Уязвимость GRUB2 BootHole
Суть - обход UEFI Secure Boot. Чревато например использованием нелегитимного ПО в процессах загрузки, это могут быть например руткиты:
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
up
После обновления Grub / Kernel на VPS, несколько серверов упало. Будьте внимательны.
Суть - обход UEFI Secure Boot. Чревато например использованием нелегитимного ПО в процессах загрузки, это могут быть например руткиты:
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
up
После обновления Grub / Kernel на VPS, несколько серверов упало. Будьте внимательны.
Eclypsium | Supply Chain Security for the Modern Enterprise
There's a Hole in the Boot - Eclypsium | Supply Chain Security for the Modern Enterprise
The BootHole vulnerability in the GRUB2 bootloader opens up Windows and Linux devices using Secure Boot to attack. The majority of laptops, desktops, servers and workstations are affected, as well as network appliances and other special purpose equipment
Настраиваем top в GNU/Linux
Оказывается top может конкурировать с htop по внешнему виду:
https://www.cloud4y.ru/about/news/nastraivaem-top-v-gnu-linux/
Оказывается top может конкурировать с htop по внешнему виду:
https://www.cloud4y.ru/about/news/nastraivaem-top-v-gnu-linux/
Trickbot, банковской троян, теперь под Linux, использует DNS, для получения команд, новый порт известен, как Anchor_DNS:
https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30
https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30
Medium
Anchor_dns malware family goes cross platform
The actor’s behind Trickbot, a high profile banking trojan, have recently developed a Linux port of their new DNS command and control tool…
Дайджест новостей за последние дни
• Описание, диагностика, митигация Boot Hole Vulnerability - GRUB 2 boot loader - CVE-2020-10713 от Red Hat
• Уязвимость KDE Arc позволяет при открытии архива перезаписать файлы вне каталога для распаковки - Описание, Фикс
• GNU NANO 5.0 увидел свет - Описание релиза
• HTTP/2 как платформа для новых типов атак - PoC
• Новый systemd - Описание релиза
• Debian 10.5, корректирующее обновление, которое включает фикс GRUB Boot Hole - Описание обновления
• Microsoft Edge, это малварь которая навязывает себя и крадет данные из Google Chrome, частное мнение автора статьи на Zdnet
• Описание, диагностика, митигация Boot Hole Vulnerability - GRUB 2 boot loader - CVE-2020-10713 от Red Hat
• Уязвимость KDE Arc позволяет при открытии архива перезаписать файлы вне каталога для распаковки - Описание, Фикс
• GNU NANO 5.0 увидел свет - Описание релиза
• HTTP/2 как платформа для новых типов атак - PoC
• Новый systemd - Описание релиза
• Debian 10.5, корректирующее обновление, которое включает фикс GRUB Boot Hole - Описание обновления
• Microsoft Edge, это малварь которая навязывает себя и крадет данные из Google Chrome, частное мнение автора статьи на Zdnet
PE Tree - реверс-инжиниринг инструмент с открытым исходным кодом
Инструмент разработан командой BlackBerry Research and Intelligence Team, предназначен для просмотра портативных исполняемых файлов (PE) в древовидном представлении с использованием pefile и PyQt5, интегрируется с декомпилятором HexRays IDA Pro, с целью обеспечить навигацию PE-структур, а также сброс PE-файлов в память и выполнение реконструкции импорта, детали в блоге авторов
Репозиторий GitHub PE Tree:
• https://github.com/blackberry/pe_tree
Репозиторий GitHub pefile:
• https://github.com/erocarrera/pefile
