Последнее время мы неоднократно становились свидетелями того, как вопреки интересам своих клиентов и принципам инфосек-индустрии американские технологические гиганты и компаний в сфере ИБ негласно сотрудничали с национальными спецслужбами.
До сих пор никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen или последнюю историю с глобальными махинациями операторов DNSaaS, которые в таком исполнении могут быть интересны лишь узким интересантам.
Однако, в условиях цифровой геополитической нестабильности правила игры меняются: американские власти теперь не стесняются открыто заявлять об оформлении сотрудничества с лидерами в области технологий, кибербезопасности и телекома, что позволит им уже не прятать и не скрывать более от IT-сообщества совместные «проекты».
Именно с такой инициативой выступило Министерство внутренней безопасности (DHS), учредив Joint Cyber Defense Collaborative (JCDC), куда вошли проверенные уже на деле подкрышеванные компании: любимцы ЦРУ и ФБР - CrowdStrike и FireEye, традиционные АНБэшные клиентелы - Microsoft, Google, Amazon Web Services, и прочие прокладки: Palo Alto Networks, AT&T, Verizon и Lumen.
Формально ключевые игроки будут коллективно участвовать в защите от киберугроз, но по факту мы помним как Shadow Brokers нашли бэкдоры в коде Microsoft, которые те вносили в интересах спецслужб, а после скандала в тайне сами же патчили.
Подобную логику действий новой администрации Президента США мы ранее предсказывали, после назначения Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
Весьма ожидаемы шаги новой главы CISA, учитывая, что до назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.
Бэкграунд нового главы CISA говорит сам за себя. Она вообще мыслит такими категориями, вдумайтесь: «создание JCDC уникальным образом объединит людей в мирное время, чтобы мы могли спланировать, как мы будем реагировать в военное время».
И одним из показательных моментов новой киберполитики США служит публичный слив кражи секретных сведений из лаборатории в Ухани, который, по нашему мнению, был реализован американцами именно через кибер возможности в рамках новой стратегии цифрового доминирования.
Так что не удивляйтесь, когда узнаете, что ваш комп за вами шпионит, ведь это происходит легально в рамках новой программы сотрудничества.
До сих пор никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen или последнюю историю с глобальными махинациями операторов DNSaaS, которые в таком исполнении могут быть интересны лишь узким интересантам.
Однако, в условиях цифровой геополитической нестабильности правила игры меняются: американские власти теперь не стесняются открыто заявлять об оформлении сотрудничества с лидерами в области технологий, кибербезопасности и телекома, что позволит им уже не прятать и не скрывать более от IT-сообщества совместные «проекты».
Именно с такой инициативой выступило Министерство внутренней безопасности (DHS), учредив Joint Cyber Defense Collaborative (JCDC), куда вошли проверенные уже на деле подкрышеванные компании: любимцы ЦРУ и ФБР - CrowdStrike и FireEye, традиционные АНБэшные клиентелы - Microsoft, Google, Amazon Web Services, и прочие прокладки: Palo Alto Networks, AT&T, Verizon и Lumen.
Формально ключевые игроки будут коллективно участвовать в защите от киберугроз, но по факту мы помним как Shadow Brokers нашли бэкдоры в коде Microsoft, которые те вносили в интересах спецслужб, а после скандала в тайне сами же патчили.
Подобную логику действий новой администрации Президента США мы ранее предсказывали, после назначения Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
Весьма ожидаемы шаги новой главы CISA, учитывая, что до назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.
Бэкграунд нового главы CISA говорит сам за себя. Она вообще мыслит такими категориями, вдумайтесь: «создание JCDC уникальным образом объединит людей в мирное время, чтобы мы могли спланировать, как мы будем реагировать в военное время».
И одним из показательных моментов новой киберполитики США служит публичный слив кражи секретных сведений из лаборатории в Ухани, который, по нашему мнению, был реализован американцами именно через кибер возможности в рамках новой стратегии цифрового доминирования.
Так что не удивляйтесь, когда узнаете, что ваш комп за вами шпионит, ведь это происходит легально в рамках новой программы сотрудничества.
WSJ
WSJ News Exclusive | U.S. Taps Amazon, Google, Microsoft, Others to Help Fight Ransomware, Cyber Threats
The creation of a joint initiative under an agency of the Department of Homeland Security follows cyberattacks on critical U.S. infrastructure.
Forwarded from S.E.Reborn
Известные как Defray, а после июня 2020 - вымогатели RansomEXX атаковали не менее известного тайваньского производителя компьютерного оборудования Gigabyte.
Атака с использованием ransomware произошла в минувшую неделю и вывела из строя несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта. Производственного процесса инцидент не коснулся. Gigabyte подтвердила кибератаку и заявила, что в результате нее нарушилась работа нескольких серверов.
Хакерам удалось тиснуть 112 Гб из внутренней сети Gigabyte, а также из репозитория Git American Megatrends. Для демонстрации своих намерений слить в сеть архив, RansomEXX прислали жертве скрины 4 конфиденциальных документов и традиционное письмо счастья, с указанием реквизитов для оплаты и телефоном «горячей линии».
Как известно, RansomEXX обычно ломают сеть с помощью уязвимостей протокола удаленного рабочего стола, эксплойтов или украденных учетных данных, а затем добираются до контроллера домена Windows. Во время бокового перемещения хакеры собирают ценную информацию для последующего давления на жертву угрозами ее публикации. При этом RansomEXX известны ещё и тем, что применяют шифровальщик Linux для блокирования виртуальных машин, на которых работают серверы VMware ESXi.
За последний месяц RansomEXX стали более активными, атаковав Лацио в Италии, государственную корпорацию Эквадора CNT. В числе других публичных жертв вымогателя правительственные сети Бразилии, Департамент транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.
Как всегда, подождем и узнаем, кто выйдет победителем из схватки: но судя по первичной реакции и незначительных сбоев в работе производства, ожидать выкупа хакерам от гиганта не приходится, особенно после попадания инцидента в публичное поле.
Атака с использованием ransomware произошла в минувшую неделю и вывела из строя несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта. Производственного процесса инцидент не коснулся. Gigabyte подтвердила кибератаку и заявила, что в результате нее нарушилась работа нескольких серверов.
Хакерам удалось тиснуть 112 Гб из внутренней сети Gigabyte, а также из репозитория Git American Megatrends. Для демонстрации своих намерений слить в сеть архив, RansomEXX прислали жертве скрины 4 конфиденциальных документов и традиционное письмо счастья, с указанием реквизитов для оплаты и телефоном «горячей линии».
