модуль IP-телефонии (входящие, исходящие, переадресация), утилита авторизации xauth, fail2ban, отчеты и сбор статистики по активности юзеров и много чего еще 🙂
Есть демо-доступ - https://demo.a-real.ru/#/ (root, 00000)
Документация здесь - https://doc.a-real.ru/doku.php (есть инструкции как установить в виртуальную среду, например VirtualBox, ESXi, Hyper-V)
Полезность для удаленки. Пошаговая настройка VPN и OpenVPN - https://youtu.be/7jXH03Hy7cA
Скачать и протестировать можно здесь
Вышел новый Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Для чего он и как может быть полезен в работе системного администратора / специалиста информационной безопасности:
https://m.habr.com/ru/company/microsoft/blog/352692/
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Для чего он и как может быть полезен в работе системного администратора / специалиста информационной безопасности:
https://m.habr.com/ru/company/microsoft/blog/352692/
Docs
Sysmon - Sysinternals
Monitors and reports key system activity via the Windows event log.
Новый релиз Parrot 4.9, дистрибутив для проведения пентестов, альтернатива Kali Linux. В качесте DE используется MATE. В качестве ключевых обновлений:
- Linux 5.5
- Испраления ошибок WIFI / intel GPU
- Включает исправления Debian
- Включает исправления для Anonsurf
- GUI фиксы
Новости релиза:
https://parrotsec.org/blog/parrot-4.9-release-notes/
- Linux 5.5
- Испраления ошибок WIFI / intel GPU
- Включает исправления Debian
- Включает исправления для Anonsurf
- GUI фиксы
Новости релиза:
https://parrotsec.org/blog/parrot-4.9-release-notes/
Произвольное чтение файлов на серверах в результате кривой обработки Markdown, удалённое выполнение кода, возможность получения доступа к конфиденциальным данным в GitLab.
PoC:
https://hackerone.com/reports/827052
PoC:
https://hackerone.com/reports/827052
HackerOne
GitLab disclosed on HackerOne: Arbitrary file read via the...
### Summary
The `UploadsRewriter` does not validate the file name, allowing arbitrary files to be copied via directory traversal when moving an issue to a new project.
The pattern used to look for...
The `UploadsRewriter` does not validate the file name, allowing arbitrary files to be copied via directory traversal when moving an issue to a new project.
The pattern used to look for...
Выход из песочницы Chrome в Windows. Метод использует механизм управления маркерами доступа Windows.
Если кратко, для побега из песочницы необходимо
- получить неограниченный токен
- продублировать его маркер, с целью создать новый основной маркер, сделать его доступным для записи
- вызвать CreateProcessAsUser с новым маркером
- совершить побег из песочницы
Технические детали. PoC:
https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html
Механизм песочницы Chrome работает годами и как это уже в порядке вещей, все сломал хотфикс от Microsoft, они (MS) это признали и выпустили в рамках апрельских обновлений хотфикс для хотфикса:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0981
Между тем, как произошло изменение кода касающегося обработки маркеров остается загадкой "конечно, это не было намеренно, так как Microsoft быстро выпустила исправление для него" отметил исследователь Google Project Zero Джеймс Форшоу
Если кратко, для побега из песочницы необходимо
- получить неограниченный токен
- продублировать его маркер, с целью создать новый основной маркер, сделать его доступным для записи
- вызвать CreateProcessAsUser с новым маркером
- совершить побег из песочницы
Технические детали. PoC:
https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html
Механизм песочницы Chrome работает годами и как это уже в порядке вещей, все сломал хотфикс от Microsoft, они (MS) это признали и выпустили в рамках апрельских обновлений хотфикс для хотфикса:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0981
Между тем, как произошло изменение кода касающегося обработки маркеров остается загадкой "конечно, это не было намеренно, так как Microsoft быстро выпустила исправление для него" отметил исследователь Google Project Zero Джеймс Форшоу
Blogspot
You Won't Believe what this One Line Change Did to the Chrome Sandbox
Posted by James Forshaw, Project Zero The Chromium sandbox on Windows has stood the test of time. It’s considered one of the better sand...