#предложка
Ничего необычно, на старой работе системник видеонаблюдения и тяжеленный ибп стояли прям на этом армстронге. Б-безопастность 👨‍🦳

Типичный 🌚 Сисадмин

Microsoft игнорирует 8-летнюю уязвимость в ярлыках, которую используют для шпионажа.

Trend Micro ZDI бьет тревогу: обнаружена масштабнейшая кампания APT-атак, эксплуатирующая уязвимость ZDI-CAN-25373 в файлах-ярлыках Windows (.lnk). Эта брешь позволяет злоумышленникам скрытно выполнять вредоносные команды на машинах жертв, маскируя их в безобидных на вид ярлыках.

Microsoft получила подробный эксплойт (proof-of-concept) от Trend Micro, но реакция "корпорации добра" поражает своей невозмутимостью. Уязвимость классифицирована как... "низкоприоритетная", ведь это всего лишь "проблема отображения в интерфейсе", а не какая-то там security дыра 🏥

Суть уязвимости:

Эксплуатация ZDI-CAN-25373 основана на хитром манипулировании отображением содержимого .lnk файлов. Атакующие создают файлы-ярлыки, в которых поле COMMAND_LINE_ARGUMENTS (куда прописываются аргументы запуска целевого файла) заполняется огромным количеством невидимых символов-разделителей (whitespace characters):

\x20 - Пробел
\x09 - Горизонтальная табуляция
\x0A - Перенос строки
\x0B - Вертикальная табуляция
\x0C - Прогон страницы
\x0D - Возврат каретки

В результате такого замусоривания стандартный интерфейс Windows попросту не может отобразить всю командную строку в поле "Объект". В итоге, вредоносные команды, которые реально будут выполнены при клике на ярлык, остаются скрыты от глаз пользователя.

Из-за этого избыточного "мусора" Windows UI оказывается не в состоянии корректно отобразить все содержимое поля "Объект" (Target) в свойствах ярлыка. Фактические вредоносные команды, которые будут выполнены при запуске ярлыка, оказываются скрытыми от глаз пользователя за пределами видимой области.

Как это работает на практике:

🟢Злоумышленник создает зловредный .lnk файл.
🟢В COMMAND_LINE_ARGUMENTS добавляется "тонна" пробелов/табуляций, за которыми прячется вредоносная команда (например, скачивание и запуск PowerShell-скрипта).
🟢При просмотре свойств ярлыка жертва видит лишь путь к безобидному файлу и длинную полосу пустых символов.
🟢Скрытая магия в конце командной строки остается незамеченной.
🟢При запуске ярлыка Windows честно выполняет всю командную строку, включая скрытый зловредный код.

Интересные технические детали от Trend Micro:

Некоторые особо креативные северокорейские APT-группы (Earth Manticore, Earth Imp) догадались раздувать размер .lnk файлов до 70 МБ!, нашпиговывая их избыточным whitespace и прочим "балластом" для лучшей маскировки 🍔

А использование комбинаций \x0A и \x0D в некоторых случаях приводило к тому, что в свойствах ярлыка в поле "Объект" отображался всего один выделяемый символ, скрывая всю остальную вредоносную начинку.

З.Ы. Теперь при подозрительном ярлыке первым делом выделяйте всю его командную строку – вдруг там прячется "километр" пробелов с сюрпризом.

Будьте бдительны и берегите свои сети💚

Типичный 🥸 Сисадмин

⌨️ Хакеры знают почти половину паролей, введённых в интернете

Анализ Cloudflare показал, что 41% успешных входов на сайты (с защитными механизмами Cloudflare) выполнены с украденными паролями.

Что обнаружил анализ?
• С сентября по ноябрь 2024 года 76% попыток входа с утекшими паролями на сайтах WordPress были успешными.
• Почти половина таких входов осуществлена ботами.

В чем опасность:
• Боты активно используют утёкшие данные из баз вроде Have I Been Pwned для атак credential stuffing.
• 95% попыток входа с утекшими паролями осуществляются ботами.
• CMS-системы, такие как WordPress, Joomla и Drupal, особенно уязвимы из-за стандартных механизмов аутентификации.

