#news Microsoft предупредила клиентов, что необходимо исправить две уязвимости CVE-2021-42287 и CVE-2021-42278, связанных с повышением привилегий службы домена Active Directory, которые в совокупности позволяют злоумышленникам легко захватывать домены Windows.
@tomhunter
@tomhunter
#news В конце 2017 года в недрах Вашингтонского университета появилось исследование, показавшее возможность одним лицам бесконтрольно следить за перемещениями других лиц. Появившийся метод назвали "ADINT" (от англ. advertising intelligence) - рекламная разведка.
Преимуществом нового метода сбора данных явилась его независимость от того факта, продолжал ли исследуемый пользоваться своим мобильником или электронной почтой - идентификация его производилась на основе уникального кода рекламной идентификации.
В приложенном слайде показан факт выявления уникального кода идентификации конкретного пользователя при установлении корреляции данных экспериментальной и контрольной группы в сервисе Яндекс.Аудитории. Мы можем видеть половозрастные показатели пользователя, его возраст, город проживания, используемое устройство и поисковые интересы.
@tomhunter
Преимуществом нового метода сбора данных явилась его независимость от того факта, продолжал ли исследуемый пользоваться своим мобильником или электронной почтой - идентификация его производилась на основе уникального кода рекламной идентификации.
В приложенном слайде показан факт выявления уникального кода идентификации конкретного пользователя при установлении корреляции данных экспериментальной и контрольной группы в сервисе Яндекс.Аудитории. Мы можем видеть половозрастные показатели пользователя, его возраст, город проживания, используемое устройство и поисковые интересы.
@tomhunter
#news Теневой маркетплейс «2easy» становится важным игроком по продаже логов, собранных примерно с 600 000 устройств, зараженных вредоносным ПО. Журналы доступны для покупки всего за 5 долларов за штуку... недорого. Единственным недостатком по сравнению с другими платформами является то, что 2easy не дает потенциальным покупателям предварительный просмотр проданного товара, такого как отредактированный IP-адрес или версию ОС для устройства, на котором были украдены данные.
@tomhunter
@tomhunter
#news В Microsoft Teams, оказывается, с марта есть 4 непропатченные уязвимости. Устранили пока только одну.
Все проблемы касаются предпросмотра ссылок: Teams автоматически генерирует для ссылки обыкновенную превьюшку. Возможности эти уязвимости дают широкие: спуфинг ссылок, плюс слив IP-адресов и DoS-атаки на Android-пользователей.
@tomhunter
Все проблемы касаются предпросмотра ссылок: Teams автоматически генерирует для ссылки обыкновенную превьюшку. Возможности эти уязвимости дают широкие: спуфинг ссылок, плюс слив IP-адресов и DoS-атаки на Android-пользователей.
@tomhunter
#news Доступ к популярным сайтам и приложениям Amazon, AWS, Hulu, Slack, Imgur, Asana, Grindr, Scruff, HubSpot, Zendesk , а также другим прекратился... Amazon подтвердила, что отключение электроэнергии в ее центре обработки данных US-EAST-1 влияет на услуги, которые зависят от конкретной «зоны доступности». Сегодняшние проблемы с отключением и подключением связаны с двумя недавними событиями, произошедшими на прошлой неделе, включая проблемы с сетью Cloudflare, и предыдущий сбой AWS, который вызвал сбои в работе Twitch, Zoom, PSN, Hulu и других сервисов.
@tomhunter
@tomhunter
#news Тут VK (она же бывшая Mail.Ru) рассказала о планах обновить программу защиты данных пользователей. Новую систему решили назвать VK Protect.
Что нового:
⋅ двухфакторка через VK ID появится на всех сервисах компании, плюс на сторонних проектах — на сайтах и в приложениях;
⋅ c февраля 2022 года двухфакторка станет обязательной для администраторов сообществ с 10 и более тысячами подписчиков;
⋅ в кабинете VK ID появится центр управления безопасностью;
⋅ обновят багбаунти-программу — расширят её и повысят вознаграждения.
@tomhunter
Что нового:
⋅ двухфакторка через VK ID появится на всех сервисах компании, плюс на сторонних проектах — на сайтах и в приложениях;
⋅ c февраля 2022 года двухфакторка станет обязательной для администраторов сообществ с 10 и более тысячами подписчиков;
⋅ в кабинете VK ID появится центр управления безопасностью;
⋅ обновят багбаунти-программу — расширят её и повысят вознаграждения.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news Вредоносное ПО DrideX троллит сотрудников фальшивыми email о предстоящем увольнении. Электронные письма содержат защищенную паролем электронную таблицу Excel с именем TermList, которая якобы содержит информацию о причинах увольнений и пароль, необходимый для открытия документа.