Как известно, RansomEXX обычно ломают сеть с помощью уязвимостей протокола удаленного рабочего стола, эксплойтов или украденных учетных данных, а затем добираются до контроллера домена Windows. Во время бокового перемещения хакеры собирают ценную информацию для последующего давления на жертву угрозами ее публикации. При этом RansomEXX известны ещё и тем, что применяют шифровальщик Linux для блокирования виртуальных машин, на которых работают серверы VMware ESXi.
За последний месяц RansomEXX стали более активными, атаковав Лацио в Италии, государственную корпорацию Эквадора CNT. В числе других публичных жертв вымогателя правительственные сети Бразилии, Департамент транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.
Как всегда, подождем и узнаем, кто выйдет победителем из схватки: но судя по первичной реакции и незначительных сбоев в работе производства, ожидать выкупа хакерам от гиганта не приходится, особенно после попадания инцидента в публичное поле.
Forwarded from SecurityLab.ru
В спецвыпуске security-новостей главред SecurityLab.ru Александр Антипов расскажет о значимых инцидентах, связанных с уязвимостями веб-приложений. У него в гостях – Ярослав Бабин, руководитель отдела анализа защищенности приложений Positive Technologies.
https://www.youtube.com/watch?v=A0pqOvkHZsI
https://www.youtube.com/watch?v=A0pqOvkHZsI
YouTube
Разбор инцидентов GitHub и других веб-приложений в спецвыпуске Security-новостей, #26
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:36 Гость выпуска, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений
Разбор инцидентов
2:18 Хакеры эксплуатируют…
0:36 Гость выпуска, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений
Разбор инцидентов
2:18 Хакеры эксплуатируют…
После обнаруженной Unit 42 в марте активности в отношении устройств IoT ботнет Mirai начал новую экспансию.
Специалисты Juniper Threat Labs задетектили новые атаки, реализованные на основе эксплуатации критической уязвимости CVE-2021-20090, которая позволяет неаутентифицированным удаленным злоумышленникам обойти аутентификацию в веб-интерфейсах маршрутизаторов с прошивкой Arcadyan.
Впервые дыра была обнаружена компанией Tenable ещё 26 апреля, и, как выяснилось, существует не менее 10 лет, проникнув через цепочку поставок как минимум в 20 моделей от 17 различных поставщиков, включая Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra и Telus. Таким образом по подсчетам уязвимость на текущий момент затрагивает миллионы устройств.
Спустя 2 дня после публикации от 3 августа эксплойта PoC, злоумышленники активно взялись за критическую багу, чтобы перехватить и развернуть вредоносные полезные нагрузки Mirai на уязвимых устройствах. Атаки исходили с IP-адреса, расположенного в Ухане, провинция Хубэй, Китай.
Напомним, исследователи заметили активность Mirai еще 18 февраля, с тех пор админы постоянно добавляли новые эксплойты в свой арсенал, в том числе освоили и CVE-2021-20090. А учитывая, что большинство владельцев устройств могут даже не знать осуществлении ботнет и тем более дыры, да и зная, что прошивка на маршрутизатора обычно меняется после того, как он умер - новая атака может быть очень успешной, дешевой и весьма простой в исполнении.
Рекомендуем внимательно изучить индикаторы компрометации IOC, включая IP-адреса, используемые для запуска атак, образцы хэшей и сверить свои девайсы со списком уязвимых.
Специалисты Juniper Threat Labs задетектили новые атаки, реализованные на основе эксплуатации критической уязвимости CVE-2021-20090, которая позволяет неаутентифицированным удаленным злоумышленникам обойти аутентификацию в веб-интерфейсах маршрутизаторов с прошивкой Arcadyan.
Впервые дыра была обнаружена компанией Tenable ещё 26 апреля, и, как выяснилось, существует не менее 10 лет, проникнув через цепочку поставок как минимум в 20 моделей от 17 различных поставщиков, включая Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra и Telus. Таким образом по подсчетам уязвимость на текущий момент затрагивает миллионы устройств.
Спустя 2 дня после публикации от 3 августа эксплойта PoC, злоумышленники активно взялись за критическую багу, чтобы перехватить и развернуть вредоносные полезные нагрузки Mirai на уязвимых устройствах. Атаки исходили с IP-адреса, расположенного в Ухане, провинция Хубэй, Китай.
Напомним, исследователи заметили активность Mirai еще 18 февраля, с тех пор админы постоянно добавляли новые эксплойты в свой арсенал, в том числе освоили и CVE-2021-20090. А учитывая, что большинство владельцев устройств могут даже не знать осуществлении ботнет и тем более дыры, да и зная, что прошивка на маршрутизатора обычно меняется после того, как он умер - новая атака может быть очень успешной, дешевой и весьма простой в исполнении.
Рекомендуем внимательно изучить индикаторы компрометации IOC, включая IP-адреса, используемые для запуска атак, образцы хэшей и сверить свои девайсы со списком уязвимых.
Juniper Networks
Freshly Disclosed Vulnerability CVE-2021-20090 Exploited in the Wild
Juniper Threat Labs has discovered an active exploitation of the CVE-2021-20090 vulnerability. Learn more in this blog.
Вспоминали буквально на днях, как Microsoft втайне пачтили свои же бэкдоры после шумихи, устроенной Shadow Brokers. Примерно таким же образом, Apple исправляли ошибку в Apple Wireless Direct Link, которая могла использоваться для выхода из сетей с воздушным зазором.
Весьма полезная для кибершпионажа фитча была негласно исправлена производителем в апреле - с выпуском iOS 14.5, iPadOS 14.5, watchOS 7.4 и Big Sur 11.3. В махинациях производителя уличил основатель и генеральный директор SensorFu, финский исследователь Микко Кенттэль.
Как известно, AWD является основой сервисов Apple, таких как AirPlay и AirDrop, и включен по умолчанию на всех производимых устройствах. По заданному алгоритму AWDL автоматически сканирует другие близлежащие устройства, которые входят в его диапазон, и ему могут потребоваться для подключения в будущем. Это происходит незаметно, в фоновом режиме и в любое время, пока на устройстве включен Wi-Fi или Bluetooth.
Уязвимость позволяет переправлять украденные файлы с зараженной системы путем передачи в рамках ICMPv6 и IPv6 с одного устройства на на ближайший AWDL другого устройства с IPv6-адресом.
Отметим, что организация сети с воздушным зазором обычно используются правительственными, военными или корпоративными организациями для хранения конфиденциальных данных, в том числе секретной информации.
То есть получается, что для кражи информации из зараженной сверхзащищенной сети - необходимо, чтобы мимо нее курсировал периодически хотя бы один девайс Apple.
