#news Microsoft сообщила об отсутствии необходимости в устранении каких-либо уязвимостей, которые могли бы повлиять на функцию предварительного просмотра ссылок Microsoft Team, которая была анонсирована с марта 2021 года. Напомню, всего известно о четырех уязвимостях, ведущих к подделке серверных запросов (SSRF), подделке предварительного просмотра URL, утечке IP-адреса (Android) и отказу в обслуживании (DoS).
▶️ https://vimeo.com/659403127
@tomhunter
▶️ https://vimeo.com/659403127
@tomhunter
Vimeo
Demonstration of a Microsoft Teams spoofing vulnerability by Positive Security
#news К слову о. В Microsoft Azure App Service уже как минимум 4 года (с 2017) есть уязвимость, позволяющая злоумышленникам получать исходный код приложений. Исследователи назвали её NotLegit.
Касается проблема только Linux-клиентов. Исследователи решили проверить, эксплойтят ли эту уязвимость, на тестовом приложении. Смотреть его код кто-то пришёл уже через 4 дня — впрочем, вполне возможно, что этот кто-то просто пытался найти открытые .git-папки, а не пользовался известной ему уязвимостью.
Проблему уже устранили для большей части затронутых клиентов, а меньшая часть получила письма с инструкциями по защите.
@tomhunter
Касается проблема только Linux-клиентов. Исследователи решили проверить, эксплойтят ли эту уязвимость, на тестовом приложении. Смотреть его код кто-то пришёл уже через 4 дня — впрочем, вполне возможно, что этот кто-то просто пытался найти открытые .git-папки, а не пользовался известной ему уязвимостью.
Проблему уже устранили для большей части затронутых клиентов, а меньшая часть получила письма с инструкциями по защите.
@tomhunter
#news В некоторых версиях одного из самых популярных WordPress-плагинов All in one SEO — им пользуется более 3 миллионов проектов — есть две критические уязвимости, позволяющие любому пользователю захватить сайт.
Для взлома достаточно иметь на сайте обычный пользовательский аккаунт: по умолчанию WordPress позволяет их создавать всем.
С помощью первой уязвимости можно подсадить на сайт бэкдор и поднять своему аккаунту права до администраторских. С помощью второй — через API-эндпоинт связаться с базой данных и вытянуть из неё всё, что захочется, включая логины и пароли пользователей.
Исследователи советуют обновиться до последней версии, в которой эти уязвимости устранены. Ещё рекомендуют проверить, не появилось ли на сайте подозрительных админских аккаунтов, сменить все пароли и добавить к администраторской панели дополнительную защиту. Не думаю, правда, что стоит ради этого докручивать к сайту ещё плагинов — мало ли что…
@tomhunter
Для взлома достаточно иметь на сайте обычный пользовательский аккаунт: по умолчанию WordPress позволяет их создавать всем.
С помощью первой уязвимости можно подсадить на сайт бэкдор и поднять своему аккаунту права до администраторских. С помощью второй — через API-эндпоинт связаться с базой данных и вытянуть из неё всё, что захочется, включая логины и пароли пользователей.
Исследователи советуют обновиться до последней версии, в которой эти уязвимости устранены. Ещё рекомендуют проверить, не появилось ли на сайте подозрительных админских аккаунтов, сменить все пароли и добавить к администраторской панели дополнительную защиту. Не думаю, правда, что стоит ради этого докручивать к сайту ещё плагинов — мало ли что…
@tomhunter
#news Устали уже слушать про Log4j, о которой доносится из каждого утюга? Понимаю. Поэтому вот вам ещё две новенькие уязвимости, на этот раз в Apache HTTPD: CVE-2021-44790 и CVE-2021-44224.
Что известно:
⋅ CVE-2021-44790 связана с возможностью переполнения буфера, CVE-2021-44224 — с разыменованием нулевого указателя;
⋅ Уязвимы версии 2.4.51 и младше;
⋅ Патч уже есть;
⋅ Обновиться до этого патча однозначно стоит — уязвимости угрожают RCE и DoS-атаками.
HTTPD, конечно, по своей вездесущности не сильно уступает Log4j, и исследователи предрекают новую радостную волну эксплойтов уже этих уязвимостей. Весёлый конец года выдался.
@tomhunter
Что известно:
⋅ CVE-2021-44790 связана с возможностью переполнения буфера, CVE-2021-44224 — с разыменованием нулевого указателя;
⋅ Уязвимы версии 2.4.51 и младше;
⋅ Патч уже есть;
⋅ Обновиться до этого патча однозначно стоит — уязвимости угрожают RCE и DoS-атаками.
HTTPD, конечно, по своей вездесущности не сильно уступает Log4j, и исследователи предрекают новую радостную волну эксплойтов уже этих уязвимостей. Весёлый конец года выдался.