А какой у вас самый сложный пароль? 🌚

Типичный 🥸 Сисадмин

Списали. АдминЪ ⚰️

Типичный 🫡 Сисадмин

#предложка
Еще немного списания

Типичный 🫡 Сисадмин

Легенда гласит, что однажды у удаленного работника из-за сильного ветра вылетел ноут прямо из окна 🤔

Пользователь выбежал искать ноут на земле, а увидел следующее, сделав фото висящего ноута.

К счастью, боец выжил и вернулся в строй, отделавшись легким испугом.

Типичный 💨 Сисадмин

В PyPI обнаружены вредоносные пакеты, похищающие облачные токены.

Исследователи ReversingLabs обнаружили вредоносную кампанию в репозитории Python Package Index (PyPI). Злоумышленники загрузили 20 фиктивных библиотек, маскирующихся под утилиты, связанные со временем, но содержащих скрытый функционал для кражи чувствительных данных, включая токены доступа к облачным сервисам.

⚠️ Зараженные пакеты (суммарно более 14 100 загрузок до удаления):

snapshot-photo (2,448)
time-check-server (316)
time-check-server-get (178)
time-server-analysis (144)
time-server-analyzer (74)
time-server-test (155)
time-service-checker (151)
aclient-sdk (120)
acloud-client (5,496)
acloud-clients (198)
acloud-client-uses (294)
alicloud-client (622)
alicloud-client-sdk (206)
amzclients-sdk (100)
awscloud-clients-core (206)
credential-python-sdk (1,155)
enumer-iam (1,254)
tclients-sdk (173)
tcloud-python-sdks (98)
tcloud-python-test (793)

Часть пакетов использовалась для отправки данных на инфраструктуру злоумышленников. Другая группа имитировала облачные клиенты для Alibaba Cloud, Amazon Web Services и Tencent Cloud, но при этом тайно собирала и отправляла облачные секреты.

Любопытный факт: Три пакета (acloud-client, enumer-iam и tcloud-python-test) были указаны как зависимости в относительно популярном GitHub-проекте accesskey_tools (42 форка, 519 звезд), что способствовало их распространению.

Типичный 🎹 Сисадмин

🔥 10 из 10: уязвимость сжигает дата-центры удалённой командой

Обнаружена критическая уязвимость в MegaRAC Baseboard Management Controller (BMC) от AMI. Злоумышленники могут удалённо захватывать контроль над серверами и выводить их из строя.

Что происходит?
• Уязвимость CVE-2024-54085 (CVSS: 10 баллов из 10) позволяет атакующим получить полный контроль над серверами без авторизации.
• Злоумышленники могут загружать вредоносное ПО, модифицировать прошивку, запускать бесконечные перезагрузки и даже физически повреждать оборудование.
• Проблема связана с механизмом удалённого управления Redfish и интерфейсом взаимодействия с BMC.

В чем опасность:
• Более 1000 уязвимых серверов уже подключены к интернету и могут быть атакованы.
• Уязвимость позволяет не только взломать сервер, но и вывести его из строя, манипулируя напряжением.

Что делать?
• Установите обновления, выпущенные AMI, Lenovo и HPE 11 марта.
• Отключите интернет-доступ к MegaRAC BMC.
• Внимательно следите за логами серверов на предмет подозрительной активности.

Типичный 🥸 Сисадмин

Ты просто попробуй по-другому кликнуть. Может, нужно нажать сильнее или медленнее.

Типичный 👨‍🦳 Сисадмин

Мы встретимся снова через... 48 лет 👨‍🦳

Типичный 🥸 Сисадмин

Для достижения наилучших результатов выдайте каждому в офисе по одной идентичной ручке 🎩

Типичный 😬 Сисадмин

С Днем весеннего равноденствия ☀️

Пусть баланс нагрузки на ваши системы будет таким же идеальным, как баланс дня и ночи сегодня. И чтобы баги таяли под весенним солнцем, аптайм стремился к бесконечности, а пользователи вели себя как предсказуемые процессы. За баланс!

Типичный ☀️ Сисадмин