Согласно логике событий, завершение эксплуатации баги - вовсе не знаменует победу инфосека, а скорее указывает на то, что придумана более безопасная и эффективная технология на замену.
Весьма полезная для кибершпионажа фитча была негласно исправлена производителем в апреле - с выпуском iOS 14.5, iPadOS 14.5, watchOS 7.4 и Big Sur 11.3. В махинациях производителя уличил основатель и генеральный директор SensorFu, финский исследователь Микко Кенттэль.
Как известно, AWD является основой сервисов Apple, таких как AirPlay и AirDrop, и включен по умолчанию на всех производимых устройствах. По заданному алгоритму AWDL автоматически сканирует другие близлежащие устройства, которые входят в его диапазон, и ему могут потребоваться для подключения в будущем. Это происходит незаметно, в фоновом режиме и в любое время, пока на устройстве включен Wi-Fi или Bluetooth.
Уязвимость позволяет переправлять украденные файлы с зараженной системы путем передачи в рамках ICMPv6 и IPv6 с одного устройства на на ближайший AWDL другого устройства с IPv6-адресом.
Отметим, что организация сети с воздушным зазором обычно используются правительственными, военными или корпоративными организациями для хранения конфиденциальных данных, в том числе секретной информации.
То есть получается, что для кражи информации из зараженной сверхзащищенной сети - необходимо, чтобы мимо нее курсировал периодически хотя бы один девайс Apple.
Согласно логике событий, завершение эксплуатации баги - вовсе не знаменует победу инфосека, а скорее указывает на то, что придумана более безопасная и эффективная технология на замену.
Medium
Escaping from a truly air gapped network via Apple AWDL
In the following post I go through how to escape from a truly air gapped network using Apple Wireless Direct Link -network and leveraging…
Владельцам популярных в России сетевых хранилищ NAS Synology стоит задуматься о своей безопасности, в частности о стойкости своего пароля к хранилищу. Тайваньский производитель предупредил клиентов,что ботнет StealthWorker ориентирован на получение доступа к устройствам хранения путем атаки brute-force и последующей эксплуатацией ransomware.
Согласно исследованиям PSIRT (группа реагирования на инциденты в компании Synology) скомпрометированные в результате атак сетевые устройства позже используются для взлома и других систем. В настоящее время компания координирует свои действия с несколькими организациями CERT по всему миру, чтобы локализовать угрозу и вывести из строя инфраструктуру ботнета, отключив все обнаруженные хосты управления и контроля.
В целях превентивных мер защиты производитель NAS настоятельно призывает всех системных администраторов и клиентов изменить простые учетные данные на сложные и стойкие к перебору пароли, включить защиту учетных записей и автоматическую блокировку IP-адресов с большим количеством неудачных попыток входа в систему, а также настроить двухфакторную аутентификацию, где это возможно.
Раннее упомянутые StealthWorker известны своими взломами двухлетней давности - компрметацией веб-сайтов электронной коммерции путем использования уязвимостей в Magento, phpMyAdmin и cPanel для развертывания скиммеров, предназначенных для кражи платежной и личной информации.
Начиная с марта 2019 года операторы StealthWorker переориентировались
на метод перебора паролей. Ребята активно сканируют Интернет на наличие уязвимых хостов со слабыми паролями или учетными данными по умолчанию.
Поэтому не дожидаемся писем счастья, меняем пароли и выполняем рекомендации производителя NAS Synology.
Согласно исследованиям PSIRT (группа реагирования на инциденты в компании Synology) скомпрометированные в результате атак сетевые устройства позже используются для взлома и других систем. В настоящее время компания координирует свои действия с несколькими организациями CERT по всему миру, чтобы локализовать угрозу и вывести из строя инфраструктуру ботнета, отключив все обнаруженные хосты управления и контроля.
В целях превентивных мер защиты производитель NAS настоятельно призывает всех системных администраторов и клиентов изменить простые учетные данные на сложные и стойкие к перебору пароли, включить защиту учетных записей и автоматическую блокировку IP-адресов с большим количеством неудачных попыток входа в систему, а также настроить двухфакторную аутентификацию, где это возможно.
Раннее упомянутые StealthWorker известны своими взломами двухлетней давности - компрметацией веб-сайтов электронной коммерции путем использования уязвимостей в Magento, phpMyAdmin и cPanel для развертывания скиммеров, предназначенных для кражи платежной и личной информации.
Начиная с марта 2019 года операторы StealthWorker переориентировались
на метод перебора паролей. Ребята активно сканируют Интернет на наличие уязвимых хостов со слабыми паролями или учетными данными по умолчанию.
Поэтому не дожидаемся писем счастья, меняем пароли и выполняем рекомендации производителя NAS Synology.
Synology
Synology® Investigates Ongoing Brute-Force Attacks From Botnet | Synology Inc.
Synology newsroom is the source for news about Synology Inc. Read our press releases and keep up with product updates and company news.
Компания по кибербезопасности Zimperium обнаружила новый троян FlyTrap для Android, которому удалось с марта заразить более 10 000 жертв в 144 странах.
Распространение происходит через захват социальных сетей, сторонние магазины приложений и загружаемые неопубликованные приложения.
Ключевой особенностью вредоносного ПО является использование приемов социальной инженерии для взлома учетных записей Facebook, с последующей кражей информации об идентификаторе, местоположении, адресе электронной почты и IP-адресе, а также файлы cookie и токены, привязанные к учетной записи Facebook.
Взломанный аккаунт затем также реализует распространение личных сообщений со ссылками на malware, а также для ведения пропагандистских или информационных кампаний с использованием данных геолокации жертвы. Своего рода ботнет и по совместительству ферма троллей для Facebook реализована хакерами из Вьетнама, которые помимо прочего маскируют его под приложения в Google Play и других магазинах.
В основе ПО лежит метод под названием JavaScript-инъекция, который позволяет приложению открывать допустимые URL-адреса внутри WebView, настроенного с возможностью внедрения кода JavaScript. Затем приложение извлекает такую информацию, как файлы cookie, данные учетной записи пользователя, местоположение и IP-адрес, внедряя вредоносный код JS.
Между тем, Zimperium не отрицают, что троян мог быть доработан для эксфильтрации значительно более важной информации, например банковской или платежной. Кроме того, если этот троян будет реализован как услуга, вполне вероятна полезная нагрузка в виде ransomware.
FlyTrap - лишь один из примеров продолжающихся активных угроз для мобильных устройств, направленных на кражу учетных данных. Инструменты и методы, используемые FlyTrap, не новы, но эффективны из-за отсутствия продвинутой защиты мобильных конечных точек на этих устройствах.
