A malicious peer could have modified a COOKIE-ECHO chunk in a SCTP packet in a way that potentially resulted in a use-after-free. We presume that with enough effort it could have been exploited to run arbitrary code.Статус critical. Аналогичные проблемы существуют в chrome, egde. Ставим патчи.
https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/
Mozilla
Security Vulnerabilities fixed in Firefox 84.0.2, Firefox for Android 84.1.3, and Firefox ESR 78.6.1
После обновления до Windows 10 версии 20H2 появляются ошибки при доступе к параметрам входа или пользовательской оснастке MMC
В том числе это могут быть автоматические перезагрузки:
Workaround на оф. сайте:
https://support.microsoft.com/en-us/help/4592802/error-when-accessing-the-sign-in-options-or-users-mmc-snap-in
В том числе это могут быть автоматические перезагрузки:
Windows 10, version 20H2, you might receive the error in LSASS.exe with the text "Your PC will automatically restart in one minute"Workaround на оф. сайте:
https://support.microsoft.com/en-us/help/4592802/error-when-accessing-the-sign-in-options-or-users-mmc-snap-in
Microsoft
After updating to Windows 10, version 20H2, you might receive an error when accessing the sign-in options or users MMC snap-in…
Learn about an error with LSASS when accessing dialogs with user accounts
Технический осмотр бэкдоров Kazuar и Sunburst
Включая сравнение указанием факторов сходства между ними
https://securelist.com/sunburst-backdoor-kazuar/99981/
Примечание: эти два бэкдора использовались для взлома SolarWinds
Включая сравнение указанием факторов сходства между ними
https://securelist.com/sunburst-backdoor-kazuar/99981/
Примечание: эти два бэкдора использовались для взлома SolarWinds
Securelist
Sunburst backdoor – code overlaps with Kazuar
While looking at the Sunburst backdoor, we discovered several features that overlap with a previously identified .NET backdoor known as Kazuar.
Появился декриптор для Darkside
Darkside, это облачный ramsomware сервис который направлен на продажу “шифровальных” услуг по корпоративной бизнес-модели (детали можно прочитать здесь - https://www.digitalshadows.com/blog-and-research/darkside-the-new-ransomware-group-behind-highly-targeted-attacks/)
Детали в отношении декриптора:
https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
Darkside, это облачный ramsomware сервис который направлен на продажу “шифровальных” услуг по корпоративной бизнес-модели (детали можно прочитать здесь - https://www.digitalshadows.com/blog-and-research/darkside-the-new-ransomware-group-behind-highly-targeted-attacks/)
Детали в отношении декриптора:
https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/
ReliaQuest
DarkSide: The New Ransomware Group Behind Highly Targeted Attacks
We’ve recently observed the emergence of a new ransomware operation named DarkSide. The nuance of the operation includes corporate-like methods and customized ransomware executables, which have made headlines.
Windows Process Herpaderping
https://jxy-s.github.io/herpaderping/
Method of obscuring the intentions of a process by modifying the content on disk after the image has been mapped. This results in curious behavior by security products and the OS itself.https://jxy-s.github.io/herpaderping/
herpaderping
Process Herpaderping
Detection Evasion Exploit
Sysmon v13.00 - Новый релиз
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Основная фишка релиза - Process tampering detection (детектирование подложных процессов windows)
https://medium.com/falconforce/sysmon-13-process-tampering-detection-820366138a6c
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
Основная фишка релиза - Process tampering detection (детектирование подложных процессов windows)
https://medium.com/falconforce/sysmon-13-process-tampering-detection-820366138a6c
Docs
Sysmon - Sysinternals
Monitors and reports key system activity via the Windows event log.
Microsoft Defender Remote Code Execution Vulnerability
Уязвимость активно эксплуатируется
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
Уязвимость активно эксплуатируется
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
Обход блокировок фильтрации при помощи AWS API
Многие компании используют черные или белые списки IP-адресов для фильтрации чего-либо...
Однако облачные сервисы могут быстро и легко помочь обойти эту защиту
https://medium.com/stage-2-security/aws-api-gateway-fronting-for-command-and-control-45d03dffb24e
Многие компании используют черные или белые списки IP-адресов для фильтрации чего-либо...
Однако облачные сервисы могут быстро и легко помочь обойти эту защиту
https://medium.com/stage-2-security/aws-api-gateway-fronting-for-command-and-control-45d03dffb24e
Medium
AWS API Gateway fronting for Command and Control
Often during pen-testing engagements we run into clients who utilize IP blacklists or IP whitelists to filter outbound communications…
Networking equipment manufacturer Ubiquiti sent out an email to warn users about a possible data breach.https://blog.malwarebytes.com/iot/2021/01/ubiquiti-breach-and-other-iot-security-problems/
Malwarebytes
Ubiquiti breach, and other IoT security problems
Ubiquiti informed their customers about unauthorized access to their online customer portal. What do you need to know about this?
SAP Security Patch Day – January 2021
Набор "саперных" январских патчей, включающих заплатки от внедрения стороннего кода, DoS уязвимостей
https://wiki.scn.sap.com/wiki/plugins/servlet/mobile?contentId=564760476#content/view/564760476
Набор "саперных" январских патчей, включающих заплатки от внедрения стороннего кода, DoS уязвимостей
https://wiki.scn.sap.com/wiki/plugins/servlet/mobile?contentId=564760476#content/view/564760476
FADE DEAD | Adventures in Reversing Malicious Run-Only AppleScripts
macOS malware technical details:
https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applenoscripts/
macOS malware technical details:
https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applenoscripts/
SentinelOne
FADE DEAD | Adventures in Reversing Malicious Run-Only AppleScripts - SentinelLabs
We show how to statically reverse run-only AppleScripts for the first time, and in the process reveal new IoCs of a long-running macOS Cryptominer campaign.
