Forwarded from Positive Events
🚨 Долгожданные новости о майской кибербитве
Для синих и красных команд The Standoff начнётся 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.
Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласим напрямую, минуя отборочный тур. Напомним этих героев:
🔺 Codeby&NitroTeam
🔺 True0xA3
🔺 SPbCTF
🔺 Invuls
🔺 Bulba Hackers
📊 Оставшиеся 10 слотов могут занять команды из любой точки мира. Отбирать команды мы будем по «резюме». Если у вас есть опыт в Offensive Security и пентесте, точно подавайте заявку. Можно писать на русском или английском, как вам комфортнее.
👉 Для русскоговорящих команд форма регистрации — forms.gle/zPvrpadk9VfRWYBHA
👉 Red teams registration for participating in The Standoff — forms.gle/Vg1BH1Duj3hrDVaZ8
Регистрация открыта до 3 апреля. Жюри рассмотрит все заявки, мы свяжемся с капитанами до 15 апреля и опубликуем список приглашённых команд. Удачи! 💪
Для синих и красных команд The Standoff начнётся 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.
Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласим напрямую, минуя отборочный тур. Напомним этих героев:
🔺 Codeby&NitroTeam
🔺 True0xA3
🔺 SPbCTF
🔺 Invuls
🔺 Bulba Hackers
📊 Оставшиеся 10 слотов могут занять команды из любой точки мира. Отбирать команды мы будем по «резюме». Если у вас есть опыт в Offensive Security и пентесте, точно подавайте заявку. Можно писать на русском или английском, как вам комфортнее.
👉 Для русскоговорящих команд форма регистрации — forms.gle/zPvrpadk9VfRWYBHA
👉 Red teams registration for participating in The Standoff — forms.gle/Vg1BH1Duj3hrDVaZ8
Регистрация открыта до 3 апреля. Жюри рассмотрит все заявки, мы свяжемся с капитанами до 15 апреля и опубликуем список приглашённых команд. Удачи! 💪
Microsoft в очередной раз уступает частным специалистам в вопросах исправления уязвимостей, над которыми IT-гигант тщетно работает месяцами, даже с учетом того, что в паблике появляются эксплойты под них.
0-day CVE-2021-34484 с оценкой CVSS v3 7,8 в службе профилей пользователей, связанная с локальным повышением привилегий в Windows 10, Windows 11 и Windows Server, наконец-то обрела свой патч. Эта та самая ошибка, которую раскрыл исследователь Абдельхамид Насери и выпустил PoC, обходивший исправления Microsoft.
Впрочем, это разработчиков не интересовало - они просто пометили багу исправленной, и сделали это несколько раз.
Первоначально на помощь микромягким пришла команда 0patch, выпустив неофициальное обновление безопасности для всех версий Windows. В свою очередь, разработчик выкатил второе обновление безопасности в рамках PatchTuesday в январе 2022 года, присвоив обходу новый идентификатор CVE-2022-21919 и пометив уязвимость исправленной.
Но Насери вновь нашел способ обойти исправление, добавив, что эта попытка была «хуже первой». При этом после тестов еще прошлого патча для profext.dll исследователи 0patch обнаружили, что он по-прежнему защищает пользователей от нового метода эксплуатации, позволяя этим системам оставаться безопасными. Однако медвежья услуга в виде нового исправления от Microsoft привела к удалению неофициального исправления.
После чего 0patch вновь выручили пользователей, выпустив уже новый микропатч для всех зарегистрированных пользователей последних версий Windows. Следует отметить, что Windows 10 1803, Windows 10 1809 и Windows 10 2004 по-прежнему защищены исходным патчем 0patch, так как поддержка этих устройств закончилась и они не получили обновления Microsoft, заменяющего DLL.
Сами Microsoft оказались даже не в курсе всех событий и вообще каких-либо проблем LPE, но обещали заняться этим вопросом, что вызывает, пожалуй, только боль.
Собственно это все, что вам нужно знать о Microsoft.
0-day CVE-2021-34484 с оценкой CVSS v3 7,8 в службе профилей пользователей, связанная с локальным повышением привилегий в Windows 10, Windows 11 и Windows Server, наконец-то обрела свой патч. Эта та самая ошибка, которую раскрыл исследователь Абдельхамид Насери и выпустил PoC, обходивший исправления Microsoft.
Впрочем, это разработчиков не интересовало - они просто пометили багу исправленной, и сделали это несколько раз.
Первоначально на помощь микромягким пришла команда 0patch, выпустив неофициальное обновление безопасности для всех версий Windows. В свою очередь, разработчик выкатил второе обновление безопасности в рамках PatchTuesday в январе 2022 года, присвоив обходу новый идентификатор CVE-2022-21919 и пометив уязвимость исправленной.
Но Насери вновь нашел способ обойти исправление, добавив, что эта попытка была «хуже первой». При этом после тестов еще прошлого патча для profext.dll исследователи 0patch обнаружили, что он по-прежнему защищает пользователей от нового метода эксплуатации, позволяя этим системам оставаться безопасными. Однако медвежья услуга в виде нового исправления от Microsoft привела к удалению неофициального исправления.