Невольно задаешься вопросом: не пора ли уже подсуетиться компании Google, ответственной за непосредственное противодействие угрозам мобильных троянов.
Распространение происходит через захват социальных сетей, сторонние магазины приложений и загружаемые неопубликованные приложения.
Ключевой особенностью вредоносного ПО является использование приемов социальной инженерии для взлома учетных записей Facebook, с последующей кражей информации об идентификаторе, местоположении, адресе электронной почты и IP-адресе, а также файлы cookie и токены, привязанные к учетной записи Facebook.
Взломанный аккаунт затем также реализует распространение личных сообщений со ссылками на malware, а также для ведения пропагандистских или информационных кампаний с использованием данных геолокации жертвы. Своего рода ботнет и по совместительству ферма троллей для Facebook реализована хакерами из Вьетнама, которые помимо прочего маскируют его под приложения в Google Play и других магазинах.
В основе ПО лежит метод под названием JavaScript-инъекция, который позволяет приложению открывать допустимые URL-адреса внутри WebView, настроенного с возможностью внедрения кода JavaScript. Затем приложение извлекает такую информацию, как файлы cookie, данные учетной записи пользователя, местоположение и IP-адрес, внедряя вредоносный код JS.
Между тем, Zimperium не отрицают, что троян мог быть доработан для эксфильтрации значительно более важной информации, например банковской или платежной. Кроме того, если этот троян будет реализован как услуга, вполне вероятна полезная нагрузка в виде ransomware.
FlyTrap - лишь один из примеров продолжающихся активных угроз для мобильных устройств, направленных на кражу учетных данных. Инструменты и методы, используемые FlyTrap, не новы, но эффективны из-за отсутствия продвинутой защиты мобильных конечных точек на этих устройствах.
Невольно задаешься вопросом: не пора ли уже подсуетиться компании Google, ответственной за непосредственное противодействие угрозам мобильных троянов.
И тут 👆у нас для вас еще более печальные новости.
Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?
Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.
Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.
Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.
Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?
Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.
Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.
Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.
www.av-test.org
Stopped in its Tracks: Stalkerware for Spying Under Android
More and more dubious apps offer their services for spying and stalking, in order to secretly surveil unwitting persons, acquaintances or (ex-)partners. With a good security app for Android, it's also possible to unmask these deceitful attackers.
Исследователи Дэн Петро и Аллан Сесил из BiShopFox Labs обнаружили критическую уязвимость в аппаратных генераторах случайных чисел (ГСЧ) миллиардов устройств Интернета вещей (IoT).
Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.
В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.
Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.
В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.
Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.
Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).
Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.
Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.
В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.
Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.
В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.
Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.
Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).
Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.
Bishop Fox
You're Doing IoT Security RNG: The Crack in the Foundation of IoT
Learn why hardware random number generators (RNG) used by billions of IoT devices to create encryption keys don't always generate random numbers.
И снова хакеры украли...
Внимание криптообщественности приковано к трем кошелькам Ethereum, BinanceChain и Polygon на которые были выведены активы с Poly Network - межсетевой децентрализованной финансовой платформы DeFi, предназначенной для обмена токенов между несколькими блокчейнами. Сумма похищенных активов составляет 611 млн. долларов, что на сегодняшний день считается одним из крупнейших ограблений в индустрии цифровых активов, опередив взломы бирж Coincheck и Mt. Gox.
Хакерам удалось воспользоваться уязвимостью между вызовами контрактов, что по меньшей мере странно в нынешних условиях обеспечения безопасности современных криптоплатформ. Не зря компания CipherTrace, занимающаяся безопасностью блокчейнов заявила, что по сравнению с предыдущими годами взломы, связанные с DeFi, теперь составляют более 60% от общего объема краж, что точно должно настораживать юзеров.
Poly Network, в свою очередь, обратилась к майнерам и владельцам криптобирж с просьбой внести в блэк-листы данные кошельки, а также призвала представителей хакерского сообщества установить с ними связь и вернуть взломанные активы десятков тысяч членов криптосообщества.
Внимательно наблюдаем за миграцией активов и ожидаем возможные манипуляции на котировках криптовалют. Монеты перспективные, так что не исключено, что в скором времени увидим новую строчку с миллиардером в списке Forbes. Во всяком случае нынешние хакеры - как 12 друзей Оушена: вынуждены подыскивать варианты безопасного вывода такого «раритета», что с учётом пристального внимания общественности и не только - будет второй по сложности после хищения задачей.
Так что, запасаемся попкорном и следим:
Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 ($273 million)
Binance Smart Chain: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 ($253 million)
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 ($85 million)
Внимание криптообщественности приковано к трем кошелькам Ethereum, BinanceChain и Polygon на которые были выведены активы с Poly Network - межсетевой децентрализованной финансовой платформы DeFi, предназначенной для обмена токенов между несколькими блокчейнами. Сумма похищенных активов составляет 611 млн. долларов, что на сегодняшний день считается одним из крупнейших ограблений в индустрии цифровых активов, опередив взломы бирж Coincheck и Mt. Gox.
Хакерам удалось воспользоваться уязвимостью между вызовами контрактов, что по меньшей мере странно в нынешних условиях обеспечения безопасности современных криптоплатформ. Не зря компания CipherTrace, занимающаяся безопасностью блокчейнов заявила, что по сравнению с предыдущими годами взломы, связанные с DeFi, теперь составляют более 60% от общего объема краж, что точно должно настораживать юзеров.
Poly Network, в свою очередь, обратилась к майнерам и владельцам криптобирж с просьбой внести в блэк-листы данные кошельки, а также призвала представителей хакерского сообщества установить с ними связь и вернуть взломанные активы десятков тысяч членов криптосообщества.
Внимательно наблюдаем за миграцией активов и ожидаем возможные манипуляции на котировках криптовалют. Монеты перспективные, так что не исключено, что в скором времени увидим новую строчку с миллиардером в списке Forbes. Во всяком случае нынешние хакеры - как 12 друзей Оушена: вынуждены подыскивать варианты безопасного вывода такого «раритета», что с учётом пристального внимания общественности и не только - будет второй по сложности после хищения задачей.
Так что, запасаемся попкорном и следим:
Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 ($273 million)
Binance Smart Chain: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 ($253 million)
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 ($85 million)
Twitter
Poly Network
https://t.co/Yzw4oDenjC
Adobe выпустила большое обновление безопасности Patch Tuesday, которое закрывает более 29 критических уязвимостей, которые могут привести к выполнению произвольного кода.
При этом 26 из них касаются Magento (оставшиеся - Adobe Connect), 10 из которых могут быть реализованы без входа на сайт, а некоторые из этих ошибок в preauth вызывают удаленное выполнение кода и представляют обходы безопасности, позволяющие контролировать сайт и его сервер.
