Masslogger campaigns exfiltrates user credentials
PoC
https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html?m=1
PoC
https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html?m=1
Cisco Talos Blog
Masslogger campaigns exfiltrates user credentials
By Vanja Svajcer.
News summary
* As protection techniques develop, attackers are finding it harder to successfully attack their targets and must find creative ways to succeed.
* Cisco Talos recently discovered a campaign utilizing a variant of the…
News summary
* As protection techniques develop, attackers are finding it harder to successfully attack their targets and must find creative ways to succeed.
* Cisco Talos recently discovered a campaign utilizing a variant of the…
The next Windows 10 Long Term Servicing Channel (LTSC) release
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-next-windows-10-long-term-servicing-channel-ltsc-release/ba-p/2147232
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-next-windows-10-long-term-servicing-channel-ltsc-release/ba-p/2147232
TECHCOMMUNITY.MICROSOFT.COM
The next Windows 10 Long Term Servicing Channel (LTSC) release | Microsoft Community Hub
Find out when the next LTSC release will be available plus when and how LTSC versions are best utilized in an organization.
Обход методов зашиты при помощи сервисов Google с целью хищения данных платежных карт
Несмотря на прошлогоднюю дату, метод все ещё имеет право на жизнь
PoC
https://sansec.io/research/skimming-google-defeats-csp
Несмотря на прошлогоднюю дату, метод все ещё имеет право на жизнь
PoC
https://sansec.io/research/skimming-google-defeats-csp
Sansec
Digital skimmer runs entirely on Google, defeats CSP
New Phishing Attack Identified: Malformed URL Prefixes
Новая фишинговая атака.
Атака не предполагает изменения букв URL-адреса в фишинговых сообщениях, фактически в url адресах ничего не меняется, что позволяет максимально эффективно обходить методы защиты, вместо этого изменяется префикс URL
Все о новом виде фишинговой атаки:
https://www.greathorn.com/blog-new-phishing-attack-identified-malformed-url-prefixes/
Новая фишинговая атака.
Атака не предполагает изменения букв URL-адреса в фишинговых сообщениях, фактически в url адресах ничего не меняется, что позволяет максимально эффективно обходить методы защиты, вместо этого изменяется префикс URL
Все о новом виде фишинговой атаки:
https://www.greathorn.com/blog-new-phishing-attack-identified-malformed-url-prefixes/
GreatHorn
New Phishing Attack Identified: Malformed URL Prefixes - GreatHorn
The GreatHorn Threat Intelligence Team has identified a new email attack trend, where cybercriminals are able to bypass traditional URL defenses to attack end users. Read how phishing attackers are using http:/ in their URL prefix.
Clipping Silver Sparrow’s wings: Outing macOS malware before it takes flight
https://redcanary.com/blog/clipping-silver-sparrows-wings/
https://redcanary.com/blog/clipping-silver-sparrows-wings/
Red Canary
Silver Sparrow macOS malware with M1 compatibility
Silver Sparrow includes a binary compiled to run on Apple’s new M1 chips but lacks one very important feature: a payload
Nodejs - February 2021 Security Releases
The Node.js project will release new versions of all supported release lines on or shortly after Tuesday, February 23th, 2021.
- One Critical severity issue
- One High severity issue
- One Low severity issue
https://nodejs.org/en/blog/vulnerability/february-2021-security-releases/
Ув. Подписчик. Спасибо за ссылку ✌️
The Node.js project will release new versions of all supported release lines on or shortly after Tuesday, February 23th, 2021.
- One Critical severity issue
- One High severity issue
- One Low severity issue
https://nodejs.org/en/blog/vulnerability/february-2021-security-releases/
Ув. Подписчик. Спасибо за ссылку ✌️
nodejs.org
Node.js — February 2021 Security Releases
Node.js® is a JavaScript runtime built on Chrome's V8 JavaScript engine.