Затем вредоносные макросы создают или запускают HTA- файл, сохраненный в папке C:\ProgramData. Этот файл HTA со случайным названием выдает себя за RTF-файла, но содержит вредоносный сценарий VbScript, который загружает DrideX из Discord для заражения устройства и желает жертве счастливого Рождества.
@tomhunter
Затем вредоносные макросы создают или запускают HTA- файл, сохраненный в папке C:\ProgramData. Этот файл HTA со случайным названием выдает себя за RTF-файла, но содержит вредоносный сценарий VbScript, который загружает DrideX из Discord для заражения устройства и желает жертве счастливого Рождества.
@tomhunter
#news Microsoft сообщила об отсутствии необходимости в устранении каких-либо уязвимостей, которые могли бы повлиять на функцию предварительного просмотра ссылок Microsoft Team, которая была анонсирована с марта 2021 года. Напомню, всего известно о четырех уязвимостях, ведущих к подделке серверных запросов (SSRF), подделке предварительного просмотра URL, утечке IP-адреса (Android) и отказу в обслуживании (DoS).
▶️ https://vimeo.com/659403127
@tomhunter
▶️ https://vimeo.com/659403127
@tomhunter
Vimeo
Demonstration of a Microsoft Teams spoofing vulnerability by Positive Security
#news К слову о. В Microsoft Azure App Service уже как минимум 4 года (с 2017) есть уязвимость, позволяющая злоумышленникам получать исходный код приложений. Исследователи назвали её NotLegit.
Касается проблема только Linux-клиентов. Исследователи решили проверить, эксплойтят ли эту уязвимость, на тестовом приложении. Смотреть его код кто-то пришёл уже через 4 дня — впрочем, вполне возможно, что этот кто-то просто пытался найти открытые .git-папки, а не пользовался известной ему уязвимостью.
Проблему уже устранили для большей части затронутых клиентов, а меньшая часть получила письма с инструкциями по защите.
@tomhunter
Касается проблема только Linux-клиентов. Исследователи решили проверить, эксплойтят ли эту уязвимость, на тестовом приложении. Смотреть его код кто-то пришёл уже через 4 дня — впрочем, вполне возможно, что этот кто-то просто пытался найти открытые .git-папки, а не пользовался известной ему уязвимостью.
Проблему уже устранили для большей части затронутых клиентов, а меньшая часть получила письма с инструкциями по защите.
@tomhunter
#news В некоторых версиях одного из самых популярных WordPress-плагинов All in one SEO — им пользуется более 3 миллионов проектов — есть две критические уязвимости, позволяющие любому пользователю захватить сайт.
Для взлома достаточно иметь на сайте обычный пользовательский аккаунт: по умолчанию WordPress позволяет их создавать всем.
С помощью первой уязвимости можно подсадить на сайт бэкдор и поднять своему аккаунту права до администраторских. С помощью второй — через API-эндпоинт связаться с базой данных и вытянуть из неё всё, что захочется, включая логины и пароли пользователей.
Исследователи советуют обновиться до последней версии, в которой эти уязвимости устранены. Ещё рекомендуют проверить, не появилось ли на сайте подозрительных админских аккаунтов, сменить все пароли и добавить к администраторской панели дополнительную защиту. Не думаю, правда, что стоит ради этого докручивать к сайту ещё плагинов — мало ли что…
@tomhunter
Для взлома достаточно иметь на сайте обычный пользовательский аккаунт: по умолчанию WordPress позволяет их создавать всем.
С помощью первой уязвимости можно подсадить на сайт бэкдор и поднять своему аккаунту права до администраторских. С помощью второй — через API-эндпоинт связаться с базой данных и вытянуть из неё всё, что захочется, включая логины и пароли пользователей.
Исследователи советуют обновиться до последней версии, в которой эти уязвимости устранены. Ещё рекомендуют проверить, не появилось ли на сайте подозрительных админских аккаунтов, сменить все пароли и добавить к администраторской панели дополнительную защиту. Не думаю, правда, что стоит ради этого докручивать к сайту ещё плагинов — мало ли что…
@tomhunter
#news Устали уже слушать про Log4j, о которой доносится из каждого утюга? Понимаю. Поэтому вот вам ещё две новенькие уязвимости, на этот раз в Apache HTTPD: CVE-2021-44790 и CVE-2021-44224.
Что известно:
⋅ CVE-2021-44790 связана с возможностью переполнения буфера, CVE-2021-44224 — с разыменованием нулевого указателя;
⋅ Уязвимы версии 2.4.51 и младше;
⋅ Патч уже есть;
⋅ Обновиться до этого патча однозначно стоит — уязвимости угрожают RCE и DoS-атаками.
