⁠
Краткий дайджест новостей

HEH - Новый ботнет нацеленный на IoT
• Написан на Go, содержит несколько функциональных модулей - P2P, HTTP-сервис, модуль распространения, что в итоге тушит ряд сервисов на конечных устройствах, запускает свой сервис с которым могут коммуницировать другие участники ботнет-сети - детали (от первого лица)...

Обход аутентификации маршрутизатора D-Link
• Детальная анатомия процесса аутентификации протокола HNAP - детали (от первого лица)...

Kraken атака, использует службу отчетов об ошибках Windows (WER) для обхода механизмов защиты
• Механика - вредоносный word документ (присланный например по почте) выполняет макрос, что в итоге приводит к инжекту в WER (WerFault.exe). PoC - детали (от первого лица)...
⁠

Порядка ~50ти уязвимостей Андроид

Октябрьский бюллетень безопасности:

https://source.android.com/security/bulletin/2020-10-01.html

Azure DevOps - несколько часов дауна

Не работали пайплайны и много чего еще:

https://build5nines.com/azure-devops-down-outage-microsoft-not-your-cicd-builds-october-6-2020/

Отчет об угрозах в облачных средах и в частности мисконфигах Amazon IAM - как работает, как может быть эксплуатирован злоумышленниками и тп

Emotet Malware | CISA
https://us-cert.cisa.gov/ncas/alerts/aa20-280a

SUDO_KILLER - инструмент, который можно использовать для повышения привилегий в среде linux, злоупотребляя некоторыми способами SUDO.

Инструмент помогает идентифицировать неправильную конфигурацию в правилах sudo, уязвимость в используемой версии sudo (CVE, vulns) и использование опасных двоичных файлов, все что может быть использовано для повышения привилегий до root’a

Так же SUDO_KILLER предоставляет список команд или локальных эксплойтов, которые могут быть использованы для повышения привилегий. Стоит отметить, что инструмент не выполняет никакой эксплуатации

Демонстрации, как работает, описание, все здесь:

https://github.com/TH3xACE/SUDO_KILLER

up

В довесок:
https://github.com/cervoise/linuxprivcheck

Open Source IdM, сокращённо от Identity Management

Управление доступом, учетными записями, ролями, оказывается есть такой класс open source решений, которые могут обеспечить (согласно представленной документации по ссылке ниже) весь жизненный цикл связанный с управлением идентификаторами:

https://syncope.apache.org/

Для справки, коммерческие решения такого класса стоят достаточно серьезных денег, есть такие, которые "просят" за 100 пользователей порядка ~$10к...

Уязвимости Microsoft Azure

Первая уязвимость позволяет злоумышленнику, имеющему доступ к серверу, захватить репозиторий git службы приложений и внедрить фишинговые страницы, доступные через портал Azure.

Вторая уязвимость позволяет злоумышленнику с существующей уязвимостью SSRF перейти на полное выполнение кода в службе приложений и вызвать первую уязвимость.

Видео, детали эксплуатации:

https://www.intezer.com/blog/cloud-security/kud-i-enter-your-server-new-vulnerabilities-in-microsoft-azure/

Удалённое выполнение кода, возможность DoS (Cisco, High)

Cisco Video Surveillance Series IP Cameras Discovery protocol

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cdp-rcedos-mAHR8vNx

Home Firewall: PC Engines APU2 E2 pfSense and OPNsense build, courtesy of LinITX – extricate.org
https://extricate.org/2020/05/10/home-firewall-pc-engines-apu2-e2-pfsense-and-opnsense-build-courtesy-of-linitx/

AWS Cheatsheet - DEV
https://dev.to/harshaambati/aws-cheatsheet-2f0k

Уязвимости онлайн сервисов Apple

Порядка 50+ уязвимостей из них порядка ~10 критических. Команда исследователей в течении нескольких месяцев исследовала сервисы Apple в итоге заработала денег и описала длиннющий и достаточно подробный PoC (от первого лица)

https://samcurry.net/hacking-apple/

Угнать Facebook в один клик

Да проще простого, описание с картинками:

https://medium.com/@initinpandey/how-a-single-click-can-give-your-facebook-page-admin-access-to-anyone-5f4d58153b57

Статический анализатор кода для облачных сред “инфраструткура как код”

Построенных при помощи различных инструментов (см далее по тексту). Сканирует облачную инфраструктуру, подготовленную с использованием шаблонов Terraform, Cloudformation, Kubernetes, Serverless или ARM, и обнаруживает неправильные конфигурации безопасности и соответствия требованиям:

https://github.com/bridgecrewio/checkov/

Анатомия Ryuk атаки (вымогатель)

Почти за сутки - от получения письма до полного захвата инфраструктуры. Детальный разбор полетов:

https://thedfirreport.com/2020/10/08/ryuks-return/

pfSense vs OPNsense
https://teklager.se/en/pfsense-vs-opnsense/

Недавно был опрос от Zyxel, розыгрыш призов они ведут прямо сейчас в реалтайме (есть запись по этой же ссылке), кто принимал участие в опросе, за призами можно идти сюда - https://youtu.be/Rlq3hD-l0Xs

что разыгрывается:
- точку доступа WiFi
- отличный рюкзак
- стильный аккумулятор для мобильной техники

Porteus Kiosk - бесплатная, легкая (образ весит ~60Mb) универсальная система на базе Linux

Можно использовать для отображения информации, баннеров, так же использовать как интернет-киоск, в общедоступных веб-терминалах, школах, кафе, отелях и тп

Позволяет использовать только браузер, предотвращает вмешательство пользователей в настройки, установку, загрузку софта. После предварительной настройки и загрузки системы киоск открывает браузер (Firefox или Chrome) с указанной страницей. Собственно суть системы - сказал, настроил "запечатал" и забыл:

https://porteus-kiosk.org/index.html

Adobe - новые патчи для Flash Player (critical)

Аффект - Windows, macOS and Linux. Произвольное выполнение кода из-под контекста пользователя:

https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

Уязвимость Windows TCP/IP Remote Code Execution

Уязвимость удаленного выполнения кода возникает, когда стек Windows TCP / IP неправильно обрабатывает пакеты ICMPv6. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить возможность выполнять код на целевом сервере или клиенте.

Чтобы воспользоваться этой уязвимостью, злоумышленник должен отправить специально созданные пакеты ICMPv6 на удаленный компьютер Windows.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

Спасибо за ссылку другу канала ✌️

Проблемы Windows и драйверов

Обычное дело. Описание актуальных проблем с драйверами и возможностью их решения:

https://docs.microsoft.com/en-us/windows/release-information/resolved-issues-windows-10-2004#1492msgdesc