Инструмент разработан командой BlackBerry Research and Intelligence Team, предназначен для просмотра портативных исполняемых файлов (PE) в древовидном представлении с использованием pefile и PyQt5, интегрируется с декомпилятором HexRays IDA Pro, с целью обеспечить навигацию PE-структур, а также сброс PE-файлов в память и выполнение реконструкции импорта, детали в блоге авторов
Репозиторий GitHub PE Tree:
• https://github.com/blackberry/pe_tree
Репозиторий GitHub pefile:
• https://github.com/erocarrera/pefile
Монитор ресурсов - процессор, процессы, память, диски. Работает непосредственно в терминале, во многих дистрибутивах ставится из коробки (например в Fedora -
Репозиторий с описанием и скринами:
https://github.com/aristocratos/bashtop
dnf install bashtop) утилита - огонь.Репозиторий с описанием и скринами:
https://github.com/aristocratos/bashtop
Windows Defender борется с приватностью пользователей
Defender помечает Windows Hosts файл, как зловредный если в нем отключить телеметрию (HostFileHijack), а CCleaner помечает как потенциально-вредоносное ПО - Hosts as malicious, CCleaner as PUP
Августовский набор патчей Android (порядка 50-ти)
Включая серьезные уязвимости удаленного выполнения кода - Android Security Bulletin—August 2020
Уязвимый Newsletter WordPress Plugin
XSS уязвимости в плагине новостей для Wordpress с количеством более 300к установок - Newsletter Plugin Vulnerabilities
Уязвимый еxpress-fileupload NodeJs Plugin
Плагин NodeJs имеющий более 7-ми миллионов установок имеет уязвимости связанные с загрузкой шелла (remote shell), выполнения DoS атак - Express-fileupload Vulnerabilities
Defender помечает Windows Hosts файл, как зловредный если в нем отключить телеметрию (HostFileHijack), а CCleaner помечает как потенциально-вредоносное ПО - Hosts as malicious, CCleaner as PUP
Августовский набор патчей Android (порядка 50-ти)
Включая серьезные уязвимости удаленного выполнения кода - Android Security Bulletin—August 2020
Уязвимый Newsletter WordPress Plugin
XSS уязвимости в плагине новостей для Wordpress с количеством более 300к установок - Newsletter Plugin Vulnerabilities
Уязвимый еxpress-fileupload NodeJs Plugin
Плагин NodeJs имеющий более 7-ми миллионов установок имеет уязвимости связанные с загрузкой шелла (remote shell), выполнения DoS атак - Express-fileupload Vulnerabilities
Курс Junior DevOps от практикующих Dev/DevOps/Ops инженеров
Авторы обещают:
- Возможность посмотреть, как работают боевые инженеры
- Неформальное общение
- Максимум практики + Менторство / Индивидуальный подход + Еженедельные стримы
- Не учить тыкать кнопки, а разобрать до косточек как всё работает
- Брать приложение, "облеплять" его технологиями используя актуальные инструменты
- Приложение "продакшен реди", начиная от мониторинга, CI/CD и заканчивая высокими нагрузками
Цена символическая - 5000₽/мес. Цель - обучить.
Подробнее о курсе https://juneway.pro/
P.S. Детали по курсу можно спросить у авторов, в личке - @Agumilev
Курс Junior DevOps от практикующих Dev/DevOps/Ops инженеров
Авторы обещают:
- Возможность посмотреть, как работают боевые инженеры
- Неформальное общение
- Максимум практики + Менторство / Индивидуальный подход + Еженедельные стримы
- Не учить тыкать кнопки, а разобрать до косточек как всё работает
- Брать приложение, "облеплять" его технологиями используя актуальные инструменты
- Приложение "продакшен реди", начиная от мониторинга, CI/CD и заканчивая высокими нагрузками
Цена символическая - 5000₽/мес. Цель - обучить.