Несмотря на то, что случаев эксплуатации багов в дикой природе не зафиксировано, это вовсе не означает, что этого не произойдет: мы прекрасно помним про 72 часа, в течение которых коварный ум хакера может вычленить уязвимый код и создать под него эксплойты.
А учитывая, что к настоящему времени Magento - это одна из самых популярных E-commerce-систем, интегрированная в более 100 000 Интернет-магазинов, в 2 000 расширений и включающей около 375 000 участников сообщества, поработать хакподполью будет над чем.
Поэтому всецело разделяем обеспокоенность Adobe и настоятельно рекомендуем как можно скорее обновиться до последних версий.
При этом 26 из них касаются Magento (оставшиеся - Adobe Connect), 10 из которых могут быть реализованы без входа на сайт, а некоторые из этих ошибок в preauth вызывают удаленное выполнение кода и представляют обходы безопасности, позволяющие контролировать сайт и его сервер.
Несмотря на то, что случаев эксплуатации багов в дикой природе не зафиксировано, это вовсе не означает, что этого не произойдет: мы прекрасно помним про 72 часа, в течение которых коварный ум хакера может вычленить уязвимый код и создать под него эксплойты.
А учитывая, что к настоящему времени Magento - это одна из самых популярных E-commerce-систем, интегрированная в более 100 000 Интернет-магазинов, в 2 000 расширений и включающей около 375 000 участников сообщества, поработать хакподполью будет над чем.
Поэтому всецело разделяем обеспокоенность Adobe и настоятельно рекомендуем как можно скорее обновиться до последних версий.
Adobe
Adobe Security Bulletin
Security Updates Available for Adobe Commerce | APSB21-64
Forwarded from Эксплойт | Live
Хакеры начали возвращать Poly Network часть похищенной криптовалюты
Напомним, что всего хакеры похитили у межсетевого протокола Poly Network криптовалюту на сумму почти $600 млн.
Платформа сразу же призвала майнеров внести в чёрный список токены адресов злоумышленников.
Вероятно, теперь хакерам трудно отмыть и обналичить криптовалюту, поэтому они пришли к тому, что самым приемлемым вариантом будет просто вернуть украденные деньги.
Что они, собственно говоря, и сделали: уже порядка $4,8 млн было перечислено хакерами на адреса биржи.
Напомним, что всего хакеры похитили у межсетевого протокола Poly Network криптовалюту на сумму почти $600 млн.
Платформа сразу же призвала майнеров внести в чёрный список токены адресов злоумышленников.
Вероятно, теперь хакерам трудно отмыть и обналичить криптовалюту, поэтому они пришли к тому, что самым приемлемым вариантом будет просто вернуть украденные деньги.
Что они, собственно говоря, и сделали: уже порядка $4,8 млн было перечислено хакерами на адреса биржи.
«Империя наносит ответный удар» - так мы обозначим, пожалуй, эпический патч от Microsoft, который исправляет в общей сложности 44 CVE, из которых 7 - критические, 3 - zeroday, 37 - важные, 13 - уязвимости удаленного выполнения кода, 8 - касаются раскрытия информации, а главное - содержит как бы исправления PrintNightmare и PetitPotam.
В общем, баги устранены в NET Core, Visual Studio, ASP.NET Core, Azure, Центр обновления Windows, диспетчер очереди печати Windows, Windows Media, Защитник Windows, клиент удаленного рабочего стола, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office SharePoint и др.
К исправленным ошибкам нулевого дня относятся:
• CVE-2021-36948: уязвимость, связанная с повышением привилегий Windows Update Medic;
• CVE-2021-36942: уязвимость подмены Windows LSA;
• CVE-2021-36936: уязвимости диспетчера очереди печати Windows.
При этом из них, согласно данным Microsoft, эксплуатировалась в реале лишь CVE-2021-36948, однако кем и как история умалчивает. Мы полагаем, что за ней может скрываться ноябрьская 2020-года CVE-2020-17070, а рокировка может быть своеобразным фокусом для злоумышленников.
На практике же среди прочих следует уделить внимание CVE-2021-26424, которая непосредственно касается Windows TCP/IP Remote Code Execution в весьма популярных Windows 7–10 и Windows Server 2008–2019. Ошибка, с большой долей вероятности, может быть использована злоумышленниками в виду ее относительной тривиальности, как например CVE-2020-16898, экплуатировавшаяся вдоль и поперек в прошлом году.
Аналогичное замечание относится и к CVE-2021-26432, которая представляет собой патч для драйвера NFS ONCRPC XDR служб Windows, эксплуатация ошибки не требует ни привилегии, ни взаимодействия с пользователем.
Можно отказываться от фильтров NETSH в вопросе противодействия атакам PetitPotam, патч действительно нейтрализует вектор этой атаки, блокируя вызовы уязвимых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через интерфейс LSARPC. Но одновременно с этим и блокирует программное обеспечение резервного копирования, которое использует функцию EFS API OpenEncryptedFileRaw (A / W) в Windows 7 и Windows Server 2008, для которых потребуется получить у разработчика соответствующие программное обеспечение новой версии. Все для клиентов, как говорится.
Уязвимость PrintNightmare также устранена с помощью ввода по умолчанию требования от пользователя прав администратора для установки драйвера принтера с помощью функции Указать и напечатать.
Все бы ничего, но!
К сожалению, вскоре после того, как Microsoft выпустила обновление безопасности, небезызвестный исследователь
Benjamin Delpy забомбил, что его пакетный драйвер печати PoC, по-прежнему, продолжает работать Still SYSTEM from standard user…
Похоже, ответный «удар империи» немного отрекошетил, в обратную сторону. Эх, а мы так надеялись.
В общем, баги устранены в NET Core, Visual Studio, ASP.NET Core, Azure, Центр обновления Windows, диспетчер очереди печати Windows, Windows Media, Защитник Windows, клиент удаленного рабочего стола, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office SharePoint и др.
К исправленным ошибкам нулевого дня относятся:
• CVE-2021-36948: уязвимость, связанная с повышением привилегий Windows Update Medic;
• CVE-2021-36942: уязвимость подмены Windows LSA;
• CVE-2021-36936: уязвимости диспетчера очереди печати Windows.
При этом из них, согласно данным Microsoft, эксплуатировалась в реале лишь CVE-2021-36948, однако кем и как история умалчивает. Мы полагаем, что за ней может скрываться ноябрьская 2020-года CVE-2020-17070, а рокировка может быть своеобразным фокусом для злоумышленников.
