Кейс с форума - Telegram + MikroTik part 2. Управление портами и мониторинг устройств
https://forum.sys-adm.in/t/telegram-mikrotik-part-2-upravlenie-portami-i-monitoring-ustrojstv/7078
https://forum.sys-adm.in/t/telegram-mikrotik-part-2-upravlenie-portami-i-monitoring-ustrojstv/7078
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Множественные уязвимости SAP Adaptive Server Enterprise (ASE)
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/system-takeover-through-new-sap-ase-vulnerabilities/
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/system-takeover-through-new-sap-ase-vulnerabilities/
Trustwave
System Takeover Through New SAP ASE Vulnerabilities
In this part 4 of my blog series, I'll briefly describe an internal API that is widely used to leak kernel information for most of the Windows LPE (Local Privilege Escalation) exploits. We will talk about the function NTQuerySystemInformation.
Эволюция макро-вооружения в Excel
Макросы и офисные продукты являются отличной платформой для проведения атак. Макросы, как оружие - уже не первый год (а именно почти 30 лет уже как используется этот функционал в Excel) доказывают, что это оружие может быть эффективным не только в благих, но и в наступательных и злонамеренных целях
За эти годы произошла целая эволюция в отношении того, как связывать маларь и офисные продукты, Excel в частности
- проверка защищенности среды
- выход из песочницы
- web запросы
- белый шрифт на белом фоне)
- скрытые макро-листы
- вызов внешних сценариев
- использование непечатаемых, ASCII и тп символов
- обращение к реестру Windows
- планировка запуска малвари с проверкой даты
- обфускация
Макросы Excel за всю историю доказали свою эффективность для злоумышленников, историческая подоборка с описаниями и скриншотами:
https://www.lastline.com/labsblog/evolution-of-excel-4-0-macro-weaponization/
Макросы и офисные продукты являются отличной платформой для проведения атак. Макросы, как оружие - уже не первый год (а именно почти 30 лет уже как используется этот функционал в Excel) доказывают, что это оружие может быть эффективным не только в благих, но и в наступательных и злонамеренных целях
За эти годы произошла целая эволюция в отношении того, как связывать маларь и офисные продукты, Excel в частности
- проверка защищенности среды
- выход из песочницы
- web запросы
- белый шрифт на белом фоне)
- скрытые макро-листы
- вызов внешних сценариев
- использование непечатаемых, ASCII и тп символов
- обращение к реестру Windows
- планировка запуска малвари с проверкой даты
- обфускация
Макросы Excel за всю историю доказали свою эффективность для злоумышленников, историческая подоборка с описаниями и скриншотами:
https://www.lastline.com/labsblog/evolution-of-excel-4-0-macro-weaponization/
Cisco выпустила полугодовую публикацию Cisco IOS и IOS XE
Много патчей, порядка ~30-ти при этом из них 90% с приоритетом High
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73388
Много патчей, порядка ~30-ти при этом из них 90% с приоритетом High
https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73388
RIPGREP - аналог GREP, ACK, написан на RUST, быстрый поиск содержимого в файлах с возможностью замены
В репозитории ripgrep есть готовые пакеты под Linux, macOS, Windows
- понимает .gitignore, не следует за символическими ссылками, пропускает бинарные и скрытые файлы, можно использовать регулярные выражения
- быстрый, сотни файлов, в разы быстрее чем аналоги
Быстрое введение в ripgrep, со ссылками на репу, ссылки на сравнительные тесты там же в статье (скорость действительно впечатляет)
https://sys-adm.in/systadm/905-ripgrep-bystryj-umnyj-poisk-soderzhimogo-v-fajlakh-ustanovka-v-linux-macos.html
В репозитории ripgrep есть готовые пакеты под Linux, macOS, Windows
- понимает .gitignore, не следует за символическими ссылками, пропускает бинарные и скрытые файлы, можно использовать регулярные выражения
- быстрый, сотни файлов, в разы быстрее чем аналоги
Быстрое введение в ripgrep, со ссылками на репу, ссылки на сравнительные тесты там же в статье (скорость действительно впечатляет)
https://sys-adm.in/systadm/905-ripgrep-bystryj-umnyj-poisk-soderzhimogo-v-fajlakh-ustanovka-v-linux-macos.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Сетевой трафик. Ntopng, до этого с ним не работал (за ссылку спасибо подписчику ✌️)
Посмотрел, пощупал, годная вещь:
https://sys-adm.in/systadm/906-centos-ustanovka-analizatora-setevogo-trafika-ntopng.html
Посмотрел, пощупал, годная вещь:
https://sys-adm.in/systadm/906-centos-ustanovka-analizatora-setevogo-trafika-ntopng.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Команда Fedora CoreOS выпустила первый тестовый релиз Fedora CoreOS, основанный на Fedora 32
Попутно с этим событием будет организован так называемый тестовый день, где каждый может принять участие совместно с членами сообщества Fedora:
https://fedoramagazine.org/contribute-at-the-fedora-coreos-test-day/
Попутно с этим событием будет организован так называемый тестовый день, где каждый может принять участие совместно с членами сообщества Fedora:
https://fedoramagazine.org/contribute-at-the-fedora-coreos-test-day/
Fedora Magazine
Contribute at the Fedora CoreOS Test Day - Fedora Magazine
The Fedora CoreOS team released the first Fedora CoreOS testing release based on Fedora 32. They expect that this release will promote to the stable channel in two weeks, on the usual schedule. As a result, the Fedora CoreOS and QA teams have organized a…
Если кто то использует Intune и у вас остались Android-устройства с Device Administrator, то у вас время до Q4 2020, прежде чем они превратятся в тыкву
https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935
За ссылку спасибо @zenkyo
https://news.1rj.ru/str/sysadm_in/122198
https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935
За ссылку спасибо @zenkyo
https://news.1rj.ru/str/sysadm_in/122198
TECHCOMMUNITY.MICROSOFT.COM
Decreasing support for Android device administrator | Microsoft Community Hub
Read this post for more information on decreasing support for Android device administrator.