@tomhunter
#news Тут в Телеграме уже пару месяцев гуляет малварь Echelon, ворующая деньги из популярных криптокошельков и данные от аккаунтов самого Телеграма, Дискорда, NordVPN и кучи других сервисов. Полный список есть по ссылке.
И малварь, и способы ее распространения крайне примитивны, поэтому исследователи считают, что все это дело рассчитано на совсем неопытных в теме пользователей.
Малварь доставляют в RAR-архиве present).rar. Ох уж эти коварные скобочки… Сам зловред Present.exe неплохо защищен от анализа, но исследователи его всё-таки вскрыли. Выяснилось, что он будет пытаться красть данные с каждого сайта, который открывает пользователь.
@tomhunter
И малварь, и способы ее распространения крайне примитивны, поэтому исследователи считают, что все это дело рассчитано на совсем неопытных в теме пользователей.
Малварь доставляют в RAR-архиве present).rar. Ох уж эти коварные скобочки… Сам зловред Present.exe неплохо защищен от анализа, но исследователи его всё-таки вскрыли. Выяснилось, что он будет пытаться красть данные с каждого сайта, который открывает пользователь.
@tomhunter
❤1
T.Hunter
#news Вредоносное ПО DrideX троллит сотрудников фальшивыми email о предстоящем увольнении. Электронные письма содержат защищенную паролем электронную таблицу Excel с именем TermList, которая якобы содержит информацию о причинах увольнений и пароль, необходимый…
#news DrideX продолжают в том же духе. Теперь работники получают письма о том, что они прошли тест на омикрон-штамм ковида с положительным результатом. Подробности предлагают смотреть во вложениях.
Во вложениях лежит Excel-документ, пароль от которого заботливо отдает письмо. Как только жертва его вводит, документ рекомендует включить макросы, чтобы увидеть контент. Разрешение макросов, конечно, селит на устройстве малварь, а пользователя добивают окном с номером телефона «горячей линии помощи по ковидным похоронам».
@tomhunter
Во вложениях лежит Excel-документ, пароль от которого заботливо отдает письмо. Как только жертва его вводит, документ рекомендует включить макросы, чтобы увидеть контент. Разрешение макросов, конечно, селит на устройстве малварь, а пользователя добивают окном с номером телефона «горячей линии помощи по ковидным похоронам».
@tomhunter
#news Исследователи рассказали про уязвимость в macOS, позволявшую приложениям обходить вообще всю встроенную защиту, включая Gatekeeper и File Quarantine. Уязвимость, к счастью, устранили ещё в сентябре.
Секрет очень прост: чтобы встроенная защита в macOS 11.5 и младше пропустила зловредный скрипт в систему и не проверяла его подпись, достаточно было… просто не указывать интерпретатор для него.
Проникнув таким нехитрым образом в систему, малварь могла уже спокойно догрузить всё, что захочет.
@tomhunter
Секрет очень прост: чтобы встроенная защита в macOS 11.5 и младше пропустила зловредный скрипт в систему и не проверяла его подпись, достаточно было… просто не указывать интерпретатор для него.
Проникнув таким нехитрым образом в систему, малварь могла уже спокойно догрузить всё, что захочет.
@tomhunter
#news Если раньше типичный образ директора по безопасности на предприятии ассоциировался с выходцем из органов на пенсии, то сегодня это другое амплуа. Он должен быть прозорливым и сведущим, как и раньше, но к уму и скорости реакции прибавились серьезные компетенции в цифровой и физической безопасности. О работе на стыке профессий и об обеспечении периметра защиты собственника журналистам рассказал руководитель департамента информационно-аналитических исследований компании T.Hunter.
@tomhunter
@tomhunter
#news Госуслуги взломаны?!?! Исследователи сообщают о выявление серьезной уязвимости на госпортале. Уязвимость могла возникнуть в результате того, что разработчики Госуслуг не ограничили доступ к каталогу .git, в результате чего стало возможным получить доступ к исходному коду. Для личного ознакомления предлагается скачать исходный код Госуслуг.
@tomhunter
@tomhunter
#news Оказывается, около двух недель назад популярный сервис для фото Shutterfly атаковали рансомварью Conti. Вирус зашифровал под 4 тысячи устройств и 120 серверов VMware ESXi. Компания говорит, что пострадали её внутренняя корпоративная сеть, а также сервисы LifeTouch, BorrowLenses и Groovebook.
Shutterfly ведёт переговоры со взломщиками, которые требуют миллионы долларов выкупа.
На свой сайт хакеры выложили скриншоты файлов, которые собрали с серверов компании для сговорчивости. В том числе там есть и пользовательские данные — например, последние 4 цифры номеров карт.
@tomhunter
Shutterfly ведёт переговоры со взломщиками, которые требуют миллионы долларов выкупа.
