Вышел новый Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Для чего он и как может быть полезен в работе системного администратора / специалиста информационной безопасности:
https://m.habr.com/ru/company/microsoft/blog/352692/
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Для чего он и как может быть полезен в работе системного администратора / специалиста информационной безопасности:
https://m.habr.com/ru/company/microsoft/blog/352692/
Docs
Sysmon - Sysinternals
Monitors and reports key system activity via the Windows event log.
Новый релиз Parrot 4.9, дистрибутив для проведения пентестов, альтернатива Kali Linux. В качесте DE используется MATE. В качестве ключевых обновлений:
- Linux 5.5
- Испраления ошибок WIFI / intel GPU
- Включает исправления Debian
- Включает исправления для Anonsurf
- GUI фиксы
Новости релиза:
https://parrotsec.org/blog/parrot-4.9-release-notes/
- Linux 5.5
- Испраления ошибок WIFI / intel GPU
- Включает исправления Debian
- Включает исправления для Anonsurf
- GUI фиксы
Новости релиза:
https://parrotsec.org/blog/parrot-4.9-release-notes/
Произвольное чтение файлов на серверах в результате кривой обработки Markdown, удалённое выполнение кода, возможность получения доступа к конфиденциальным данным в GitLab.
PoC:
https://hackerone.com/reports/827052
PoC:
https://hackerone.com/reports/827052
HackerOne
GitLab disclosed on HackerOne: Arbitrary file read via the...
### Summary
The `UploadsRewriter` does not validate the file name, allowing arbitrary files to be copied via directory traversal when moving an issue to a new project.
The pattern used to look for...
The `UploadsRewriter` does not validate the file name, allowing arbitrary files to be copied via directory traversal when moving an issue to a new project.
The pattern used to look for...
Выход из песочницы Chrome в Windows. Метод использует механизм управления маркерами доступа Windows.
Если кратко, для побега из песочницы необходимо
- получить неограниченный токен
- продублировать его маркер, с целью создать новый основной маркер, сделать его доступным для записи
- вызвать CreateProcessAsUser с новым маркером
- совершить побег из песочницы
Технические детали. PoC:
https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html
Механизм песочницы Chrome работает годами и как это уже в порядке вещей, все сломал хотфикс от Microsoft, они (MS) это признали и выпустили в рамках апрельских обновлений хотфикс для хотфикса:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0981
Между тем, как произошло изменение кода касающегося обработки маркеров остается загадкой "конечно, это не было намеренно, так как Microsoft быстро выпустила исправление для него" отметил исследователь Google Project Zero Джеймс Форшоу
Если кратко, для побега из песочницы необходимо
- получить неограниченный токен
- продублировать его маркер, с целью создать новый основной маркер, сделать его доступным для записи
- вызвать CreateProcessAsUser с новым маркером
- совершить побег из песочницы
Технические детали. PoC:
https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html
Механизм песочницы Chrome работает годами и как это уже в порядке вещей, все сломал хотфикс от Microsoft, они (MS) это признали и выпустили в рамках апрельских обновлений хотфикс для хотфикса:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0981
Между тем, как произошло изменение кода касающегося обработки маркеров остается загадкой "конечно, это не было намеренно, так как Microsoft быстро выпустила исправление для него" отметил исследователь Google Project Zero Джеймс Форшоу
Blogspot
You Won't Believe what this One Line Change Did to the Chrome Sandbox
Posted by James Forshaw, Project Zero The Chromium sandbox on Windows has stood the test of time. It’s considered one of the better sand...
7 уязвимостей, которые исправлены в новой версии WordPress:
- проблема маркеров (опять маркеры безопасности) сброса пароля
- просмотр сообщений пользователей не аутентифицированными пользователями
- набор XSS уязвимостей
https://www.wordfence.com/blog/2020/04/unpacking-the-7-vulnerabilities-fixed-in-todays-wordpress-5-4-1-security-update/
Новый релиз WordPress вышел пару дней назад (кто не обновился > обновляйтесь), новости релиза
https://wordpress.org/news/2020/04/wordpress-5-4-1/
- проблема маркеров (опять маркеры безопасности) сброса пароля
- просмотр сообщений пользователей не аутентифицированными пользователями
- набор XSS уязвимостей
https://www.wordfence.com/blog/2020/04/unpacking-the-7-vulnerabilities-fixed-in-todays-wordpress-5-4-1-security-update/
Новый релиз WordPress вышел пару дней назад (кто не обновился > обновляйтесь), новости релиза
https://wordpress.org/news/2020/04/wordpress-5-4-1/
Wordfence
Unpacking The 7 Vulnerabilities Fixed in Today's WordPress 5.4.1 Security Update
WordPress Core version 5.4.1 has just been released. Since this release is marked as a combined security and bug fix update, we recommend updating as soon as possible. With that said, most of the security fixes themselves are for vulnerabilities that appear…
EventBot ворует с Android устройств максимально возможный набор информации включая данные банковских карт, платежных приложений, SMS...