Подробнее о курсе https://juneway.pro/
P.S. Детали по курсу можно спросить у авторов, в личке - @Agumilev
Заражение macOS через макросы в документах
В мире Windows атаки на основе макросов хорошо понятны (и, честно говоря, являются довольно старой новостью). Однако на macOS, хотя такие атаки становятся все более популярными и довольно модными, они получили гораздо меньше внимания со стороны сообщества исследователей информационной безопасности
Во-первых, что такое макрос? Короче говоря, это фрагмент исполняемого кода, который может быть добавлен в документы Microsoft Office (как правило, с целью автоматизации повторяющихся задач)
Анализ, расширенная эксплуатация, примеры и даже побег из песочницы. Собственно PoC:
https://objective-see.com/blog/blog_0x4B.html
В мире Windows атаки на основе макросов хорошо понятны (и, честно говоря, являются довольно старой новостью). Однако на macOS, хотя такие атаки становятся все более популярными и довольно модными, они получили гораздо меньше внимания со стороны сообщества исследователей информационной безопасности
Во-первых, что такое макрос? Короче говоря, это фрагмент исполняемого кода, который может быть добавлен в документы Microsoft Office (как правило, с целью автоматизации повторяющихся задач)
Анализ, расширенная эксплуатация, примеры и даже побег из песочницы. Собственно PoC:
https://objective-see.com/blog/blog_0x4B.html
objective-see.org
Office Drama on macOS
infecting macOS via macro-laden documents and 0days
Фишинг Учетных Данных Netflix
Электронное письмо рассылаемое злоумышленниками, напоминает биллинг-письмо от Netflix. Нажав на ссылку в письме, пройдя брендированную под Netflix капчу пользователь перемещается на сайт-двойник Netflix, целью которого является кража учетных данных для входа в Netflix, адресную информацию и данные кредитной карты
Пошагово, со скриншотами, как это работает:
https://www.armorblox.com/blog/blox-tales-netflix-credential-phishing/
Электронное письмо рассылаемое злоумышленниками, напоминает биллинг-письмо от Netflix. Нажав на ссылку в письме, пройдя брендированную под Netflix капчу пользователь перемещается на сайт-двойник Netflix, целью которого является кража учетных данных для входа в Netflix, адресную информацию и данные кредитной карты
Пошагово, со скриншотами, как это работает:
https://www.armorblox.com/blog/blox-tales-netflix-credential-phishing/
Cisco
Armorblox is now part of Cisco
Furthering the AI-First Security Cloud: Cisco has acquired Armorblox.
DNS over HTTPS (DoH) в Windows
Согласно анонсу эта фича будет доступна из “коробки”
https://blogs.windows.com/windowsexperience/2020/08/05/announcing-windows-10-insider-preview-build-20185/
Что такое DoH
https://ru.wikipedia.org/wiki/DNS_%D0%BF%D0%BE%D0%B2%D0%B5%D1%80%D1%85_HTTPS
Согласно анонсу эта фича будет доступна из “коробки”
https://blogs.windows.com/windowsexperience/2020/08/05/announcing-windows-10-insider-preview-build-20185/
Что такое DoH
https://ru.wikipedia.org/wiki/DNS_%D0%BF%D0%BE%D0%B2%D0%B5%D1%80%D1%85_HTTPS
Windows Insider Blog
Announcing Windows 10 Insider Preview Build 20185
Hello Windows Insiders, today we’re releasing Windows 10 Insider Preview Build 20185 to Windows Insiders in the Dev Channel. What’s new in Build 20185 Improving DNS configuration in Settings We’re making a few changes to the Network section in Settings: Making…
CIS Password Policy Guide 2020-0723.pdf
1.7 MB
Свежий гайд по политикакм паролей от CIS
Forwarded from Sys-Admin Up
Установка / Сборка NGINX + ModSecurity c настройкой OWASP CRS в CentOS Linux
В рамках данного материала соберем ModSecurity как динамический модуль для Nginx, подключим OWASP CRS, запустим и протестируем данную связку.
ModSecurity это Web Application Firewall (WAF) с открытым исходным кодом, который может отрабатывать / блокировать различные web атаки, включая OWASP Top 10.
Агенда
- Установка Nginx
- Сборка ModSecurity
- Сборка ModSecurity-nginx
- Установка / Подключение OWASP CRS
- Тестирование
- Доп. ссылки
https://sys-adm.in/systadm/nix/918-centos-linux-ustanovka-sborka-nginx-modsecurity.html
В рамках данного материала соберем ModSecurity как динамический модуль для Nginx, подключим OWASP CRS, запустим и протестируем данную связку.
