New LibSSH Connection Plugin for Ansible Network Replaces Paramiko, Adds FIPS Mode Enablement
https://www.ansible.com/blog/new-libssh-connection-plugin-for-ansible-network

Сегодня упал AWS Kinesis Data Stream

Кто не знает эту штуку обычно используют для отсылки логов в эластик

У кого этот сервис используется могут испытывать (или испытывали) проблемы, которые в том числе коснулись:
...
ACM, Amplify Console, API Gateway, AppStream2, AppSync, Athena, Cloudformation, Cloudtrail, CloudWatch, Cognito, Connect, DynamoDB, EventBridge, IoT Services, Lambda, LEX, Managed Blockchain, Resource Groups, SageMaker, Support Console, and Workspaces
...
https://status.aws.amazon.com/

"Атака" на ФБР - Многочисленные поддельные интернет-домены ФБР наполнили Интернет

ФБР выпустило официальное заявление в котором сказано, что:

"неустановленные кибер-субъекты регистрировали многочисленные домены, подделывающие веб-сайты ФБР, что указывает на потенциал будущей оперативной деятельности"

Мало того, сюда еще приплюсовываются поддельные email адреса...

Из чего следует достаточно логическое заключение, что будут атаки с целью вредоносных рассылок (фишинг, соц. инженерия), выманивание всевозможных персональных данных.

Интересно, а "местные" органы власти (да и вообще любые крупные холдинги и организации) проводят такие проверки? Ведь это было и есть отличным вектором атаки.. 🤔

https://www.ic3.gov/Media/Y2020/PSA201123#:~:text=The%20FBI%20observed%20unattributed%20cyber,potential%20for%20future%20operational%20activity.&text=Members%20of%20the%20public%20could,%2C%20services%2C%20or%20news%20coverage.

Анонсирован WireGuard 0.3 под Windows / ARM платформы

https://lists.zx2c4.com/pipermail/wireguard/2020-November/006075.html

То, что у Sophos (в том числе известен, как антивирус, поставляет решения для киберзащиты) вытекли данные о клиентах, это конечно плохо, но ещё хуже - отсутствие механизмов для отслеживания мисконфигов, как показывает ситуация таким ошибкам подвержены даже компании такого плана.

Со слов Sophos именно благодаря ошибке в конфигурации системы для хранения данных о клиентах, была допущена ошибка конфигурация связанной с доступом к оной системе.

What’s new in Zabbix 5.2 – Zabbix Blog
https://blog.zabbix.com/whats-new-in-zabbix-5-2/12550/

Для 0-day уязвимости Windows 7 / Server 2008 вышел неофициальный микропатч

https://blog.0patch.com/2020/11/0day-in-windows-7-and-server-2008-r2.html

Напомню, что баг кроется в нескольких ключах реестра, изменение данных ключей приводит к возможности выполнения динамических библиотек с уровнем SYSTEM привилегий

 PoC

https://itm4n.github.io/windows-registry-rpceptmapper-eop/

Анонсировано SMB сжатие под Linux

Экономит трафик, увеличивает скорость и тп, в статье приведен график и описание на примере всем изместной утилиты robocopy

https://blocksandfiles.com/2020/11/26/tuxera-smb-compression-linux/

Ув. Подписчик. Спасибо за ссылку ✌️

Drupal core - Critical - Arbitrary PHP code execution

https://www.drupal.org/sa-core-2020-013

CWiCCS (Check Windows and Control Configs and Security) - PowerShell инструмент для проверки и контроля Windows конфигураций

CWiCCS - это аббревиатура от полного названия инструмента - Check Windows and Control Configs and Security. В базовом варианте, это PowerShell инструмент для проверки и контроля Windows конфигураций, в том числе конфигураций связанных с безопасностью ОС.