HTTPD, конечно, по своей вездесущности не сильно уступает Log4j, и исследователи предрекают новую радостную волну эксплойтов уже этих уязвимостей. Весёлый конец года выдался.
@tomhunter
Что известно:
⋅ CVE-2021-44790 связана с возможностью переполнения буфера, CVE-2021-44224 — с разыменованием нулевого указателя;
⋅ Уязвимы версии 2.4.51 и младше;
⋅ Патч уже есть;
⋅ Обновиться до этого патча однозначно стоит — уязвимости угрожают RCE и DoS-атаками.
HTTPD, конечно, по своей вездесущности не сильно уступает Log4j, и исследователи предрекают новую радостную волну эксплойтов уже этих уязвимостей. Весёлый конец года выдался.
@tomhunter
#news Тут в Телеграме уже пару месяцев гуляет малварь Echelon, ворующая деньги из популярных криптокошельков и данные от аккаунтов самого Телеграма, Дискорда, NordVPN и кучи других сервисов. Полный список есть по ссылке.
И малварь, и способы ее распространения крайне примитивны, поэтому исследователи считают, что все это дело рассчитано на совсем неопытных в теме пользователей.
Малварь доставляют в RAR-архиве present).rar. Ох уж эти коварные скобочки… Сам зловред Present.exe неплохо защищен от анализа, но исследователи его всё-таки вскрыли. Выяснилось, что он будет пытаться красть данные с каждого сайта, который открывает пользователь.
@tomhunter
И малварь, и способы ее распространения крайне примитивны, поэтому исследователи считают, что все это дело рассчитано на совсем неопытных в теме пользователей.
Малварь доставляют в RAR-архиве present).rar. Ох уж эти коварные скобочки… Сам зловред Present.exe неплохо защищен от анализа, но исследователи его всё-таки вскрыли. Выяснилось, что он будет пытаться красть данные с каждого сайта, который открывает пользователь.
@tomhunter
❤1
T.Hunter
#news Вредоносное ПО DrideX троллит сотрудников фальшивыми email о предстоящем увольнении. Электронные письма содержат защищенную паролем электронную таблицу Excel с именем TermList, которая якобы содержит информацию о причинах увольнений и пароль, необходимый…
#news DrideX продолжают в том же духе. Теперь работники получают письма о том, что они прошли тест на омикрон-штамм ковида с положительным результатом. Подробности предлагают смотреть во вложениях.
Во вложениях лежит Excel-документ, пароль от которого заботливо отдает письмо. Как только жертва его вводит, документ рекомендует включить макросы, чтобы увидеть контент. Разрешение макросов, конечно, селит на устройстве малварь, а пользователя добивают окном с номером телефона «горячей линии помощи по ковидным похоронам».
@tomhunter
Во вложениях лежит Excel-документ, пароль от которого заботливо отдает письмо. Как только жертва его вводит, документ рекомендует включить макросы, чтобы увидеть контент. Разрешение макросов, конечно, селит на устройстве малварь, а пользователя добивают окном с номером телефона «горячей линии помощи по ковидным похоронам».
@tomhunter
#news Исследователи рассказали про уязвимость в macOS, позволявшую приложениям обходить вообще всю встроенную защиту, включая Gatekeeper и File Quarantine. Уязвимость, к счастью, устранили ещё в сентябре.
Секрет очень прост: чтобы встроенная защита в macOS 11.5 и младше пропустила зловредный скрипт в систему и не проверяла его подпись, достаточно было… просто не указывать интерпретатор для него.
Проникнув таким нехитрым образом в систему, малварь могла уже спокойно догрузить всё, что захочет.
@tomhunter
Секрет очень прост: чтобы встроенная защита в macOS 11.5 и младше пропустила зловредный скрипт в систему и не проверяла его подпись, достаточно было… просто не указывать интерпретатор для него.
Проникнув таким нехитрым образом в систему, малварь могла уже спокойно догрузить всё, что захочет.
@tomhunter
#news Если раньше типичный образ директора по безопасности на предприятии ассоциировался с выходцем из органов на пенсии, то сегодня это другое амплуа. Он должен быть прозорливым и сведущим, как и раньше, но к уму и скорости реакции прибавились серьезные компетенции в цифровой и физической безопасности. О работе на стыке профессий и об обеспечении периметра защиты собственника журналистам рассказал руководитель департамента информационно-аналитических исследований компании T.Hunter.