После чего 0patch вновь выручили пользователей, выпустив уже новый микропатч для всех зарегистрированных пользователей последних версий Windows. Следует отметить, что Windows 10 1803, Windows 10 1809 и Windows 10 2004 по-прежнему защищены исходным патчем 0patch, так как поддержка этих устройств закончилась и они не получили обновления Microsoft, заменяющего DLL.
Сами Microsoft оказались даже не в курсе всех событий и вообще каких-либо проблем LPE, но обещали заняться этим вопросом, что вызывает, пожалуй, только боль.
Собственно это все, что вам нужно знать о Microsoft.
0Patch
A Bug That Doesn't Want To Die (CVE-2021-34484, CVE-2022-21919, CVE-2022-26904)
Twice Bypassed and Twice Micropatched, Will Third Time be a Charm? by Mitja Kolsek, the 0patch Team Update 8/10/2022: April 2022 Windows...
Нас спрашивают - почему мы не пишем об кибератаке на Мираторг и кучу его дочек с использованием Windows BitLocker?
А потому что мы писали про это все последние годы. Вот эти все "инфомационная безопасность за мелкий прайс" и прочее.
В условиях активного внешнего противодействия, обусловленного событиями на Украине и фактически открытой пропагандой и поддержкой на Западе кибератак на российские организации (по этому поводу мы еще напишем отдельный пост), отечественные государственные учреждения и коммерческие компании оказались не готовы защищать свои информационные ресурсы. Потому что жадные и недалекие.
И все это при том, что Россия является одним из мировых лидеров в области инфосека и качество кадровой составляющей у нас прекрасное (другой вопрос - не всегда хватает количества).
Печально это все...
А потому что мы писали про это все последние годы. Вот эти все "инфомационная безопасность за мелкий прайс" и прочее.
В условиях активного внешнего противодействия, обусловленного событиями на Украине и фактически открытой пропагандой и поддержкой на Западе кибератак на российские организации (по этому поводу мы еще напишем отдельный пост), отечественные государственные учреждения и коммерческие компании оказались не готовы защищать свои информационные ресурсы. Потому что жадные и недалекие.
И все это при том, что Россия является одним из мировых лидеров в области инфосека и качество кадровой составляющей у нас прекрасное (другой вопрос - не всегда хватает количества).
Печально это все...
Компания Dell бьет тревогу и рекомендуют своим клиентам (не всем, но об этом позже) как можно скорее обновить BIOS на компьютерах Alienware, Inspiron, Vostro и Edge Gateway серии 3000.
Дело в том что было обнаружено пять новых уязвимостей безопасности, которые в случае успешного использования могут привести к выполнению кода в уязвимых системах, коих счет идет на миллионы. Отслеживаемые как CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421 уязвимости имеют высокой рейтинг степени опасности и оцениваются в 8,2 из 10 по CVSS.
Все недостатки связаны с неправильной проверкой ввода, которая влияет на режим управления системой (SMM) прошивки, что фактически позволяет злоумышленнику, прошедшему проверку подлинности, использовать прерывание управления системой (SMI) для выполнения произвольного кода.
SMM относится к специальному режиму ЦП в микроконтроллерах x86, который предназначен для обработки общесистемных функций, таких как управление питанием, контроль системного оборудования, мониторинг температуры и т.д. Собственно всякий раз, когда запрашивается одна из этих операций, во время выполнения вызывается немаскируемое прерывание (SMI), которое выполняет код SMM, установленный в BIOS. Учитывая, что этот код выполняется с наивысшим уровнем привилегий и невидим для базовой операционной системы, то данный метод делает возможным запуск малвари до загрузки системы.
Но во всей этой истории есть одно НО! Ввиду политических интриг и повсеместной русофобии придется потанцевать с бубном чтоб накатить обновление, так как позиция производителя на официальном сайте следующая "В настоящее время компания Dell не может оказывать техническую поддержку на территории России. Приносим извинения за доставленные неудобства."
Дело в том что было обнаружено пять новых уязвимостей безопасности, которые в случае успешного использования могут привести к выполнению кода в уязвимых системах, коих счет идет на миллионы. Отслеживаемые как CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421 уязвимости имеют высокой рейтинг степени опасности и оцениваются в 8,2 из 10 по CVSS.
Все недостатки связаны с неправильной проверкой ввода, которая влияет на режим управления системой (SMM) прошивки, что фактически позволяет злоумышленнику, прошедшему проверку подлинности, использовать прерывание управления системой (SMI) для выполнения произвольного кода.
SMM относится к специальному режиму ЦП в микроконтроллерах x86, который предназначен для обработки общесистемных функций, таких как управление питанием, контроль системного оборудования, мониторинг температуры и т.д. Собственно всякий раз, когда запрашивается одна из этих операций, во время выполнения вызывается немаскируемое прерывание (SMI), которое выполняет код SMM, установленный в BIOS. Учитывая, что этот код выполняется с наивысшим уровнем привилегий и невидим для базовой операционной системы, то данный метод делает возможным запуск малвари до загрузки системы.