ModSecurity это Web Application Firewall (WAF) с открытым исходным кодом, который может отрабатывать / блокировать различные web атаки, включая OWASP Top 10.
Агенда
- Установка Nginx
- Сборка ModSecurity
- Сборка ModSecurity-nginx
- Установка / Подключение OWASP CRS
- Тестирование
- Доп. ссылки
https://sys-adm.in/systadm/nix/918-centos-linux-ustanovka-sborka-nginx-modsecurity.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
KrØØk - еще больше чипов Wi-Fi уязвимы для подслушивания
KrØØk (формально CVE-2019-15126) - это уязвимость в чипах Broadcom и Cypress Wi-Fi, которая позволяет несанкционированно расшифровывать некоторый зашифрованный WPA2 трафик. Использование KrØØk позволяет злоумышленникам перехватывать и расшифровывать (потенциально конфиденциальные) данные.
На сегодня, как оказалось чипы Qualcomm так же оказались уязвимы перед этим типом атаки (CVE-2020–3702). Пилотное тестирование на устройствах D-Link DCH-G020 Smart Home Hub и беспроводном маршрутизаторе Turris Omnia подтверждает этот факт (остальные устройства использующие данные чипы так же подвержены данному типу атаки)
Исследование:
https://www.welivesecurity.com/2020/08/06/beyond-kr00k-even-more-wifi-chips-vulnerable-eavesdropping/
Сценарий (python скрипт для обнаружения KrØØk)
https://github.com/eset/malware-research/tree/master/kr00k
KrØØk (формально CVE-2019-15126) - это уязвимость в чипах Broadcom и Cypress Wi-Fi, которая позволяет несанкционированно расшифровывать некоторый зашифрованный WPA2 трафик. Использование KrØØk позволяет злоумышленникам перехватывать и расшифровывать (потенциально конфиденциальные) данные.
На сегодня, как оказалось чипы Qualcomm так же оказались уязвимы перед этим типом атаки (CVE-2020–3702). Пилотное тестирование на устройствах D-Link DCH-G020 Smart Home Hub и беспроводном маршрутизаторе Turris Omnia подтверждает этот факт (остальные устройства использующие данные чипы так же подвержены данному типу атаки)
Исследование:
https://www.welivesecurity.com/2020/08/06/beyond-kr00k-even-more-wifi-chips-vulnerable-eavesdropping/
Сценарий (python скрипт для обнаружения KrØØk)
https://github.com/eset/malware-research/tree/master/kr00k
WeLiveSecurity
Beyond KrØØk: Even more Wi‑Fi chips vulnerable to eavesdropping
Following their discovery of the KrØØk vulnerability, ESET researchers reveal that variants of the same flaw affect even more Wi-Fi chips than initially thought.
Утечка данных Intel - 20Гб исходных кодов, документации…
Со слов источника (см ниже ссылку) уже в интернете гуляет архив (почти 17Гб), в котором содержатся:
- Intel ME Bringup guides + (flash) tooling + samples for various platforms
- Binaries for Camera drivers Intel made for SpaceX
- Kabylake (Purley Platform) BIOS Reference Code and Sample Code + Initialization code (some of it as exported git repos with full history)
- Intel CEFDK (Consumer Electronics Firmware Development Kit (Bootloader stuff)) SOURCES
- Various Intel Development and Debugging Tools
- Simics Simulation for Rocket Lake S and potentially other platforms
- Various roadmaps and other documents
- Schematics, Docs, Tools + Firmware for the unreleased Tiger Lake platform
- (very horrible) Kabylake FDK training videos
- Intel Trace Hub + decoder files for various Intel ME versions
- Elkhart Lake Silicon Reference and Platform Sample Code
- Some Verilog stuff for various Xeon Platforms, unsure what it is exactly.
