Dark mode public beta - GitHub Changelog
https://github.blog/changelog/2020-12-08-dark-mode-public-beta/

Тот случай, когда тестировщиков на проникновение - хакнули.

Оговорка, это не просто тестировщики, это достаточно серьезная, богатая и крупная компания, которая оказывает услуги связанные с кибербезопасностью.

Понятно, что никто не застрахован от атак. Фирма кибербезопасности FireEye сообщила, что она была взломана сторонним государством.

FireEye обслуживает более 8 800 клиентов, включая федеральные правительственные агентства США и достаточно большое количество компаний из списка Forbes Global 2000.

Американская компания заявила, что атакующие ворвались в ее сеть и украли "инструменты красной команды (red team tools)", которые используются компанией по всему миру для тестирования среды своих клиентов.

Однако не было подтверждений кражи информации о клиентах, ответных мерах или данных об угрозах.

Информации о времени взлома пока нет, но похоже, что компания сбрасывала пароли пользователей в течение последних двух недель.

Кевин Мандиа, генеральный директор FireEye, заявил в блоге, что компания недавно подверглась атаке "очень изощренного злоумышленника", который показал высокую организованность, грамотность, дисциплину одной из хакерских групп государства, которое FireEye регулярно отслеживает для своих клиентов.

В заявлении на веб-сайте компании говорится: "В ходе нашего расследования на сегодняшний день мы обнаружили, что злоумышленник нацелился на определенные инструменты оценки Red Team, которые мы используем для проверки безопасности наших клиентов, и получил доступ к ним. Эти инструменты имитируют поведение многих киберугроз и позволяют FireEye предоставлять нашим клиентам необходимые диагностические услуги безопасности. Ни один из инструментов не содержит эксплойтов нулевого дня. В соответствии с нашей целью защитить сообщество, мы активно выпускаем методы и средства для обнаружения использования наших украденных инструментов Red Team"

FireEye сообщила, что они уже внедрили средства контроля в свои продукты безопасности для обнаружения и блокировки использования инструментов красной команды.

https://www.cybersecurityadvice.com.au/news/fireeye-hacked-one-of-the-top-cyber-security-firm-in-the-world

DNS с помощью Oblivious DoH в 1.1.1.1

ODoH - отделяет IP-адреса от запросов, так что ни один объект не может связан одновременно. Более того, будет доступным исходный код, так что любой может попробовать ODoH или запустить свой собственный сервис ODoH

ODoH - это новый протокол, разрабатываемый IETF . ODoH работает, добавляя уровень шифрования с открытым ключом, а также сетевой прокси между клиентами и серверами DoH, (например 1.1.1.1). Комбинация этих двух дополнительных элементов гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к собственному IP-адресу одновременно.

https://blog.cloudflare.com/oblivious-dns

За ссылку/напоминание спасибо подписчику канала ✌️

Обмен информацией об угрозах при помощи STIX и TAXII

STIX - выражение структурированной информации об угрозах - это язык и формат сериализации, используемый для обмена информацией о киберугрозах (CTI). STIX позволяет организациям обмениваться CTI друг с другом согласованным и машиночитаемым способом, позволяя сообществам специалистов по безопасности лучше понимать, какие компьютерные атаки они могут увидеть, и лучше подготовиться к этим атакам и / или отреагировать на них быстрее и эффективнее. STIX разработан для улучшения множества различных возможностей, таких как совместный анализ угроз, автоматический обмен угрозами, автоматическое обнаружение и реагирование и многое другое.

TAXII - доверенный автоматизированный обмен разведывательной информацией - это протокол прикладного уровня для передачи CTI простым и масштабируемым способом по HTTPS. TAXII позволяет организациям совместно использовать CTI, определяя стандартный API, который согласуется с общими моделями совместного использования. TAXII специально разработан для поддержки обмена CTI, представленного в STIX.

Кто контролирует STIX и TAXII - Стандарты STIX и TAXII регулируются техническим комитетом OASIS, комитетом по анализу киберугроз (CTI TC). STIX и TAXII были созданы в 2012 году под эгидой министерства внутренней безопасности США. В июне 2015 года DHS предоставило лицензию на всю интеллектуальную собственность и товарные знаки, связанные с STIX и TAXII, некоммерческому консорциуму OASIS, который способствует развитию, сближению и принятию открытых стандартов для глобального информационного общества. С июня 2015 года CTI TC работает над созданием стандартов STIX и TAXII следующего поколения.