На свой сайт хакеры выложили скриншоты файлов, которые собрали с серверов компании для сговорчивости. В том числе там есть и пользовательские данные — например, последние 4 цифры номеров карт.
@tomhunter
#news Не совсем о взломах, конечно, но… Тут одной десятилетней девочке стало скучно, и она попросила у амазоновской колонки Alexa какой-нибудь забавный вызов.
Обычно в ответ на такое колонка задает вопрос на эрудицию или предлагает игру. В какой-то мере она и в этот раз так сделала: предложила воткнуть зарядку от телефона в розетку, но не до конца, и дотронуться монеткой до оставшейся торчать части вилки. Весело, правда?
Поосторожнее в нашем киберпанке с подарками детям на праздники, в общем. Как и умные часы и приложения, о которых я писал раньше, такие вот умные помощники подвержены горю от чрезмерного ума.
@tomhunter
Обычно в ответ на такое колонка задает вопрос на эрудицию или предлагает игру. В какой-то мере она и в этот раз так сделала: предложила воткнуть зарядку от телефона в розетку, но не до конца, и дотронуться монеткой до оставшейся торчать части вилки. Весело, правда?
Поосторожнее в нашем киберпанке с подарками детям на праздники, в общем. Как и умные часы и приложения, о которых я писал раньше, такие вот умные помощники подвержены горю от чрезмерного ума.
@tomhunter
Написал на Хабр обзор событий этого беспокойного месяца. Сами-знаете-какая-уязвимость, блокировка Тора, слежка Пегасусом за членами Госдепартамента США и всё прочее, что теперь можно освежить в памяти.
#news Набрёл тут на историю от первого лица о том, как тридцатидвухлетнего программиста обманули телефонные мошенники. Те самые, которая служба безопасности банка и МВД в одном лице.
Полагаю, вам будет полезно почитать и поделиться с более доверчивыми близкими — описана самая популярная схема.
Автор подмечает, что вся эта эпопея состоит из «обычно так не делаю, но в этот раз почему-то сделал». Обычно не продолжаю разговор со «службой безопасности», обычно не сообщаю никому пуши из сообщений и так далее — обычно все мы прекрасно это знаем, но на деле, как всегда, всё оказывается сложнее.
@tomhunter
Полагаю, вам будет полезно почитать и поделиться с более доверчивыми близкими — описана самая популярная схема.
Автор подмечает, что вся эта эпопея состоит из «обычно так не делаю, но в этот раз почему-то сделал». Обычно не продолжаю разговор со «службой безопасности», обычно не сообщаю никому пуши из сообщений и так далее — обычно все мы прекрасно это знаем, но на деле, как всегда, всё оказывается сложнее.
@tomhunter
#news Всё продолжаются весёлые истории под конец года. Пользователи менеджера паролей LastPass массово получают письма о том, что кто-то пытался залогиниться в их аккаунт с верным паролем, но с неизвестного устройства.
LastPass утверждает, что это дело обыденное — мол, кто-то купил базу слитых логинов-паролей из других сервисов и проверяет аккаунты.
Загвоздка в том, что у многих получателей писем пароли для LastPass были уникальными. Более того, когда эти люди меняли пароли, такие уведомления вскоре приходили снова.
Вот вам и пароли в облаке.
@tomhunter
LastPass утверждает, что это дело обыденное — мол, кто-то купил базу слитых логинов-паролей из других сервисов и проверяет аккаунты.
Загвоздка в том, что у многих получателей писем пароли для LastPass были уникальными. Более того, когда эти люди меняли пароли, такие уведомления вскоре приходили снова.
Вот вам и пароли в облаке.
@tomhunter
#news С наступающим, Нетфликс... Пользователь GitHub под ником Widevinedump опубликовал программное обеспечение для бесплатной загрузки контента с крупнейших видеосервисов.
Начиная с 17 ноября, он разместил на GitHub 12 скриптов для скачивания HD-видео с популярных стриминговых платформ, включая Netflix, Disney+, Apple TV+, Amazon Prime Video, HBO Max и Paramount+.
@tomhunter
Начиная с 17 ноября, он разместил на GitHub 12 скриптов для скачивания HD-видео с популярных стриминговых платформ, включая Netflix, Disney+, Apple TV+, Amazon Prime Video, HBO Max и Paramount+.
@tomhunter
#news Тут группировка, орудующая рансомварью AvosLocker, случайно попала своим вирусом в один из полицейских отделов США. Результат — зашифрованные устройства и украденные данные.
Как только ребята поняли, кто их жертва, полицейским милостиво предложили бесплатный декриптор. Правда, так и не рассказали, какие файлы успели украсть или каким образом взломали полицейскую сеть.