VMware ESXi and vCenter Server updates address multiple security vulnerabilities
Уязвимость удаленного выполнения кода (CVSSv3 base score of 9.8)
- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)
Вектор
Злоумышленник с сетевым доступом к порту 443 может использовать уязвимости для выполнения команд с неограниченными привилегиями в базовой операционной системе, на которой размещен vCenter Server
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)
https://kb.vmware.com/s/article/82374
Уязвимость удаленного выполнения кода (CVSSv3 base score of 9.8)
- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)
Вектор
Злоумышленник с сетевым доступом к порту 443 может использовать уязвимости для выполнения команд с неограниченными привилегиями в базовой операционной системе, на которой размещен vCenter Server
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)
https://kb.vmware.com/s/article/82374
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
DUF - Кроссплатформенный инструмент проверки использования дисков
DUF - CLI утилита, поддерживает работу в Linux, BSD, macOS, Windows написан на Go устанавливается / собирается в считанные минуты после чего готов к использованию
Основные возможности
- Понятный, табличный вывод информации
- Вывод регулируется под ширину терминала
- Сортировка вывода по различным критериям
- Вывод данных в JSON
- Поддержка цветовых схем
https://sys-adm.in/systadm/nix/946-duf-krossplatformennyj-instrument-proverki-ispolzovaniya-diskov.html
DUF - CLI утилита, поддерживает работу в Linux, BSD, macOS, Windows написан на Go устанавливается / собирается в считанные минуты после чего готов к использованию
Основные возможности
- Понятный, табличный вывод информации
- Вывод регулируется под ширину терминала
- Сортировка вывода по различным критериям
- Вывод данных в JSON
- Поддержка цветовых схем
https://sys-adm.in/systadm/nix/946-duf-krossplatformennyj-instrument-proverki-ispolzovaniya-diskov.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
creating_active_defense_powershell_framework_improve_security_hygiene.pdf
3.7 MB
Информация от SANS - Creating an Active Defense PowerShell Framework to Improve Security Hygiene and Posture
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
poshcode.gitbook.io
About this Guide | PowerShell Practice and Style
LazyScripter: From Empire to double RAT
https://resources.malwarebytes.com/files/2021/02/LazyScripter.pdf
https://resources.malwarebytes.com/files/2021/02/LazyScripter.pdf
Недавно писал про уязвимости VMware - https://news.1rj.ru/str/sysadm_in_channel/2796
Подъехал PoC для VMware vCenter RCE (CVE-2021-21972):
https://swarm.ptsecurity.com/unauth-rce-vmware/
Подъехал PoC для VMware vCenter RCE (CVE-2021-21972):
https://swarm.ptsecurity.com/unauth-rce-vmware/
Telegram
Sys-Admin InfoSec
VMware ESXi and vCenter Server updates address multiple security vulnerabilities
Уязвимость удаленного выполнения кода (CVSSv3 base score of 9.8)
- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)
Вектор…
Уязвимость удаленного выполнения кода (CVSSv3 base score of 9.8)
- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)
Вектор…
Критические уязвимости Cisco
Cisco ACI Multi-Site Orchestrator Application Services Engine Deployment Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv
Cisco Application Services Engine Unauthorized Access Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-case-mvuln-dYrDPC6w#details
Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3000-9000-fileaction-QtLzDRy2
Cisco ACI Multi-Site Orchestrator Application Services Engine Deployment Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv
Cisco Application Services Engine Unauthorized Access Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-case-mvuln-dYrDPC6w#details
Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3000-9000-fileaction-QtLzDRy2
Cisco
Cisco Security Advisory: Cisco ACI Multi-Site Orchestrator Application Services Engine Deployment Authentication Bypass Vulnerability
A vulnerability in an API endpoint of Cisco ACI Multi-Site Orchestrator (MSO) installed on the Application Services Engine could allow an unauthenticated, remote attacker to bypass authentication on an affected device.
The vulnerability is due to improper…
The vulnerability is due to improper…
Уязвимость Microsoft DirectWrite позволяет выполнить вредоносный код из вредоносного шрифта
Microsoft DirectWrite - это Windows API для высококачественного рендеринга текста. Большая часть его кода находится в библиотеке DWrite.dll, которая используется в качестве растеризатора шрифтов для различных широко используемых настольных программ, таких как Chrome, Firefox и Edge в Windows. Когда эти браузеры отображают глифы из веб-шрифтов, они передают двоичные данные веб-шрифтов в DirectWrite и выполняют их в своих процессах рендеринга. Таким образом, возможность использовать повреждение памяти для выполнения кода представляется удаленному злоумышленнику при условии, что такой злоумышленник успешно направляет пользователя к контенту, который загружает и отображает вредоносный шрифт:
https://bugs.chromium.org/p/project-zero/issues/detail?id=2123
Информация по CVE на сайте вендора - Windows Graphics Component Remote Code Execution Vulnerability (CVE-2021-24093)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24093
Microsoft DirectWrite - это Windows API для высококачественного рендеринга текста. Большая часть его кода находится в библиотеке DWrite.dll, которая используется в качестве растеризатора шрифтов для различных широко используемых настольных программ, таких как Chrome, Firefox и Edge в Windows. Когда эти браузеры отображают глифы из веб-шрифтов, они передают двоичные данные веб-шрифтов в DirectWrite и выполняют их в своих процессах рендеринга. Таким образом, возможность использовать повреждение памяти для выполнения кода представляется удаленному злоумышленнику при условии, что такой злоумышленник успешно направляет пользователя к контенту, который загружает и отображает вредоносный шрифт:
https://bugs.chromium.org/p/project-zero/issues/detail?id=2123
Информация по CVE на сайте вендора - Windows Graphics Component Remote Code Execution Vulnerability (CVE-2021-24093)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24093
Проект экономической безопасности пытается привлечь внимание людей к крупным технологическим монополистам, выпустив плагин для браузера, который будет блокировать любые сайты, которые обращаются к IP-адресам, принадлежащим Google, Facebook, Microsoft или Amazon.