- Debug BIOS/TXE builds for various Platforms
- Bootguard SDK (encrypted zip)
- Intel Marketing Material Templates (InDesign)
https://www.theregister.com/2020/08/06/intel_nda_source_code_leak/
P.S. За линку спасибо другу канала ✌️
Со слов источника (см ниже ссылку) уже в интернете гуляет архив (почти 17Гб), в котором содержатся:
- Intel ME Bringup guides + (flash) tooling + samples for various platforms
- Binaries for Camera drivers Intel made for SpaceX
- Kabylake (Purley Platform) BIOS Reference Code and Sample Code + Initialization code (some of it as exported git repos with full history)
- Intel CEFDK (Consumer Electronics Firmware Development Kit (Bootloader stuff)) SOURCES
- Various Intel Development and Debugging Tools
- Simics Simulation for Rocket Lake S and potentially other platforms
- Various roadmaps and other documents
- Schematics, Docs, Tools + Firmware for the unreleased Tiger Lake platform
- (very horrible) Kabylake FDK training videos
- Intel Trace Hub + decoder files for various Intel ME versions
- Elkhart Lake Silicon Reference and Platform Sample Code
- Some Verilog stuff for various Xeon Platforms, unsure what it is exactly.
- Debug BIOS/TXE builds for various Platforms
- Bootguard SDK (encrypted zip)
- Intel Marketing Material Templates (InDesign)
https://www.theregister.com/2020/08/06/intel_nda_source_code_leak/
P.S. За линку спасибо другу канала ✌️
The Register
Intel NDA blueprints – 20GB of source code, schematics, specs, docs – spill onto web from partners-only vault
Leaker only 'a bit concerned' about getting sued
Speculative Dereferencing of Registers:Reviving Foreshadow
https://arxiv.org/abs/2008.02307
https://arxiv.org/abs/2008.02307
Про недавние факапы, баги твиттера даже упоминать здесь не буду. Влияние на голоса, тренды, статы... Складывают не айс подкапотную картину, а с учётом ранних утечек (более миллиарда данных учетных записей пользователей сети в пошлом году вытекло) /багов, думаю уважающие себя люди (уважающие свою безопасность, конфиденциальность и непредвзятость мнения) не будут пользоваться этим УГ (заработок и сбор (скраппинг) инфы на платформе не считается) :)
Forwarded from Sys-Admin Up
Подключение системы сжатия Brotil к Nginx
Замена Gzip? Если нет, то отличное дополнение. Быстрое, эффективное сжатие web-контента:
https://sys-adm.in/systadm/nix/919-sborka-kompressora-brotil-kak-modulya-nginx.html
Замена Gzip? Если нет, то отличное дополнение. Быстрое, эффективное сжатие web-контента:
https://sys-adm.in/systadm/nix/919-sborka-kompressora-brotil-kak-modulya-nginx.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Массовый дефейс reddit
Очередная шляпа у раскачанного сервиса. Ох уж эти вандалы "кричит" сервис, при этом не упоминая своих ИБ специалистов и еже с ними:
https://www.reddit.com/r/ModSupport/comments/i5hhtf/ongoing_incident_with_compromised_mod_accounts/
Очередная шляпа у раскачанного сервиса. Ох уж эти вандалы "кричит" сервис, при этом не упоминая своих ИБ специалистов и еже с ними:
https://www.reddit.com/r/ModSupport/comments/i5hhtf/ongoing_incident_with_compromised_mod_accounts/
Reddit
From the ModSupport community on Reddit: Ongoing incident with compromised mod accounts
Explore this post and more from the ModSupport community
This Crazy 64-Core AMD Threadripper 3990X PC Is The Ultimate Portable Workstation | HotHardware
https://hothardware.com/news/64-core-amd-threadripper-3990x-pc-portable-workstation
https://hothardware.com/news/64-core-amd-threadripper-3990x-pc-portable-workstation
HotHardware
This Crazy 64-Core AMD Threadripper 3990X PC Is The Ultimate Portable Workstation
The 'a-XP' is a portable workstation that packs a Threadripper CPU and other high-end hardware inside a briefcase-style chassis.