Довольно много полезной информации может быть на тему данного сабжа:

https://oasis-open.github.io/cti-documentation/

После выпуска патчей для OpenSSL, некоторые организации опубликовали алерты на эту тему, как например:
IBM - https://www.ibm.com/blogs/psirt/?s=openssl
Red Hat - https://access.redhat.com/security/cve/cve-2020-1971
Debian - https://security-tracker.debian.org/tracker/CVE-2020-1971
Ubuntu - https://ubuntu.com/security/CVE-2020-1971

Во многих странах (Европы и даже Японии) были выпущены алерты от CERT организаций (странно или наооборот не странно, но постсовок молчит)

OpenSSL Security Advisory:
https://www.openssl.org/news/secadv/20201208.txt

Патчи:
- https://www.openssl.org/source/
- https://www.libressl.org/releases.html

OpenWrt 19.07.5 service release

https://lists.infradead.org/pipermail/openwrt-devel/2020-December/032616.html

18.06.9
https://lists.infradead.org/pipermail/openwrt-devel/2020-December/032615.html

How to Speed Up Apache with Varnish Cache on Ubuntu 18.04

https://www.alibabacloud.com/blog/how-to-speed-up-apache-with-varnish-cache-on-ubuntu-18-04_595878

Microsoft O365 не может блокировать поддельные электронные письма, отправленные с Microsoft.com

https://ironscales.com/blog/Microsoft-O365-Fails-to-Block-Spoofed-Emails/

#краткий_дайджест

Множественные уязвимости в Cisco Jabber для Windows, Jabber для MacOS и Jabber для мобильных платформ

Могут позволить злоумышленнику выполнять произвольные программы в базовой операционной системе (ОС) с повышенными привилегиями или получить доступ к конфиденциальной информации.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO

===

Portable Data exFiltration: XSS for PDFs

PDF-документы и генераторы PDF распространены в Интернете, HTTP-гиперссылка закрепленная внутри PDF-файла может компрометировать содержимое PDF, отправить данные на удаленный сервер, или исполнить JS код

https://portswigger.net/research/portable-data-exfiltration

===

CVE-2020-27897: APPLE MACOS KERNEL OOB WRITE PRIVILEGE ESCALATION VULNERABILITY

https://www.thezdi.com/blog/2020/12/9/cve-2020-27897-apple-macos-kernel-oob-write-privilege-escalation-vulnerability

WPKG - автоматизация развертывания, обновления и удаления ПО для Windows

Можно использовать тихую установку, работу с АД, поддерживает инсталляторы MSI, InstallShield, PackagefortheWeb, Inno Setup, Nullsoft, сценарии (скрипты)

Open Source (прога довольно “старая”), но полагаю админу (и не только) такая тулза должна попасть в закладки

https://wpkg.org/Main_Page

Есть даже web фронт-энд (последний комит в сентябре текущего года) - https://github.com/anklimsk/wpkg-express-2
GP клиент - https://github.com/sonicnkt/wpkg-gp

PoC PsExec - Повышение привилегий

https://github.com/tenable/poc/blob/master/Microsoft/Sysinternals/PsExecEscalate.cpp

Детали:

https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8

About the security content of macOS Big Sur 11.0.1
https://support.apple.com/en-gb/HT211931

Обновленный релиз CWiCCS (Check Windows and Control Configs and Security)

В базовом варианте, это PowerShell инструмент для проверки и контроля Windows конфигураций, в том числе конфигураций связанных с безопасностью ОС.

Из основного, что добавилось:
- Поддержка PowerShell 7. +Теперь проверяет какая версия PS используется
- Добавлена проверка свободного места на HDD
- Добавлена проверка членства в домене. +Определение PDC
- В отчет добавляются только локальные юзеры (не все, если машина в домене)
- Добавлена поддержка Windows 10 (в экспериментальном режиме)
- Добавлена поддержка IE/Edge в HTML отчет

• Репозиторий - https://github.com/m0zgen/cwiccs
• Информация о первом анонсе - https://news.1rj.ru/str/sysadm_in_channel/2476
• О CWiCCS - В МОЕМ БЛОГЕ

WordPress Easy WP SMTP plugin fixed zero-day vulnerability

https://blog.nintechnet.com/wordpress-easy-wp-smtp-plugin-fixed-zero-day-vulnerability/

GitHub - projectdiscovery/proxify: Swiss Army knife Proxy tool for HTTP/HTTPS traffic capture, manipulation and replay
https://github.com/projectdiscovery/proxify

Critical Samsung Android Patches

https://doc.samsungmobile.com/SM-G977B/EVR/doc.html

Linux Kernel 5.10 release info

https://lkml.org/lkml/2020/12/13/290

Switch to OL form CentOS

В дополнение эпопеи с CentOS

"GitHub - oracle/centos2ol: Script and documentation to switch CentOS Linux to Oracle Linux" https://github.com/oracle/centos2ol

Google в дауне. Ну и что, с кем не бывает :D

Взлом мин-в транспорта/финансов США

Официальные шаги по митигации:
https://cyber.dhs.gov/ed/21-01/

Отчёт о взломе:
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

Информация о шпионаже в СМИ
https://www.reuters.com/article/us-usa-cyber-treasury-exclsuive/exclusive-u-s-treasury-breached-by-hackers-backed-by-foreign-government-sources-idUSKBN28N0PG

Apple - патчи в том числе для уязвимостей произвольного выполнения кода для iOS и iPadOS

https://support.apple.com/en-us/HT212003

Следом обновления для macOS

https://support.apple.com/en-us/HT212011