Троян EventBot ориентирован на более чем 200 различных финансовых приложений, включающих банковские услуги, услуги по переводу денег, криптовалютные кошельки (Paypal Business , Revolut , Barclays , UniCredit , CapitalOne UK , HSBC UK , Santander UK , TransferWise , Coinbase , paysafecard и многие другие)
Пока ориентирован (пока) на страны Европы, США.
Маскируется под известные приложения (Microsoft Word, Антивирусы, продукты Adobe)
Основные рекомендации по профилактике угроз:
- обновлённый Android / установленные приложения
- включенный Google Play Protect
- не загружайте приложения из неизвестных источников
- анализируйте предоставляемые разрешения для приложений
- если ставите неизвестный APK, проверяйте на VirusTotal
- антивирус или любое анти-малварное решение
https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born
Троян EventBot ориентирован на более чем 200 различных финансовых приложений, включающих банковские услуги, услуги по переводу денег, криптовалютные кошельки (Paypal Business , Revolut , Barclays , UniCredit , CapitalOne UK , HSBC UK , Santander UK , TransferWise , Coinbase , paysafecard и многие другие)
Пока ориентирован (пока) на страны Европы, США.
Маскируется под известные приложения (Microsoft Word, Антивирусы, продукты Adobe)
Основные рекомендации по профилактике угроз:
- обновлённый Android / установленные приложения
- включенный Google Play Protect
- не загружайте приложения из неизвестных источников
- анализируйте предоставляемые разрешения для приложений
- если ставите неизвестный APK, проверяйте на VirusTotal
- антивирус или любое анти-малварное решение
https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born
Cybereason
EventBot: A New Mobile Banking Trojan is Born
The Cybereason Nocturnus team is investigating EventBot, a new type of Android mobile malware. EventBot abuses accessibility features to steal user data from financial applications, read user SMS messages, and steal SMS messages to allow the malware to bypass…
Уязвимости в TP-Link камерах
Набор. Захардкоженные ключи шифрования и не только:
https://seclists.org/fulldisclosure/2020/May/4
https://seclists.org/fulldisclosure/2020/May/2
https://seclists.org/fulldisclosure/2020/May/3
Набор. Захардкоженные ключи шифрования и не только:
https://seclists.org/fulldisclosure/2020/May/4
https://seclists.org/fulldisclosure/2020/May/2
https://seclists.org/fulldisclosure/2020/May/3
seclists.org
Full Disclosure: TP-LINK Cloud Cameras NCXXX SetEncryptKey Command Injection
Топовый инженер и вице-президент AWS Тим Брей уходит с работы, из-за политики Amazon в отношении бастующих рабочих которые топили за поддержку защиты рабочих от коронавируса
Собственно говоря инженер-программист, работавший в Sun Microsystems и Google, уволился из-за всей этой ситуции и собственно главной причиной послужило не этичное отношение Amazon к требованиям своих работников
К слову сказать ЗП у Тима была $1млн+ денег:
https://www.zdnet.com/article/top-aws-engineer-tim-bray-quits-1m-plus-job-over-amazon-firing-employees/
Собственно говоря инженер-программист, работавший в Sun Microsystems и Google, уволился из-за всей этой ситуции и собственно главной причиной послужило не этичное отношение Amazon к требованиям своих работников
К слову сказать ЗП у Тима была $1млн+ денег:
https://www.zdnet.com/article/top-aws-engineer-tim-bray-quits-1m-plus-job-over-amazon-firing-employees/
ZDNET
Top AWS engineer Tim Bray quits $1m-plus job over Amazon firing employees
Tim Bray, an influential software engineer who worked at Sun Microsystems and Google, has quit over fired workers.