Cloudflare анонсировал свое собственное TV. Пока только музыка, но говорят будут "передачи":
https://blog.cloudflare.com/ladies-and-gentlemen-cloudflare-tv/amp/
Live:
https://cloudflare.tv/live
https://blog.cloudflare.com/ladies-and-gentlemen-cloudflare-tv/amp/
Live:
https://cloudflare.tv/live
SMB Ghost (CVE-2020-0796) RCE - PoC
Уязвимость была обнаружена в марте текущего года и вот появился PoC... Напомню чем чревата данная уязвимость - потенциальный атакующий может использовать эту уязвимость для того, чтобы исполнить произвольный код на стороне SMB-сервера или SMB-клиента. Ну а что такое SMB, надеюсь все помнят: SMB - сетевой протокол для удалённого доступа к файлам, принтерам и прочим сетевым ресурсам, используется в реализации "Сети Microsoft Windows" и "Совместного использования файлов и принтеров", если кто-либо использует эти фичи и до сих пор не пропатчился, то есть очередной повод задуматься над этим)
PoC:
https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/README.md
Маленькое дополнение
Уязвимость была обнаружена в протоколе SMB 3.1.1, который используется во всех последних версиях Windows
Уязвимость была обнаружена в марте текущего года и вот появился PoC... Напомню чем чревата данная уязвимость - потенциальный атакующий может использовать эту уязвимость для того, чтобы исполнить произвольный код на стороне SMB-сервера или SMB-клиента. Ну а что такое SMB, надеюсь все помнят: SMB - сетевой протокол для удалённого доступа к файлам, принтерам и прочим сетевым ресурсам, используется в реализации "Сети Microsoft Windows" и "Совместного использования файлов и принтеров", если кто-либо использует эти фичи и до сих пор не пропатчился, то есть очередной повод задуматься над этим)
PoC:
https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/README.md
Маленькое дополнение
Уязвимость была обнаружена в протоколе SMB 3.1.1, который используется во всех последних версиях Windows
GitHub
SMBGhost_RCE_PoC/README.md at master · chompie1337/SMBGhost_RCE_PoC
Contribute to chompie1337/SMBGhost_RCE_PoC development by creating an account on GitHub.
Linux Kernel Maps
Полезно для общего понимания. Диаграмма, изображающая основные подсистемы ядра Linux и их взаимодействие:
https://makelinux.github.io/kernel/map/
Для кучи - карта средств защиты ядра Linux со ссылкой на тулзу (репозиторий обновляемый несмотря на то, что статья 19ого года) для проверки проверки опций безопасности в конфигурационном файле ядра Linux:
https://www.securitylab.ru/blog/company/pt/346577.php
Полезно для общего понимания. Диаграмма, изображающая основные подсистемы ядра Linux и их взаимодействие:
https://makelinux.github.io/kernel/map/
Для кучи - карта средств защиты ядра Linux со ссылкой на тулзу (репозиторий обновляемый несмотря на то, что статья 19ого года) для проверки проверки опций безопасности в конфигурационном файле ядра Linux:
https://www.securitylab.ru/blog/company/pt/346577.php
SecurityLab.ru
Карта средств защиты ядра Linux
Защита ядра Linux — очень сложная предметная область
Новая уязвимость CallStranger
Уязвимость CallStranger, обнаруженная в миллиардах устройств UPNP, может быть использована для эксфильтрации данных (даже если у вас есть средства защиты, типа DLP), сканирования сети или даже для участия вашей сети в DDoS-атаке:
https://callstranger.com
https://github.com/yunuscadirci/CallStranger
Что такое UPnP
Universal Plug and Play (UPnP) используется для обеспечения автоматического обнаружения устройств в сети и обеспечения взаимодействия с ними. Он предназначен для локального использования в доверенной сети, поскольку отсутствует аутентификация или проверка подлинности.