@tomhunter
@tomhunter
#news Госуслуги взломаны?!?! Исследователи сообщают о выявление серьезной уязвимости на госпортале. Уязвимость могла возникнуть в результате того, что разработчики Госуслуг не ограничили доступ к каталогу .git, в результате чего стало возможным получить доступ к исходному коду. Для личного ознакомления предлагается скачать исходный код Госуслуг.
@tomhunter
@tomhunter
#news Оказывается, около двух недель назад популярный сервис для фото Shutterfly атаковали рансомварью Conti. Вирус зашифровал под 4 тысячи устройств и 120 серверов VMware ESXi. Компания говорит, что пострадали её внутренняя корпоративная сеть, а также сервисы LifeTouch, BorrowLenses и Groovebook.
Shutterfly ведёт переговоры со взломщиками, которые требуют миллионы долларов выкупа.
На свой сайт хакеры выложили скриншоты файлов, которые собрали с серверов компании для сговорчивости. В том числе там есть и пользовательские данные — например, последние 4 цифры номеров карт.
@tomhunter
Shutterfly ведёт переговоры со взломщиками, которые требуют миллионы долларов выкупа.
На свой сайт хакеры выложили скриншоты файлов, которые собрали с серверов компании для сговорчивости. В том числе там есть и пользовательские данные — например, последние 4 цифры номеров карт.
@tomhunter
#news Не совсем о взломах, конечно, но… Тут одной десятилетней девочке стало скучно, и она попросила у амазоновской колонки Alexa какой-нибудь забавный вызов.
Обычно в ответ на такое колонка задает вопрос на эрудицию или предлагает игру. В какой-то мере она и в этот раз так сделала: предложила воткнуть зарядку от телефона в розетку, но не до конца, и дотронуться монеткой до оставшейся торчать части вилки. Весело, правда?
Поосторожнее в нашем киберпанке с подарками детям на праздники, в общем. Как и умные часы и приложения, о которых я писал раньше, такие вот умные помощники подвержены горю от чрезмерного ума.
@tomhunter
Обычно в ответ на такое колонка задает вопрос на эрудицию или предлагает игру. В какой-то мере она и в этот раз так сделала: предложила воткнуть зарядку от телефона в розетку, но не до конца, и дотронуться монеткой до оставшейся торчать части вилки. Весело, правда?
Поосторожнее в нашем киберпанке с подарками детям на праздники, в общем. Как и умные часы и приложения, о которых я писал раньше, такие вот умные помощники подвержены горю от чрезмерного ума.
@tomhunter
Написал на Хабр обзор событий этого беспокойного месяца. Сами-знаете-какая-уязвимость, блокировка Тора, слежка Пегасусом за членами Госдепартамента США и всё прочее, что теперь можно освежить в памяти.
#news Набрёл тут на историю от первого лица о том, как тридцатидвухлетнего программиста обманули телефонные мошенники. Те самые, которая служба безопасности банка и МВД в одном лице.
Полагаю, вам будет полезно почитать и поделиться с более доверчивыми близкими — описана самая популярная схема.
Автор подмечает, что вся эта эпопея состоит из «обычно так не делаю, но в этот раз почему-то сделал». Обычно не продолжаю разговор со «службой безопасности», обычно не сообщаю никому пуши из сообщений и так далее — обычно все мы прекрасно это знаем, но на деле, как всегда, всё оказывается сложнее.
@tomhunter
Полагаю, вам будет полезно почитать и поделиться с более доверчивыми близкими — описана самая популярная схема.
Автор подмечает, что вся эта эпопея состоит из «обычно так не делаю, но в этот раз почему-то сделал». Обычно не продолжаю разговор со «службой безопасности», обычно не сообщаю никому пуши из сообщений и так далее — обычно все мы прекрасно это знаем, но на деле, как всегда, всё оказывается сложнее.
@tomhunter
#news Всё продолжаются весёлые истории под конец года. Пользователи менеджера паролей LastPass массово получают письма о том, что кто-то пытался залогиниться в их аккаунт с верным паролем, но с неизвестного устройства.
LastPass утверждает, что это дело обыденное — мол, кто-то купил базу слитых логинов-паролей из других сервисов и проверяет аккаунты.
Загвоздка в том, что у многих получателей писем пароли для LastPass были уникальными. Более того, когда эти люди меняли пароли, такие уведомления вскоре приходили снова.
Вот вам и пароли в облаке.
@tomhunter
LastPass утверждает, что это дело обыденное — мол, кто-то купил базу слитых логинов-паролей из других сервисов и проверяет аккаунты.
Загвоздка в том, что у многих получателей писем пароли для LastPass были уникальными. Более того, когда эти люди меняли пароли, такие уведомления вскоре приходили снова.
Вот вам и пароли в облаке.
@tomhunter