CWiCCS можно использовать в том числе для поиска мисконфигов в ОС Windows, или как ПО для сканирования GPO Security Options, Passwords / Audit политик АД / Локальных политик на соответствия требованиям ИБ (или собственным требованиям, которые можно определять к кастомных профилях проверки систем). Работает локально и из сетевых шар, может складывать HTML отчеты туда-же в шары.

- Тестировано на Windows 2012 - 2019. PowerShell v5-v6
- Скоро будет вариант под Windows 10 и адаптация под PowerShell v7

https://sys-adm.in/systadm/windows/933-cwiccs-check-windows-and-control-configs-and-security-powershell-instrument-dlya-proverki-i-kontrolya-windows-konfiguratsij.html

Neurax: A library for constructing self-spreading binaries

С помощью Neurax двоичные файлы Golang могут распространяться по локальной сети без использования внешних серверов.

Разнообразные параметры конфигурации и этапы команд позволяют быстро распространяться в различных беспроводных средах.

https://github.com/redcode-labs/Neurax

Getting started with Fedora CoreOS

https://fedoramagazine.org/getting-started-with-fedora-coreos/

После установки новых feature обновлений Windows 10 нередко возникают ошибки, проблемы с производительностью / сбои, которые требуют отката установленных компонент до тех пор, пока ошибки не будут исправлены

По умолчанию Microsoft позволяет пользователям в течение десяти дней удалить установленное обновление Windows 10 и вернуться к предыдущей версии операционной системы, это делается в разделе Recovery:

Start > Settings > Update & Security > Recovery

Этот порог, при помощи CMD можно увеличить до 60 дней:

DISM /Online /Set-OSUninstallWindow /Value:59

https://www.bleepingcomputer.com/news/microsoft/how-to-get-more-time-to-uninstall-windows-10-feature-updates/

New MacOS Backdoor Connected to OceanLotus Surfaces

PoC

https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html

Множественные уязвимости WebKit

Позволяют и удаленное исполнение кода и произвольное исполнение кода и много чего еще

Кто не знает WebKit - это открытый движок для отображения веб-страниц, используется во многих программах и браузерах (например Safari)

https://blog.talosintelligence.com/2020/11/vuln-spotlight-webkit-use-after-free-nov-2020.html

Сайт WebKit

https://webkit.org/

Шестые релизы дистрибутивов. CentOS 6/RHEL 6, Scientific Linux 6 подошли к концу. Oracle Linux 6 будет прекращена поддержка в следующем году

https://www.mail-archive.com/scientific-linux-announce@listserv.fnal.gov/msg00057.html

Oracle ELSP

https://www.oracle.com/a/ocom/docs/elsp-lifetime-069338.pdf

Уязвимости в системе управления конфигурациями SaltStack

Из интересного:
- Внедрение кода/комманд неаутентифицированным пользователем при использовании salt-api через ssh-клиента
- Обход механизмов аутентификации

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

PoC по внедрению команд

https://www.thezdi.com/blog/2020/11/24/detailing-saltstack-salt-command-injection-vulnerabilities

Gootkit banker / Вымогатель-шифровальщик REvil нацелены на жителей Германии

В компании используются скомпрометированные веб-сайты побуждающие посетителей загрузить вредоносное ПО при помощи социальной инженерии

Gootkit - это троян, который собирает нажатия клавиш, делает видеозаписи и тп, предназначен для хищения финансовой информации, что интересно:

- взломанные сайты активно используют SEO технологии (технологии поисковой оптимизации)
- используется безфайловый процесс заражения при помощи скрипта, который содержится внутри загруженного жертвой архива
- инит-скрипт, это js скрипт, обфусцированный в несколько "слоев"
- далее загружается powershell скрипт и запускается в обход политики исполнения PS
- далее происходит деплой малвари

Детальное исследование:

https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/

njRAT - это троян для кражи информации, который использовался в массовых атаках, в результате которых в 2014 году Microsoft закрыла 4 миллиона сайтов 

На сегодня снова обнаружена его активность в npm:

https://blog.sonatype.com/bladabindi-njrat-rat-in-jdb.js-npm-malware