Множественные уязвимости в Zyxel CNM SecuManager
Довольно много хардкодинга. Отчет уже отправлен вендору.
Технические детали, что, где и как:
https://pierrekim.github.io/blog/2020-03-09-zyxel-secumanager-0day-vulnerabilities.html
Довольно много хардкодинга. Отчет уже отправлен вендору.
Технические детали, что, где и как:
https://pierrekim.github.io/blog/2020-03-09-zyxel-secumanager-0day-vulnerabilities.html
Уже который раз за сегодня встречаю эту новость. Знаю многие пользуются сервисом GoDaddy (сертификаты, хостинг и тп)
Так вот, порядка 19 миллионов пользователей сервиса пострадали от утечки данных. Не все детали известны, но владельцы сервиса подтверждают сей факт:
https://www.forbes.com/sites/daveywinder/2020/05/05/godaddy-confirms-data-breach-what-19-million-customers-need-to-know/
Так вот, порядка 19 миллионов пользователей сервиса пострадали от утечки данных. Не все детали известны, но владельцы сервиса подтверждают сей факт:
https://www.forbes.com/sites/daveywinder/2020/05/05/godaddy-confirms-data-breach-what-19-million-customers-need-to-know/
Forbes
GoDaddy Confirms Data Breach: What Customers Need To Know
The world's largest domain registrar, GoDaddy, has disclosed a data breach impacting web hosting account credentials.
Intel выпустил Windows патчи для Wireless адаптеров
Всего в апреле было обнаруженно несколько уязвимостей, ключевой особенностью объединяющей уязвимости являлось - возможность позволяющая злоумышленникам выполнять произвольный код на машинах, где были установлены драйвера Intel Wi-Fi Link Driver (для эксплуатации этих уязвимостей не требовалась проверка подлинности)
https://downloadcenter.intel.com/download/29455?v=t
GitHub c PoC
https://github.com/thezdi/PoC/tree/master/CVE-2020-0558
Всего в апреле было обнаруженно несколько уязвимостей, ключевой особенностью объединяющей уязвимости являлось - возможность позволяющая злоумышленникам выполнять произвольный код на машинах, где были установлены драйвера Intel Wi-Fi Link Driver (для эксплуатации этих уязвимостей не требовалась проверка подлинности)
https://downloadcenter.intel.com/download/29455?v=t
GitHub c PoC
https://github.com/thezdi/PoC/tree/master/CVE-2020-0558
GitHub
PoC/CVE-2020-0558 at main · thezdi/PoC
Proofs-of-concept. Contribute to thezdi/PoC development by creating an account on GitHub.
Почти миллион WordPress сайтов. Уязвимости в плагинах. XSS. Подборка и описание того, что, где и как:
- Easy2Map
- Blog Designer
- WP GDPR
- Total Donations
https://www.wordfence.com/blog/2020/05/nearly-a-million-wp-sites-targeted-in-large-scale-attacks/
- Easy2Map
- Blog Designer
- WP GDPR
- Total Donations
https://www.wordfence.com/blog/2020/05/nearly-a-million-wp-sites-targeted-in-large-scale-attacks/
Wordfence
Nearly a Million WP Sites Targeted in Large-Scale Attacks
Our Threat Intelligence Team has been tracking a sudden uptick in attacks targeting Cross-Site Scripting(XSS) vulnerabilities that began on April 28, 2020 and increased over the next few days to approximately 30 times the normal volume we see in our attack…
Проблемы безопасности Citrix ShareFile позволяют злоумышленнику, не прошедшему проверку подлинности потенциально получить доступ к документам и папкам пользователей ShareFile
Патчи + описание от вендора:
https://support.citrix.com/article/CTX269106
Патчи + описание от вендора:
https://support.citrix.com/article/CTX269106
Любителям / Пользователям сторонних (не своих) VPN сервисов посвящается
Критические уязвимости в PrivateVPN и Betternet могут позволить хакерам пушить поддельные обновления и устанавливать вредоносные программы / красть пользовательские данные
https://vpnpro.com/blog/privatevpn-betternet-vulnerabilities/
Критические уязвимости в PrivateVPN и Betternet могут позволить хакерам пушить поддельные обновления и устанавливать вредоносные программы / красть пользовательские данные
https://vpnpro.com/blog/privatevpn-betternet-vulnerabilities/
VPNpro
PrivateVPN and Betternet vulnerabilities allow for fake or malicious updates
PrivateVPN and Betternet have crucial vulnerabilities that allow hackers to push fake updates and install malicious programs or steal user data.