Symbolic link attack in SELinux-enabled sudoedit
https://www.sudo.ws/alerts/sudoedit_selinux.html
Fixed release: https://www.sudo.ws
Security fixes: https://www.openwall.com/lists/oss-security/2021/01/11/2
https://www.sudo.ws/alerts/sudoedit_selinux.html
Fixed release: https://www.sudo.ws
Security fixes: https://www.openwall.com/lists/oss-security/2021/01/11/2
Sudo
Symbolic link attack in SELinux-enabled sudoedit
On systems where SELinux is enabled, sudo’s RBAC support allows a command to be run with a user-specified role and/or type. In order to transition to the target SELinux security context, sudo runs the command through the sesh helper program. When sudo is…
CISA - Злоумышленники нацелены на организации использующие облачные сервисы
Обходят MFA, используют различные техники в виде фишинга, правил перенаправления в почте и тп
В рекоммендациях даётся описание базовых превентивных шагов и описание используемых методов в атаках
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
Ранее на подробную тему было похожее по содержанию уведомление от ФБР:
https://beta.documentcloud.org/documents/20418317-fbi-pin-bc-cyber-criminals-exploit-email-rule-vulerability-11252020
Лишний раз это говорит о том, что:
- нужно быть внимательнее
- проводить awareness
- следовать общим/базовым рекоммендациям по безопасности
Обходят MFA, используют различные техники в виде фишинга, правил перенаправления в почте и тп
В рекоммендациях даётся описание базовых превентивных шагов и описание используемых методов в атаках
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
Ранее на подробную тему было похожее по содержанию уведомление от ФБР:
https://beta.documentcloud.org/documents/20418317-fbi-pin-bc-cyber-criminals-exploit-email-rule-vulerability-11252020
Лишний раз это говорит о том, что:
- нужно быть внимательнее
- проводить awareness
- следовать общим/базовым рекоммендациям по безопасности
Cisco Small Business Routers Management Interface Remote Command Execution and Denial of Service Vulnerabilities (high)https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-overflow-WUnUgv4U
Cisco
Cisco Security Advisory: Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of…
Multiple vulnerabilities in the Universal Plug and Play (UPnP) service and the web-based management interface of Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers could allow a remote attacker to execute arbitrary code or cause an affected device…
Windows 10 bug corrupts your hard drive on seeing this file's icon
https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/
An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/
BleepingComputer
Windows 10 bug corrupts your hard drive on seeing this file's icon
An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.
Making Clouds Rain :: Remote Code Execution in Microsoft Office 365
https://srcincite.io/blog/2021/01/12/making-clouds-rain-rce-in-office-365.html
Спасибо за ссылки другу канала ✌️
https://srcincite.io/blog/2021/01/12/making-clouds-rain-rce-in-office-365.html
Спасибо за ссылки другу канала ✌️
Несколько вредоносных Chrome расширений собирали данные профайлов пользователей Facebook
Официальное уведомление на сайте FB:
https://about.fb.com/news/2021/01/combating-scraping-by-malicious-browser-extensions/
Four of Chrome extensions — Web for Instagram plus DM, Blue Messenger, Emoji keyboard and Green Messenger were malicious and contained hidden computer code that functioned like spyware.Официальное уведомление на сайте FB:
https://about.fb.com/news/2021/01/combating-scraping-by-malicious-browser-extensions/
Meta Newsroom
Combating Scraping by Malicious Browser Extensions
Today we filed a lawsuit against two individuals for violating our Terms of Service and Portugal’s Database Protection Law.
Агентство национальной безопасности СЩА заявило, что DoH не полностью препятствует злоумышленникам видеть трафик пользователя несмотря на то, что его можно использовать для обхода отслеживания классического трафика DNS
https://www.zdnet.com/google-amp/article/nsa-warns-against-using-doh-inside-enterprise-networks/
Кроме того, бесплатные инструменты, выложенные на GitHub, также сделали тривиальным перехват зашифрованных соединений DoH:
https://github.com/Arno0x/DNSExfiltrator
https://www.zdnet.com/google-amp/article/nsa-warns-against-using-doh-inside-enterprise-networks/
Кроме того, бесплатные инструменты, выложенные на GitHub, также сделали тривиальным перехват зашифрованных соединений DoH:
DNSExfiltrator: Data exfiltration over DNS request covert channelhttps://github.com/Arno0x/DNSExfiltrator
Discover Fedora Kinoite: a Silverblue variant with the KDE Plasma desktop
Немного информации о том, что такое Silverblue - это неизменяемый монолит, если на пальцах “слепок” системы в которую можно ставить пакеты из набора Flatpak, при этом Silverblue позволяет обновляться от релиза к релизу, теперь вот эсть KDE Plasma:
https://fedoramagazine.org/discover-fedora-kinoite/
Что такое Flatpak:
https://sys-adm.in/systadm/nix/816-flatpak-chto-eto-i-kak-ego-mozhno-ispolzovat-v-linux.html
Немного информации о том, что такое Silverblue - это неизменяемый монолит, если на пальцах “слепок” системы в которую можно ставить пакеты из набора Flatpak, при этом Silverblue позволяет обновляться от релиза к релизу, теперь вот эсть KDE Plasma:
https://fedoramagazine.org/discover-fedora-kinoite/
Что такое Flatpak:
https://sys-adm.in/systadm/nix/816-flatpak-chto-eto-i-kak-ego-mozhno-ispolzovat-v-linux.html
Fedora Magazine
Discover Fedora Kinoite: a Silverblue variant with the KDE Plasma desktop - Fedora Magazine
Learn about Fedora Kinoite, an in-development rpm-ostree-based operating system featuring the KDE Plasma desktop.