@tomhunter
Как только ребята поняли, кто их жертва, полицейским милостиво предложили бесплатный декриптор. Правда, так и не рассказали, какие файлы успели украсть или каким образом взломали полицейскую сеть.
@tomhunter
#news До осени 2022 года разработают механизм передачи биометрии от банков государству — в Единую Биометрическую Систему (ЕБС). Управлять ЕБС будет Минцифры.
При этом банки, как и прочие коммерческие организации, не смогут оставлять у себя копии собранной биометрии.
@tomhunter
При этом банки, как и прочие коммерческие организации, не смогут оставлять у себя копии собранной биометрии.
@tomhunter
#news ИБ-исследователь обнаружил в открытом доступе 6 миллионов логов, собранных со взломанных устройств малварью RedLine. Видимо, хакеры собирались выставить их на продажу, но забыли должным образом защитить.
В логах тысячи логинов и паролей от LastPass. Но, кажется, с недавней историей про массовый подбор паролей никакой связи нет: исследователю писали люди, в чьи LastPass-аккаунты тогда пытались войти, и он не нашёл их почт в этих логах.
Логами поделились с сервисом Have I Been Pwned, так что все подписанные на него владельцы пострадавших почт получат уведомления. Увы, простой смены пароля им явно не хватит — важно помнить, что RedLine ворует все сохраненные в браузере данные, VPN-аккаунты, криптокошельки и вообще всё, до чего может дотянуться.
@tomhunter
В логах тысячи логинов и паролей от LastPass. Но, кажется, с недавней историей про массовый подбор паролей никакой связи нет: исследователю писали люди, в чьи LastPass-аккаунты тогда пытались войти, и он не нашёл их почт в этих логах.
Логами поделились с сервисом Have I Been Pwned, так что все подписанные на него владельцы пострадавших почт получат уведомления. Увы, простой смены пароля им явно не хватит — важно помнить, что RedLine ворует все сохраненные в браузере данные, VPN-аккаунты, криптокошельки и вообще всё, до чего может дотянуться.
@tomhunter
T.Hunter
#news ИБ-исследователь обнаружил в открытом доступе 6 миллионов логов, собранных со взломанных устройств малварью RedLine. Видимо, хакеры собирались выставить их на продажу, но забыли должным образом защитить. В логах тысячи логинов и паролей от LastPass.…
К слову об этом. LastPass заявили в итоге, что никаких сливов паролей и попыток входа не было, а уведомления разослались из-за бага — нужно было перенастроить систему, которая их рассылает.
Очень здорово, если так, и мастер-пароль от аккаунта через сам LastPass действительно невозможно вытянуть. Надеюсь, ломающих новостей с опровержениями не будет.
However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert emails to be triggered from our systems. Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.Очень здорово, если так, и мастер-пароль от аккаунта через сам LastPass действительно невозможно вытянуть. Надеюсь, ломающих новостей с опровержениями не будет.
С Новым годом! Надеюсь, он принесёт нам множество новых увлекательных уязвим… то есть, побольше спокойствия и долгожданный конец пандемийной эпопеи. Нас за 2021 стало заметно больше, и я очень рад, что вы все тут — чем больше людей в безопасности, тем она безопаснее.
Сам загадал не написать ни одной больше новости про патч на патч <…> на Log4j.
Увы, не для всех старт выдался удачным. В спам-фильтре Microsoft Exchange вот обнаружили новогодний баг, не пускающий письма.
Дата письма хранится в int32-переменной, у которой максимальное значение — 2147483647. Но даты в 2022 году начинаются от 2201010001, поэтому антиспам-сканер ломается и отказывается выпускать письма. Занятная архитектура.
Пока Microsoft не выпустила обновление, можно просто отключить антиспам-фильтр. Вводим пауэршелл-команды и перезапускаем сервер:
@tomhunter
Сам загадал не написать ни одной больше новости про патч на патч <…> на Log4j.
Увы, не для всех старт выдался удачным. В спам-фильтре Microsoft Exchange вот обнаружили новогодний баг, не пускающий письма.
Дата письма хранится в int32-переменной, у которой максимальное значение — 2147483647. Но даты в 2022 году начинаются от 2201010001, поэтому антиспам-сканер ломается и отказывается выпускать письма. Занятная архитектура.
Пока Microsoft не выпустила обновление, можно просто отключить антиспам-фильтр. Вводим пауэршелл-команды и перезапускаем сервер:
Set-MalwareFilteringServer -Identity -BypassFiltering $true
Restart-Service MSExchangeTransport@tomhunter
#news Вредонос Purple Fox распространяется при помощи фейкового загрузчика мессенджера Telegram. Установщик представляет собой скомпилированный сценарий AutoIt с именем «Telegram Desktop.exe», который включает в себя два файла: фактический установщик Telegram и вредоносный загрузчик.
@tomhunter
@tomhunter