На практике же среди прочих следует уделить внимание CVE-2021-26424, которая непосредственно касается Windows TCP/IP Remote Code Execution в весьма популярных Windows 7–10 и Windows Server 2008–2019. Ошибка, с большой долей вероятности, может быть использована злоумышленниками в виду ее относительной тривиальности, как например CVE-2020-16898, экплуатировавшаяся вдоль и поперек в прошлом году.
Аналогичное замечание относится и к CVE-2021-26432, которая представляет собой патч для драйвера NFS ONCRPC XDR служб Windows, эксплуатация ошибки не требует ни привилегии, ни взаимодействия с пользователем.
Можно отказываться от фильтров NETSH в вопросе противодействия атакам PetitPotam, патч действительно нейтрализует вектор этой атаки, блокируя вызовы уязвимых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через интерфейс LSARPC. Но одновременно с этим и блокирует программное обеспечение резервного копирования, которое использует функцию EFS API OpenEncryptedFileRaw (A / W) в Windows 7 и Windows Server 2008, для которых потребуется получить у разработчика соответствующие программное обеспечение новой версии. Все для клиентов, как говорится.
Уязвимость PrintNightmare также устранена с помощью ввода по умолчанию требования от пользователя прав администратора для установки драйвера принтера с помощью функции Указать и напечатать.
Все бы ничего, но!
К сожалению, вскоре после того, как Microsoft выпустила обновление безопасности, небезызвестный исследователь
Benjamin Delpy забомбил, что его пакетный драйвер печати PoC, по-прежнему, продолжает работать Still SYSTEM from standard user…
Похоже, ответный «удар империи» немного отрекошетил, в обратную сторону. Эх, а мы так надеялись.
Twitter
🥝 Benjamin Delpy
Great #patchtuesday Microsoft, but did you not forgot something for #printnightmare? 🤔 Still SYSTEM from standard user... (I may have missed something, but #mimikatz🥝mimispool library still loads... 🤷♂️)
Цепочка загадочных событий в деле Kaseya продолжается.
После таинственного исчезновения банды вымогателей REvil, которое произошло сразу после телефонного разговора лидеров РФ и США, • представители последней жертвы вымогателей - Kaseya заявили, что получили универсальный дешифратор для всех своих жертв ransomware от неназванной доверенной третьей стороны.
А на днях исследователь безопасности Pancak3 сообшил о публикации в даркнете универсального дешифратора REvil.
После внимательного изучения ключа установлено, что ключ подходит лишь для систем, атакованных в рамках кампании Kaseya. По мнению специалистов, к публикации ключа скорее причастны сами хакеры, нежели представители пострадавшей компании.
И все же мы ошибались: вместо кина для взрослых, в эфире инфосек настоящий сериал. Будем следить.
После таинственного исчезновения банды вымогателей REvil, которое произошло сразу после телефонного разговора лидеров РФ и США, • представители последней жертвы вымогателей - Kaseya заявили, что получили универсальный дешифратор для всех своих жертв ransomware от неназванной доверенной третьей стороны.
А на днях исследователь безопасности Pancak3 сообшил о публикации в даркнете универсального дешифратора REvil.
После внимательного изучения ключа установлено, что ключ подходит лишь для систем, атакованных в рамках кампании Kaseya. По мнению специалистов, к публикации ключа скорее причастны сами хакеры, нежели представители пострадавшей компании.
И все же мы ошибались: вместо кина для взрослых, в эфире инфосек настоящий сериал. Будем следить.
Twitter
pancak3
#kaseya master key? OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s= github.com/Fr3akaLmaTT3r/…
А тем временем, наследие нашумевшей в свое время банды вымогателей Egregor продолжает преследовать ее жертв.
Схлопнувшиеся в феврале 2021 после совместной операции правоохранительных органов Франции и Украины Egregor, а прошлом легендарные Maze, как выясняется, преследовали и продолжают преследовать как страшный сон разработчика и издателя игры Crytek.
Копания на днях разослала уведомления клиентам с предупреждением об утечке их данных, которые были получены хакерами в результате взлома сети в октябре 2020 года. Реализованная на рынок Egregor информация о клиентах Crytek включала имя и фамилию людей, должность, название компании, электронную почту, служебный адрес, номер телефона и страну.
Принимая во внимание попытки компании преуменьшить обозначаемый ими потенциальный ущерб, в реале по ходу инфа начала эффективно отрабатываться другими киберпреступниками, учитывая связи хакеров, которые они выстраивали в формате RaaS.
А вот для гиганта Accenture попытки приукрасить инцидент могут закончиться достаточно печально. Ведь совсем она стала жертвой вымогателя Lockbit. Отметим, что Accenture сама представлена в инфосек, в прошлом году выручка компании составила более 40 млрд. долларов, а ее штат насчитывает более 550 000 сотрудников в разных странах.
После ответки о том, что они смогли оперативно выявить активность в одной из сред, локализовать проблему и восстановить системы из резервной копии, хакеры в своем обращении написали, что за атакой на компанию стоял инсайдер, что достаточно сильно подогрело публику.
После чего компания решила отмалчиваться и не отказалась от комментариев.
Но, как стало известно Hudson Rock в результате атаки были скомпрометированы около 2500 компьютеров сотрудников и партнеров, а Cyble заявили о требовании выкупа в размере 50 млн. долларов за 6 ТБ украденных данных.
Совсем скоро, мы увидим, чем ответят Lockbit и может быть они представят подтверждения своих слов. Не зря же анонсировали.
Схлопнувшиеся в феврале 2021 после совместной операции правоохранительных органов Франции и Украины Egregor, а прошлом легендарные Maze, как выясняется, преследовали и продолжают преследовать как страшный сон разработчика и издателя игры Crytek.
Копания на днях разослала уведомления клиентам с предупреждением об утечке их данных, которые были получены хакерами в результате взлома сети в октябре 2020 года. Реализованная на рынок Egregor информация о клиентах Crytek включала имя и фамилию людей, должность, название компании, электронную почту, служебный адрес, номер телефона и страну.
Принимая во внимание попытки компании преуменьшить обозначаемый ими потенциальный ущерб, в реале по ходу инфа начала эффективно отрабатываться другими киберпреступниками, учитывая связи хакеров, которые они выстраивали в формате RaaS.
А вот для гиганта Accenture попытки приукрасить инцидент могут закончиться достаточно печально. Ведь совсем она стала жертвой вымогателя Lockbit. Отметим, что Accenture сама представлена в инфосек, в прошлом году выручка компании составила более 40 млрд. долларов, а ее штат насчитывает более 550 000 сотрудников в разных странах.
После ответки о том, что они смогли оперативно выявить активность в одной из сред, локализовать проблему и восстановить системы из резервной копии, хакеры в своем обращении написали, что за атакой на компанию стоял инсайдер, что достаточно сильно подогрело публику.
После чего компания решила отмалчиваться и не отказалась от комментариев.
Но, как стало известно Hudson Rock в результате атаки были скомпрометированы около 2500 компьютеров сотрудников и партнеров, а Cyble заявили о требовании выкупа в размере 50 млн. долларов за 6 ТБ украденных данных.
Совсем скоро, мы увидим, чем ответят Lockbit и может быть они представят подтверждения своих слов. Не зря же анонсировали.
Twitter
vx-underground
@Accenture
Интересно наблюдать переговорный процесс крупнейшего киберстраховщика Accenture и вымогателей Lockbit.
В ходе первого раунда компания, как мы сообщали вчера, пыталась замять инцидент и продемонстрировала свою неприступность.
В ответ хакеры к таймеру обратного отчета (момент слива украденной информации) приклеили запись о вероятном источнике утечки, указав на возможного инсайдера.
Accenture предпочли не отвечать, а тем временем ажиотаж вокруг ситуации привлек внимание инфосек-аудитории и в сеть стали просачиваться последствия атаки ransomware: 6 Тб и выкуп в размере 50 млн. долларов.
А сегодня после обнуления счетчика вниманию общественности хакеры представили маркетинговые документы, которые не содержали конфиденциальной информации. Счетчик при этом начал новый отсчет.
Что ж, по ходу первый транш зашел, судьба последующих переговоров станет известна совсем скоро. Ждем.
В ходе первого раунда компания, как мы сообщали вчера, пыталась замять инцидент и продемонстрировала свою неприступность.
В ответ хакеры к таймеру обратного отчета (момент слива украденной информации) приклеили запись о вероятном источнике утечки, указав на возможного инсайдера.
Accenture предпочли не отвечать, а тем временем ажиотаж вокруг ситуации привлек внимание инфосек-аудитории и в сеть стали просачиваться последствия атаки ransomware: 6 Тб и выкуп в размере 50 млн. долларов.
А сегодня после обнуления счетчика вниманию общественности хакеры представили маркетинговые документы, которые не содержали конфиденциальной информации. Счетчик при этом начал новый отсчет.
Что ж, по ходу первый транш зашел, судьба последующих переговоров станет известна совсем скоро. Ждем.
Twitter
vx-underground
Lockbit ransomware group has indeed ransomed @Accenture. Today they briefly released 2,384 files which were inaccessible due to TOR domain outages, presumably due to high traffic. Lockbit has rolled back the clock - stating data will be re-released 12 Aug…
Не прошло и 24 часов, как выяснилось, что Microsoft вновь облажались.
Обнародованная вчера исследователем Бенджамином Делпи уязвимость в диспетчере очереди печати Windows, по-прежнему, позволяет злоумышленникам получить системные привилегии, просто подключившись к удаленному серверу печати.
Разработчик подтвердил ошибку удаленного выполнения кода и присвоил ей CVE-2021-36958, таким образом пролонгировав эпопею PrintNightmare.
Как выяснилось, несмотря на то, что обновлением безопасности Microsoft изменила процедуру установки нового драйвера принтера, потребовав для нее права администратора, таких прав не потребуется для подключения к принтеру, если этот драйвер уже установлен. Если драйвер существует на клиенте - подключение к удаленному принтеру будет выполняться директивой CopyFile для пользователей без прав администратора.
Более того, бага позволяет скопировать DLL Делпи на клиент и запустить ее, чтобы открыть командную строку уровня SYSTEM.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM, а затем устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя.
Microsoft предложила обойти уязвимость, остановив и отключив службу диспетчера очереди печати, и, следуя логике, вообще отказаться от печати (?).
Но удивляться не стоит, это же Microsoft. Забавный квест PrintNightmare продолжается.
Обнародованная вчера исследователем Бенджамином Делпи уязвимость в диспетчере очереди печати Windows, по-прежнему, позволяет злоумышленникам получить системные привилегии, просто подключившись к удаленному серверу печати.
Разработчик подтвердил ошибку удаленного выполнения кода и присвоил ей CVE-2021-36958, таким образом пролонгировав эпопею PrintNightmare.
Как выяснилось, несмотря на то, что обновлением безопасности Microsoft изменила процедуру установки нового драйвера принтера, потребовав для нее права администратора, таких прав не потребуется для подключения к принтеру, если этот драйвер уже установлен. Если драйвер существует на клиенте - подключение к удаленному принтеру будет выполняться директивой CopyFile для пользователей без прав администратора.
Более того, бага позволяет скопировать DLL Делпи на клиент и запустить ее, чтобы открыть командную строку уровня SYSTEM.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM, а затем устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя.
Microsoft предложила обойти уязвимость, остановив и отключив службу диспетчера очереди печати, и, следуя логике, вообще отказаться от печати (?).
Но удивляться не стоит, это же Microsoft. Забавный квест PrintNightmare продолжается.
Telegram
SecAtor
«Империя наносит ответный удар» - так мы обозначим, пожалуй, эпический патч от Microsoft, который исправляет в общей сложности 44 CVE, из которых 7 - критические, 3 - zeroday, 37 - важные, 13 - уязвимости удаленного выполнения кода, 8 - касаются раскрытия…
Ни что так не вразумляет злоумышленника как скомпрометированный почтовый ящик, IP-адрес и отпечатки устройства особенно, особенно если дело касается украденных 611 млн. долларов и к ним приковано внимание всего криптосообщетсва и не только.
Команда специалистов по информационной безопасности SlowMist сообщила о результатах собственного расследования громкого инцидента и смогла отследить сетевые идентификаторы хакеров, причастных к атаке на Poly Network.
После публичных обращений к хакерам и резкой консолидации криптосообщества, готового ввести свои санкции на их кошельки, Poly Network рапортовала о возвращении похищенных цифровых активов на сумму более 260 миллионов долларов.
Примечательно, что за семь минут до отправки первой транзакции, хакер создал токен под названием Хакер готов сдаться и отправил этот токен на указанный Polygon адрес возврата денег.
Только представьте уровень разочарования, когда ты владеешь состоянием, но не в силах им воспользоваться. Вероятно, оправдываешь свой поступок тем, что внес свою лепту в развитие инфосека криптоиндустрии.
По этому поводу разгорелись споры будет ли это оценено в рамках Bug Bounty. К тому же выплата вознаграждений за обнаружение ошибок в программном обеспечении - обычная практика в мире высоких технологий.
Например, Альянс разработчиков открытого исходного кода BinomialPool уже предложил вознаграждение 5-10% за реализацию таких криптохаков, а что: хакеры не попадают в тюрьму, сообщество несет приемлемые потери, код становится лучше.
Все же интересно, какую позицию примут представители Poly Network, а особенно компетентные органы с точки зрения оценки обстоятельств в юридической плоскости. Во всяком случае создан уникальный прецедент, чем он завершится поглядим.
Команда специалистов по информационной безопасности SlowMist сообщила о результатах собственного расследования громкого инцидента и смогла отследить сетевые идентификаторы хакеров, причастных к атаке на Poly Network.
После публичных обращений к хакерам и резкой консолидации криптосообщества, готового ввести свои санкции на их кошельки, Poly Network рапортовала о возвращении похищенных цифровых активов на сумму более 260 миллионов долларов.
Примечательно, что за семь минут до отправки первой транзакции, хакер создал токен под названием Хакер готов сдаться и отправил этот токен на указанный Polygon адрес возврата денег.
Только представьте уровень разочарования, когда ты владеешь состоянием, но не в силах им воспользоваться. Вероятно, оправдываешь свой поступок тем, что внес свою лепту в развитие инфосека криптоиндустрии.
По этому поводу разгорелись споры будет ли это оценено в рамках Bug Bounty. К тому же выплата вознаграждений за обнаружение ошибок в программном обеспечении - обычная практика в мире высоких технологий.
Например, Альянс разработчиков открытого исходного кода BinomialPool уже предложил вознаграждение 5-10% за реализацию таких криптохаков, а что: хакеры не попадают в тюрьму, сообщество несет приемлемые потери, код становится лучше.
Все же интересно, какую позицию примут представители Poly Network, а особенно компетентные органы с точки зрения оценки обстоятельств в юридической плоскости. Во всяком случае создан уникальный прецедент, чем он завершится поглядим.
Twitter
BinomialPool
@zero1_flux I propose a general 5-10% bounty for crypto-hacks. This could be a win-win: (1.) Hackers don't go into jail (2.) The community faces acceptable losses (3.) Code gets better. Of course, my proposal does not apply for insider-frauds, but only for…
Forwarded from Social Engineering
🧠 Социальная Инженерия и обход биометрической системы безопасности.
Социальный Инженер ожидает от своей цели подозрение и недоверие, и он всегда подготавливается, чтобы недоверие превратить в доверие.
Хороший социальный инженер планирует атаку подобно шахматной игре, предполагая вопросы, которые жертва может задать, так что у него могут быть готовы подходящие ответы.
• Компания, проводившая пентест банка, привлекла Дженни для проверки эффективности работы системы биометрической идентификации. Задача состояла в том, чтобы проникнуть за охраняемый периметр и вставить флешку со специальным ПО в один из корпоративных компьютеров.
• Традиционный вариант с пожарной тревогой и эвакуацией персонала из здания Дженни отмела. Понаблюдав за тем, как выглядят и ведут себя сотрудники, проходящие за дверь, снабженную сканером отпечатка пальца, девушка подобрала более подходящий план действий. Она оделась в соответствии с дресс-кодом, но загипсовала себе руку. При этом у нее все же оставалась возможность прикоснуться «больной» рукой к сканеру.
• Неуклюже прикладывая палец к сканеру, Дженни сетовала на то, что «тупой замок опять не работает». Наблюдавший за этим охранник попытался помочь и со словами «а вы поплотнее прижать попробуйте» поднажал на больную руку. Это не помогло, а Дженни сделала вид, что от еще одной подобной попытки она потеряет сознание от боли. Сердобольный секьюрити вошел в положение и открыл «сотруднице» дверь своим отпечатком. Так Дженни выполнила свою задачу, а банк провалил #пентест.
• Оригинал интервью и другие истории от Дженни: https://darknetdiaries.com/trannoscript/90/
• Перевод на RU: https://habr.com/ru/company/searchinform/blog/571024/
‼️ Данная история еще раз доказывает, что основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Советую обратить внимание на другие истории и методы применяемые Социальными Инженерами на практике. Найти нужный материал ты можешь по хештегу #СИ. Твой S.E.
Социальный Инженер ожидает от своей цели подозрение и недоверие, и он всегда подготавливается, чтобы недоверие превратить в доверие.
Хороший социальный инженер планирует атаку подобно шахматной игре, предполагая вопросы, которые жертва может задать, так что у него могут быть готовы подходящие ответы.
🖖🏻 Приветствую тебя user_name.• Сегодня ты узнаешь, как с помощью Социальной Инженерии, девушка смогла обойти биометрическую защиту и проникла на охраняемый периметр организации. К слову, девушка, которую зовут Дженни Редклифф, отличный Социальный Инженер и востребованный подрядчик крупных #ИБ компаний, которые ищут уязвимости не только в ИТ-инфраструктуре, но и в персонале.
• Компания, проводившая пентест банка, привлекла Дженни для проверки эффективности работы системы биометрической идентификации. Задача состояла в том, чтобы проникнуть за охраняемый периметр и вставить флешку со специальным ПО в один из корпоративных компьютеров.
• Традиционный вариант с пожарной тревогой и эвакуацией персонала из здания Дженни отмела. Понаблюдав за тем, как выглядят и ведут себя сотрудники, проходящие за дверь, снабженную сканером отпечатка пальца, девушка подобрала более подходящий план действий. Она оделась в соответствии с дресс-кодом, но загипсовала себе руку. При этом у нее все же оставалась возможность прикоснуться «больной» рукой к сканеру.
• Неуклюже прикладывая палец к сканеру, Дженни сетовала на то, что «тупой замок опять не работает». Наблюдавший за этим охранник попытался помочь и со словами «а вы поплотнее прижать попробуйте» поднажал на больную руку. Это не помогло, а Дженни сделала вид, что от еще одной подобной попытки она потеряет сознание от боли. Сердобольный секьюрити вошел в положение и открыл «сотруднице» дверь своим отпечатком. Так Дженни выполнила свою задачу, а банк провалил #пентест.
• Оригинал интервью и другие истории от Дженни: https://darknetdiaries.com/trannoscript/90/
• Перевод на RU: https://habr.com/ru/company/searchinform/blog/571024/
‼️ Данная история еще раз доказывает, что основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Советую обратить внимание на другие истории и методы применяемые Социальными Инженерами на практике. Найти нужный материал ты можешь по хештегу #СИ. Твой S.E.
А мы знаем, как эти выходные пройдут у IT в крупном секторе экономики.
Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:
- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.
- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.
- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.
Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.
По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.
Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.
Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:
- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.
- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.
- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.
Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.
По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.
Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.