То, что у Sophos (в том числе известен, как антивирус, поставляет решения для киберзащиты) вытекли данные о клиентах, это конечно плохо, но ещё хуже - отсутствие механизмов для отслеживания мисконфигов, как показывает ситуация таким ошибкам подвержены даже компании такого плана.

Со слов Sophos именно благодаря ошибке в конфигурации системы для хранения данных о клиентах, была допущена ошибка конфигурация связанной с доступом к оной системе.

What’s new in Zabbix 5.2 – Zabbix Blog
https://blog.zabbix.com/whats-new-in-zabbix-5-2/12550/

Для 0-day уязвимости Windows 7 / Server 2008 вышел неофициальный микропатч

https://blog.0patch.com/2020/11/0day-in-windows-7-and-server-2008-r2.html

Напомню, что баг кроется в нескольких ключах реестра, изменение данных ключей приводит к возможности выполнения динамических библиотек с уровнем SYSTEM привилегий

 PoC

https://itm4n.github.io/windows-registry-rpceptmapper-eop/

Анонсировано SMB сжатие под Linux

Экономит трафик, увеличивает скорость и тп, в статье приведен график и описание на примере всем изместной утилиты robocopy

https://blocksandfiles.com/2020/11/26/tuxera-smb-compression-linux/

Ув. Подписчик. Спасибо за ссылку ✌️

Drupal core - Critical - Arbitrary PHP code execution

https://www.drupal.org/sa-core-2020-013

CWiCCS (Check Windows and Control Configs and Security) - PowerShell инструмент для проверки и контроля Windows конфигураций

CWiCCS - это аббревиатура от полного названия инструмента - Check Windows and Control Configs and Security. В базовом варианте, это PowerShell инструмент для проверки и контроля Windows конфигураций, в том числе конфигураций связанных с безопасностью ОС.

CWiCCS можно использовать в том числе для поиска мисконфигов в ОС Windows, или как ПО для сканирования GPO Security Options, Passwords / Audit политик АД / Локальных политик на соответствия требованиям ИБ (или собственным требованиям, которые можно определять к кастомных профилях проверки систем). Работает локально и из сетевых шар, может складывать HTML отчеты туда-же в шары.

- Тестировано на Windows 2012 - 2019. PowerShell v5-v6
- Скоро будет вариант под Windows 10 и адаптация под PowerShell v7

https://sys-adm.in/systadm/windows/933-cwiccs-check-windows-and-control-configs-and-security-powershell-instrument-dlya-proverki-i-kontrolya-windows-konfiguratsij.html

Neurax: A library for constructing self-spreading binaries

С помощью Neurax двоичные файлы Golang могут распространяться по локальной сети без использования внешних серверов.

Разнообразные параметры конфигурации и этапы команд позволяют быстро распространяться в различных беспроводных средах.

https://github.com/redcode-labs/Neurax

Getting started with Fedora CoreOS

https://fedoramagazine.org/getting-started-with-fedora-coreos/

После установки новых feature обновлений Windows 10 нередко возникают ошибки, проблемы с производительностью / сбои, которые требуют отката установленных компонент до тех пор, пока ошибки не будут исправлены

По умолчанию Microsoft позволяет пользователям в течение десяти дней удалить установленное обновление Windows 10 и вернуться к предыдущей версии операционной системы, это делается в разделе Recovery:

Start > Settings > Update & Security > Recovery

Этот порог, при помощи CMD можно увеличить до 60 дней:

DISM /Online /Set-OSUninstallWindow /Value:59

https://www.bleepingcomputer.com/news/microsoft/how-to-get-more-time-to-uninstall-windows-10-feature-updates/

New MacOS Backdoor Connected to OceanLotus Surfaces

PoC

https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html

Множественные уязвимости WebKit

Позволяют и удаленное исполнение кода и произвольное исполнение кода и много чего еще

Кто не знает WebKit - это открытый движок для отображения веб-страниц, используется во многих программах и браузерах (например Safari)

https://blog.talosintelligence.com/2020/11/vuln-spotlight-webkit-use-after-free-nov-2020.html

Сайт WebKit

https://webkit.org/

Шестые релизы дистрибутивов. CentOS 6/RHEL 6, Scientific Linux 6 подошли к концу. Oracle Linux 6 будет прекращена поддержка в следующем году

https://www.mail-archive.com/scientific-linux-announce@listserv.fnal.gov/msg00057.html

Oracle ELSP

https://www.oracle.com/a/ocom/docs/elsp-lifetime-069338.pdf

Уязвимости в системе управления конфигурациями SaltStack

Из интересного:
- Внедрение кода/комманд неаутентифицированным пользователем при использовании salt-api через ssh-клиента
- Обход механизмов аутентификации

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

PoC по внедрению команд

https://www.thezdi.com/blog/2020/11/24/detailing-saltstack-salt-command-injection-vulnerabilities

Gootkit banker / Вымогатель-шифровальщик REvil нацелены на жителей Германии

В компании используются скомпрометированные веб-сайты побуждающие посетителей загрузить вредоносное ПО при помощи социальной инженерии

Gootkit - это троян, который собирает нажатия клавиш, делает видеозаписи и тп, предназначен для хищения финансовой информации, что интересно:

- взломанные сайты активно используют SEO технологии (технологии поисковой оптимизации)
- используется безфайловый процесс заражения при помощи скрипта, который содержится внутри загруженного жертвой архива
- инит-скрипт, это js скрипт, обфусцированный в несколько "слоев"
- далее загружается powershell скрипт и запускается в обход политики исполнения PS
- далее происходит деплой малвари

Детальное исследование:

https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/

njRAT - это троян для кражи информации, который использовался в массовых атаках, в результате которых в 2014 году Microsoft закрыла 4 миллиона сайтов 

На сегодня снова обнаружена его активность в npm:

https://blog.sonatype.com/bladabindi-njrat-rat-in-jdb.js-npm-malware

Продолжение истории про Android Go SMS Pro

Проблема в том, что данные приложения (которыми обменивались пользователи) хранились с недостаточной безопасностью, разработчики выпустили обновление, но как оказалось это "полуисправление" не решает проблему, как надо..

К слову сказать приложение было установлено более 100млн раз

Исследование:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-file-theft-part-2/

Docker malware is now common, so devs need to take Docker security seriously

Докер в опасности, снова:

https://www.zdnet.com/google-amp/article/docker-malware-is-now-common-so-devs-need-to-take-docker-security-seriously/

Xanthe - майнер с поддержкой Docker

Атакует "не осекуренные" контейнеры Docker

Что интересно, имеет несколько модулей:

- Модуль скрытия процессов
- Сценарий для отключения других майнеров и служб безопасности
- Сценарий для удаления контейнеров Docker с конкурирующими троянами для майнинга криптовалюты

https://blog.talosintelligence.com/2020/12/xanthe-docker-aware-miner.html?m=1#more

Необходимо помнить - контроль конфигураций, мониторинг - не забывай об этих вещах уважаемый подписчик :)

Удаленная эксплуатация уязвимости повреждения памяти ядра без проверки подлинности, которая приводит к перезагрузке устройств iOS

В случае успешной эксплуатации уязвимости на любом близлежащем устройстве iOS (да “виноват” wifi) возможно кража/просмотр всех пользовательских данных в том числе

Большая статья, много и подробно рассказывается о данной уязвимости и сопутсвующих механизмах связанных с ее эксплуатацией, есть демонстрация работы, уявимость закрыта в iOS 13.5 в мае текущего года:

https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html