Расширение называется Big Tech Detective , и после использования Интернета в течение дня (или, точнее, попыток и неудач в использовании), получается, что почти невозможно избежать этих компаний на современном пространстве Интернет...
Исследование от TheVerge (ссылка на плагин и страницу проекта плагина там же):
https://www.theverge.com/2021/2/24/22297686/browser-extension-blocks-sites-using-google-facebook-microsoft-amazon
Расширение называется Big Tech Detective , и после использования Интернета в течение дня (или, точнее, попыток и неудач в использовании), получается, что почти невозможно избежать этих компаний на современном пространстве Интернет...
Исследование от TheVerge (ссылка на плагин и страницу проекта плагина там же):
https://www.theverge.com/2021/2/24/22297686/browser-extension-blocks-sites-using-google-facebook-microsoft-amazon
The Verge
This browser extension shows what the Internet would look like without Big Tech
This browser extension blocks most modern websites
LastPass Android app tracking users, says researcher [updated]
Тот случай когда в одном приложении напихано куча треккеров:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPanel
- Segment
https://www.tomsguide.com/news/lastpass-android-app-tracking
Исследование (de)
https://www.kuketz-blog.de/lastpass-android-drittanbieter-ueberwachen-jeden-schritt/
Password manager has seven trackers while rivals have far fewerТот случай когда в одном приложении напихано куча треккеров:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- MixPanel
- Segment
https://www.tomsguide.com/news/lastpass-android-app-tracking
Исследование (de)
https://www.kuketz-blog.de/lastpass-android-drittanbieter-ueberwachen-jeden-schritt/
tom's guide
LastPass Android app tracking users, says researcher [updated]
LastPass does more tracking of its mobile users than any other leading password manager, says a German security researcher. And these trackers can see a lot of what you're doing in the LastPass app.
ICS Advisory (ICSA-21-056-03)
Rockwell Automation Logix Controllers
Exploitable remotely/low skill level to exploit
https://us-cert.cisa.gov/ics/advisories/icsa-21-056-03
P.S. Продукция Rockwell используется как правило в промышленной автоматизации
Rockwell Automation Logix Controllers
Exploitable remotely/low skill level to exploit
https://us-cert.cisa.gov/ics/advisories/icsa-21-056-03
P.S. Продукция Rockwell используется как правило в промышленной автоматизации
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Ghygen is a GitHub actions Yaml Generator
https://github.com/Hi-Folks/gh-actions-yaml-generator/blob/main/README.md
https://github.com/Hi-Folks/gh-actions-yaml-generator/blob/main/README.md
CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack
Эта уязвимость затрагивает только серверы, настроенные на использование GSS-TSIG. GSS-TSIG - это расширение протокола TSIG, которое предназначено для поддержки безопасного обмена ключами с целью проверке подлинности коммуникаций между элементами в сети.
SPNEGO - это механизм согласования, используемый GSSAPI, интерфейсом прикладного протокола для GSS-TSIG. Реализация SPNEGO, используемая BIND, была признана уязвимой для атаки переполнение буфера.
Уязвимость эксплуатируется удаленно, не требует аутентификации, затрагивает версии BIND с 9.11 по 9.16, а так же dev ветку 9.17.
Уязвимость оставалась незамеченной много лет и это очередной раз говорит о том, что нужно внимательно следить за используемым ПО и его модулями в своем окружении.
Информация об уязвимости:
https://kb.isc.org/docs/cve-2020-8625
Эта уязвимость затрагивает только серверы, настроенные на использование GSS-TSIG. GSS-TSIG - это расширение протокола TSIG, которое предназначено для поддержки безопасного обмена ключами с целью проверке подлинности коммуникаций между элементами в сети.
SPNEGO - это механизм согласования, используемый GSSAPI, интерфейсом прикладного протокола для GSS-TSIG. Реализация SPNEGO, используемая BIND, была признана уязвимой для атаки переполнение буфера.
Уязвимость эксплуатируется удаленно, не требует аутентификации, затрагивает версии BIND с 9.11 по 9.16, а так же dev ветку 9.17.
Уязвимость оставалась незамеченной много лет и это очередной раз говорит о том, что нужно внимательно следить за используемым ПО и его модулями в своем окружении.
Информация об уязвимости:
https://kb.isc.org/docs/cve-2020-8625
kb.isc.org
CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negoti
CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack