Бюллетень по безопасности Android - май 2021 г.
Около 40-ка уязвимостей:
https://source.android.com/security/bulletin/2021-05-01
Около 40-ка уязвимостей:
https://source.android.com/security/bulletin/2021-05-01
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Microsoft Exchange From Deserialization to Post-Auth RCE (CVE-2021–28482) | by Jang | Apr, 2021 | Medium
https://testbnull.medium.com/microsoft-exchange-from-deserialization-to-post-auth-rce-cve-2021-28482-e713001d915f
PoC
https://gist.github.com/testanull/9ebbd6830f7a501e35e67f2fcaa57bda
https://testbnull.medium.com/microsoft-exchange-from-deserialization-to-post-auth-rce-cve-2021-28482-e713001d915f
PoC
https://gist.github.com/testanull/9ebbd6830f7a501e35e67f2fcaa57bda
Medium
Microsoft Exchange From Deserialization to Post-Auth RCE (CVE-2021–28482)
Sau sự kiện proxylogon xảy ra vào tháng 3 vừa rồi, có vẻ như đã tiếp một nguồn cảm hứng mới cho các Researcher đã/đang làm về Exchange.
The UNC2529 Triple Double: A Trifecta Phishing Campaign
Фишинговая компания направленная на различные промышленные сектора. Возможен точечный таргетинг:
https://www.fireeye.com/blog/threat-research/2021/05/unc2529-triple-double-trifecta-phishing-campaign.html
Фишинговая компания направленная на различные промышленные сектора. Возможен точечный таргетинг:
https://www.fireeye.com/blog/threat-research/2021/05/unc2529-triple-double-trifecta-phishing-campaign.html
Google Cloud Blog
The UNC2529 Triple Double: A Trifecta Phishing Campaign | Mandiant | Google Cloud Blog
Spectre - возврат с того света
Spectre - это название целого класса уязвимостей, обнаруженных в январе 2018 года
Новое исследование обнаружило атаки Spectre, которые обходят существующие средства защиты
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/05/spectre-attacks-come-back-from-the-dead/
Spectre - это название целого класса уязвимостей, обнаруженных в январе 2018 года
Новое исследование обнаружило атаки Spectre, которые обходят существующие средства защиты
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/05/spectre-attacks-come-back-from-the-dead/
Malwarebytes
Spectre attacks come back from the dead
A team of researchers says it has rendered three years the Spectre defenses useless with new attacks.
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Angle Grinder - Tool to Format and Parse Log Files in Linux
https://linoxide.com/angle-grinder-tool-to-format-and-parse-log-files-on-linux/
Repo:
https://github.com/rcoh/angle-grinder
https://linoxide.com/angle-grinder-tool-to-format-and-parse-log-files-on-linux/
Repo:
https://github.com/rcoh/angle-grinder
linoxide.com
Operation TunnelSnake - Formerly unknown rootkit used to secretly control networks of regional organizations
https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/
https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/
Securelist
Operation TunnelSnake
A newly discovered rootkit 'Moriya' is used by an unknown actor to deploy passive backdoors on public facing servers, facilitating the creation of a covert C&C communication channel.
SolarWinds - опубликовали статью-обновление расследование кибератаки
Точно неизвестно, как и когда был получен доступ к среде SolarWinds, но были выявлены доказательства того, что были точно сокмпроментированы учетные данные, за которыми в течении девяти месяцев (минимум) осуществлялась слежка путем постоянного доступа в используемую среду MS Office 365. В итоге, как известно, был похищен исходный код Orion Platform (и иных программных продуктов, отличных от Orion). Однако, что именно было похищено, авторам статьи - неизвестно.
Ясно, что следили, имели доступ к электронной почте определенного персоонала, манипулировали файлами в течении, как минимум, трех квартальных периодов и никакие меры и методы защиты, включая механизмы o365, этот факт не смогли обнаружить.
https://orangematter.solarwinds.com/2021/05/07/an-investigative-update-of-the-cyberattack/
Точно неизвестно, как и когда был получен доступ к среде SolarWinds, но были выявлены доказательства того, что были точно сокмпроментированы учетные данные, за которыми в течении девяти месяцев (минимум) осуществлялась слежка путем постоянного доступа в используемую среду MS Office 365. В итоге, как известно, был похищен исходный код Orion Platform (и иных программных продуктов, отличных от Orion). Однако, что именно было похищено, авторам статьи - неизвестно.
Ясно, что следили, имели доступ к электронной почте определенного персоонала, манипулировали файлами в течении, как минимум, трех квартальных периодов и никакие меры и методы защиты, включая механизмы o365, этот факт не смогли обнаружить.
https://orangematter.solarwinds.com/2021/05/07/an-investigative-update-of-the-cyberattack/
SolarWinds Blog
An Investigative Update of the Cyberattack - SolarWinds Blog
The recent cyberattacks against SolarWinds, other widely used technology providers, and our respective customers are examples of the ongoing challenges facing the software industry as a whole. It’s clear that nation-state actors are actively working to compromise…
Инструмент с открытым исходным кодом под названием cosign, функционал которого направлен на упрощение управления процессами подписания и проверки образов контейнеров
https://github.com/sigstore/cosign
https://github.com/sigstore/cosign
GitHub
GitHub - sigstore/cosign: Code signing and transparency for containers and binaries
Code signing and transparency for containers and binaries - sigstore/cosign
eBPF on Windows
Что такое eBPF и как использовать - в официальном репозитории от MS
https://github.com/microsoft/ebpf-for-windows
Что такое eBPF и как использовать - в официальном репозитории от MS
https://github.com/microsoft/ebpf-for-windows
GitHub
GitHub - microsoft/ebpf-for-windows: eBPF implementation that runs on top of Windows
eBPF implementation that runs on top of Windows. Contribute to microsoft/ebpf-for-windows development by creating an account on GitHub.
Прелюдия к программе-вымогателю: SystemBC
Очень подробный расклад, от схемы внедрения, до реверса малвари
https://labs.f-secure.com/blog/prelude-to-ransomware-systembc/
Очень подробный расклад, от схемы внедрения, до реверса малвари
https://labs.f-secure.com/blog/prelude-to-ransomware-systembc/
Доступно обновление безопасности для Adobe Acrobat и Reader
Обновления безопасности для Adobe Acrobat и Reader для Windows и macOS. Эти обновления устраняют несколько критических и важных уязвимостей.
Успешная эксплуатация может привести к выполнению произвольного кода в контексте текущего пользователя.
https://helpx.adobe.com/security/products/acrobat/apsb21-29.html
Обновления безопасности для Adobe Acrobat и Reader для Windows и macOS. Эти обновления устраняют несколько критических и важных уязвимостей.
Успешная эксплуатация может привести к выполнению произвольного кода в контексте текущего пользователя.
https://helpx.adobe.com/security/products/acrobat/apsb21-29.html
Adobe
Adobe Security Bulletin
Security update available for Adobe Acrobat and Reader | APSB21-29
May 2021 Security Updates
Несколько заплаток для серьезных уязвимостей, в том числе, которые могут привести к удалённому выполнению кода
https://msrc.microsoft.com/update-guide/releaseNote/2021-May
Несколько заплаток для серьезных уязвимостей, в том числе, которые могут привести к удалённому выполнению кода
https://msrc.microsoft.com/update-guide/releaseNote/2021-May
egress-outbound-email-microsoft-365-s-security-blind-spot.pdf
2.9 MB
Исходящая электронная почта: слепое пятно безопасности Microsoft 365 - отчёт Edress
Security probe of Qualcomm MSM data services - Check Point Research
https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/
https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/
Check Point Research
Security probe of Qualcomm MSM data services - Check Point Research
Research By: Slava Makkaveev Introduction Mobile Station Modem (MSM) is an ongoing series of a 2G/3G/4G/5G-capable system on chips (SoC) designed by Qualcomm starting in the early 1990s. MSM has always been and will be a popular target for security research…
FiveHands Ransomware | CISA
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-126a
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-126a
The Need to Protect Public AWS SSM Documents - What the Research Shows - Check Point Research
https://research.checkpoint.com/2021/the-need-to-protect-public-aws-ssm-documents-what-the-research-shows/
https://research.checkpoint.com/2021/the-need-to-protect-public-aws-ssm-documents-what-the-research-shows/
Check Point Research
The Need to Protect Public AWS SSM Documents - What the Research Shows - Check Point Research
AWS Systems Manager automates operational tasks across AWS resources by creating SSM documents. The SSM documents, created in JSON or YAML, contain the operations that an AWS Systems Manager will perform on the cloud assets. By default, SSM documents are…
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Журналирование BOOT процесса уровня DEBUG в CentOS / Fedora
https://sys-adm.in/89-os/957-zhurnalirovanie-boot-protsessa-urovnya-debug.html
https://sys-adm.in/89-os/957-zhurnalirovanie-boot-protsessa-urovnya-debug.html
lab.sys-adm.in
Sys-Admin Laboratory
Open Sys-Admin BLD DNS - Focus on information for free with adblocking and implicit cybersecurity threat prevention.
Send My - Произвольная передача данных через Apple Find My
- https://github.com/positive-security/send-my
- https://positive.security/blog/send-my
- https://blog.malwarebytes.com/reports/2021/05/using-iphones-and-airtags-to-sneak-data-out-of-air-gapped-networks/
- https://github.com/positive-security/send-my
- https://positive.security/blog/send-my
- https://blog.malwarebytes.com/reports/2021/05/using-iphones-and-airtags-to-sneak-data-out-of-air-gapped-networks/
GitHub
GitHub - positive-security/send-my: Upload arbitrary data via Apple's Find My network.
Upload arbitrary data via Apple's Find My network. - positive-security/send-my
Веб-скимминг продолжает представлять реальную угрозу для онлайн-продавцов и покупателей.
С точки зрения безопасности, многие магазины связанные с электронной коммерцией остаются уязвимыми, потому что они годами не обновляли ПО для управления контентом (CMS). Рассматриваемая в статье компания, котрая посвящена ряду веб-сайтов Magento 1, которые в свою очередь были скомпрометированы активной группой скиммеров.
Что интересно - в компании использовался вреднос замаскированый под фавикон, файл с именем Magento.png пытающийся представить себя как 'image/png', но не имеет правильного формата PNG содержа в себе PHP веб-шелл... Исследование данной компании в деталях:
https://blog.malwarebytes.com/cybercrime/2021/05/newly-observed-php-based-skimmer-shows-ongoing-magecart-group-12-activity/
С точки зрения безопасности, многие магазины связанные с электронной коммерцией остаются уязвимыми, потому что они годами не обновляли ПО для управления контентом (CMS). Рассматриваемая в статье компания, котрая посвящена ряду веб-сайтов Magento 1, которые в свою очередь были скомпрометированы активной группой скиммеров.
Что интересно - в компании использовался вреднос замаскированый под фавикон, файл с именем Magento.png пытающийся представить себя как 'image/png', но не имеет правильного формата PNG содержа в себе PHP веб-шелл... Исследование данной компании в деталях:
https://blog.malwarebytes.com/cybercrime/2021/05/newly-observed-php-based-skimmer-shows-ongoing-magecart-group-12-activity/
Malwarebytes
Newly observed PHP-based skimmer shows ongoing Magecart Group 12 activity
This blog post was authored by Jérôme Segura Web skimming continues to be a real and impactful threat to online merchants...
**
- https://www.openwall.com/lists/oss-security/2021/05/11/11
- https://www.opennet.ru/opennews/art.shtml?num=55150
CVE-2021-3490 - Linux kernel eBPF bitwise ops ALU32 bounds tracking**- https://www.openwall.com/lists/oss-security/2021/05/11/11
- https://www.opennet.ru/opennews/art.shtml?num=55150
www.opennet.ru
Уязвимости в подсистеме eBPF, позволяющие выполнить код на уровне ядра Linux
Выявлены две новые уязвимости в подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT. Обе уязвимость дают возможность выполнить свой код с правами ядра, вне изолированной виртуальной машины eBPF. Информацию…