Уязвимость CallStranger, обнаруженная в миллиардах устройств UPNP, может быть использована для эксфильтрации данных (даже если у вас есть средства защиты, типа DLP), сканирования сети или даже для участия вашей сети в DDoS-атаке:
https://callstranger.com
https://github.com/yunuscadirci/CallStranger
Что такое UPnP
Universal Plug and Play (UPnP) используется для обеспечения автоматического обнаружения устройств в сети и обеспечения взаимодействия с ними. Он предназначен для локального использования в доверенной сети, поскольку отсутствует аутентификация или проверка подлинности.
GitHub
GitHub - yunuscadirci/CallStranger: Vulnerability checker for Callstranger (CVE-2020-12695)
Vulnerability checker for Callstranger (CVE-2020-12695) - yunuscadirci/CallStranger
Опять дырявый Flash, аффектится на Windows, macOS, Linux.
Выполнение произвольного кода. Статус critical:
https://helpx.adobe.com/security/products/flash-player/apsb20-30.html
Выполнение произвольного кода. Статус critical:
https://helpx.adobe.com/security/products/flash-player/apsb20-30.html
Adobe
Free and discontinued products | Support options
Phone and chat support is not available for free or discontinued software or services. Learn what other support resources might be available.
GPO выходит из-под контроля
Механизм групповой политики Windows существует уже много лет, механизм который считается относительно безопасным способом распространения настроек в доменной среде, от принтеров до устройств резервного копирования, настроек операционных систем и тп и тд
Новая атака, которая позволяет обойти средства антивирусной защиты, настроек безопасности систем...
О том, как механизмы по работе с GPO могут нести в себе другой эффект. Детальный разбор:
https://www.cyberark.com/resources/threat-research-blog/group-policies-going-rogue
Механизм групповой политики Windows существует уже много лет, механизм который считается относительно безопасным способом распространения настроек в доменной среде, от принтеров до устройств резервного копирования, настроек операционных систем и тп и тд
Новая атака, которая позволяет обойти средства антивирусной защиты, настроек безопасности систем...
О том, как механизмы по работе с GPO могут нести в себе другой эффект. Детальный разбор:
https://www.cyberark.com/resources/threat-research-blog/group-policies-going-rogue
Cyberark
Group Policies Going Rogue
This blog –part of a year-long research project that uncovered 60 different vulnerabilities across major vendors – discusses a vulnerability in the Windows group policy object (GPO) mechanism....
При изучении уязвимой функции SMBGhost, была обнаружена еще одна уязвимость: SMBleed (CVE-2020-1206).
В сочетании с SMBGhost, который был исправлен три месяца назад, SMBleed позволяет добиться предварительного автоматического удаленного выполнения кода (RCE)
Описание + PoC:
https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/
thx for the link, for subscriber ✌️
В сочетании с SMBGhost, который был исправлен три месяца назад, SMBleed позволяет добиться предварительного автоматического удаленного выполнения кода (RCE)
Описание + PoC:
https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/
thx for the link, for subscriber ✌️
Jamf
Jamf Threat Labs | Blog
Уязвимость выхода за пределы VMWare (ESXi, Workstation Pro / Player, Fusion Pro / Fusion) - CVE-2020-3960
https://www.vmware.com/security/advisories/VMSA-2020-0012.html
Уязвимость повышения привилегий VMWare Horizon Client for Windows - CVE-2020-3961
https://www.vmware.com/security/advisories/VMSA-2020-0013.html
https://www.vmware.com/security/advisories/VMSA-2020-0012.html
Уязвимость повышения привилегий VMWare Horizon Client for Windows - CVE-2020-3961
https://www.vmware.com/security/advisories/VMSA-2020-0013.html
Уязвимость удаленного выполнения кода в Firefox
Созданная специальным образом HTML веб-страница может создать условия для реализации уязвимости. Ясно, что жертва должна посетить вредоносный веб-сайт.
PoC:
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1053
Созданная специальным образом HTML веб-страница может создать условия для реализации уязвимости. Ясно, что жертва должна посетить вредоносный веб-сайт.
PoC:
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1053
Нет предела уязвимостям продуктов MS Office, на сегодня это Excel, SharePoint 2010, 2013, 2016, 2019
Множественные уязвимости, есть даже RCE под версии Excel под Mac, Windows, пачка продуктов Microsoft 365 Apps for Enterprise тоже содержит кучу пюрешек совместно с возможностью удаленно выполнять кода:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1226
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1225
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1321
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1181
Множественные уязвимости, есть даже RCE под версии Excel под Mac, Windows, пачка продуктов Microsoft 365 Apps for Enterprise тоже содержит кучу пюрешек совместно с возможностью удаленно выполнять кода:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1226
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1225
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1321
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1181