GitHub анонсировал новые фичи, в частности сканирование кода на CVE при каждом push'е. Всего анонсировано 4 фичи (включая сканирование), некоторые еще в бете:
https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
https://github.blog/2020-05-06-new-from-satellite-2020-github-codespaces-github-discussions-securing-code-in-private-repositories-and-more/
The GitHub Blog
New from Satellite 2020: GitHub Discussions, Codespaces, securing code in private repositories, and more
See what we announced at our first virtual GitHub Satellite including a full dev environment on GitHub powered by VS Code, a new way to have discussions with your communities, new ways to secure projects with code scanning and secret scanning, and more.
TinkaOTP для macOS, как вариант доставки RAT. Тот случай, когда 2FA имеет полезную нагрузку 🙂
PoC:
https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/
PoC:
https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/
Samsung Android несколько RCE
Кратко обработчик изображений Skia обрабатывает изображения из таких источников, как электронная почта, месенджеры, MMS сообщения, что в итоге позволяет исполнить вышеозвученный вектор атаки
Форматы файлов обрабатываемые гнусмас библиотекой (skia):
* BMP
* WBMP
* ICO
* PNG
* JPEG
* GIF
* WEBP
* HEIF
* RAW (изместные как DNG, использующие структуру TIFF)
* QM (version 1)
* QG (versions 1.0, 1.1 and 2.0)
* ASTC
* PIO (a variant of PNG)
https://bugs.chromium.org/p/project-zero/issues/detail?id=2002
Кратко обработчик изображений Skia обрабатывает изображения из таких источников, как электронная почта, месенджеры, MMS сообщения, что в итоге позволяет исполнить вышеозвученный вектор атаки
Форматы файлов обрабатываемые гнусмас библиотекой (skia):
* BMP
* WBMP
* ICO
* PNG
* JPEG
* GIF
* WEBP
* HEIF
* RAW (изместные как DNG, использующие структуру TIFF)
* QM (version 1)
* QG (versions 1.0, 1.1 and 2.0)
* ASTC
* PIO (a variant of PNG)
https://bugs.chromium.org/p/project-zero/issues/detail?id=2002
Множественные уязвимости Cisco Firepower, здесь и DoS и path traversal и много чего еще. Приоритет High
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ospf-dos-RhMQY8qx
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE3azWw43
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-dos-qY7BHpjN
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-asa-kerberos-bypass-96Gghe2sS
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-mgcp-SUqB8VKH
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ipv6-67pA658k
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-info-disclose-9eJtycMB
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-tls-dos-4v5nmWtZ
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-N2vQZASR
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-2-sS2h7aWe
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-ospf-dos-RhMQY8qx
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE3azWw43
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-dos-qY7BHpjN
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-asa-kerberos-bypass-96Gghe2sS
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-mgcp-SUqB8VKH
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ipv6-67pA658k
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-info-disclose-9eJtycMB
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-tls-dos-4v5nmWtZ
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-N2vQZASR
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-2-sS2h7aWe
Cisco
Cisco Security Advisory: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Malformed OSPF Packets…
A vulnerability in the Open Shortest Path First (OSPF) implementation of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to cause the reload of an affected…
Samsung выпустил патчи для множества найденных уязвимостей в своих устройствах. Ждём доставки.
https://security.samsungmobile.com/securityUpdate.smsb
https://security.samsungmobile.com/securityUpdate.smsb
D-Link NAS / NVR как часть ботнета
Детальный PoC
https://www.forcepoint.com/blog/x-labs/botnets-nas-nvr-devices
Детальный PoC
https://www.forcepoint.com/blog/x-labs/botnets-nas-nvr-devices
Forcepoint
The Cereals Story - Creating a Botnet During Breakfast
We are proud to provide all the details what we’ve been asked for since presenting our research last December at Botconf 2019. If you own a D-Link NAS or NVR device, care about network security or just being interested in exotic IoT botnets; this one is for…