Но во всей этой истории есть одно НО! Ввиду политических интриг и повсеместной русофобии придется потанцевать с бубном чтоб накатить обновление, так как позиция производителя на официальном сайте следующая "В настоящее время компания Dell не может оказывать техническую поддержку на территории России. Приносим извинения за доставленные неудобства."
Forwarded from SecurityLab.ru
Security-новости от Александра Антипова. Выпуск #53
— Сайты властей Израиля подверглись беспрецедентной кибератаке, найдены новые уязвимости спекулятивного выполнения в ЦП Intel, AMD и Arm, Китай получил шпионский инструмент АНБ США, а в портах страны — опасная утечка данных. Смотрите 53-й выпуск наших новостей.
— Для подписчиков канала еженедельный конкурс в котором каждый может выиграть обучение в УЦ Информзащита курс "Защита сетевого периметра ". А так же раздаем подписчикам канала годовую подписку на лучший, по нашему мнению, VPN сервис - hidemy.name.
— Смотрите наши ролики, подписывайтесь на канал, жмите на колокольчик. Мы рады видеть новых подписчиков. Вместе мы сделаем мир безопаснее и спасем его от киберхаоса!
https://www.youtube.com/watch?v=1pjsS2NgwxQ
— Сайты властей Израиля подверглись беспрецедентной кибератаке, найдены новые уязвимости спекулятивного выполнения в ЦП Intel, AMD и Arm, Китай получил шпионский инструмент АНБ США, а в портах страны — опасная утечка данных. Смотрите 53-й выпуск наших новостей.
— Для подписчиков канала еженедельный конкурс в котором каждый может выиграть обучение в УЦ Информзащита курс "Защита сетевого периметра ". А так же раздаем подписчикам канала годовую подписку на лучший, по нашему мнению, VPN сервис - hidemy.name.
— Смотрите наши ролики, подписывайтесь на канал, жмите на колокольчик. Мы рады видеть новых подписчиков. Вместе мы сделаем мир безопаснее и спасем его от киберхаоса!
https://www.youtube.com/watch?v=1pjsS2NgwxQ
YouTube
Wildberries атакован, введен режим ЧС в Израиле из-за DDoS-атаки. Security-новости #53 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях фрагменты из песен, которые поднимают настроение)…
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях фрагменты из песен, которые поднимают настроение)…
Тем временем, Hive пополнили свой DLS новой строчкой - жертвой атаки ransomware стало Министерство иностранных дел Индонезии.
Куда больше не повезло Греции, где государственный почтовый оператор ELTA вынужден был прекратить работу после атаки с использованием ransomware.
Государственная почтовая служба Греции сообщила об обнаруженном инциденте в воскресенье. Как выяснили специалисты, злоумышленники использовали неисправленную уязвимость, чтобы сбросить вредоносное ПО, позволяющее получить доступ к одной рабочей станции, после чего пошифровали всех критически важные для бизнес-операций системы ELTA.
При этом представители ELTA не поделились условиями выкупа, равно как и не подтвердили возможность утечки данных клиентов. До тех пор, пока все системы не будут проверены и восстановлены, агентство советует клиентам использовать дочернюю компанию ELTA Courier, которая не пострадала от кибератаки.
Куда больше не повезло Греции, где государственный почтовый оператор ELTA вынужден был прекратить работу после атаки с использованием ransomware.
Государственная почтовая служба Греции сообщила об обнаруженном инциденте в воскресенье. Как выяснили специалисты, злоумышленники использовали неисправленную уязвимость, чтобы сбросить вредоносное ПО, позволяющее получить доступ к одной рабочей станции, после чего пошифровали всех критически важные для бизнес-операций системы ELTA.
При этом представители ELTA не поделились условиями выкупа, равно как и не подтвердили возможность утечки данных клиентов. До тех пор, пока все системы не будут проверены и восстановлены, агентство советует клиентам использовать дочернюю компанию ELTA Courier, которая не пострадала от кибератаки.
В новый раунд вступили DeadBolt с производителем QNAP.
Как удалось обнаружить Censys, новая волна атак ransomware нацелена на сетевые хранилища (NAS). Жертвам атак выставляется требование выкупа в размере 0,03 биткойна (1200 долларов США) для восстановления зашифрованных файлов.
Операторы вредоносного ПО по-прежнему предлагают производителю сделку в надежде получить 5 биткойнов (200 000 долларов США) за информацию, связанную с уязвимостями, которые они используют в атаках, и 50 биткойнов (2 миллиона долларов США) за мастер-ключ, который можно использовать для восстановления файлов всех жертв.
QNAP предупредила клиентов о новых атаках DeadBolt в январе, посоветовав им немедленно обновить операционную систему QTS до последней версии и уменьшить уязвимость своих устройств. В феврале стало известно, что Deadbolt также нацелен на устройства NAS производства Asustor.
По данным Censys, количество устройств QNAP, зараженных DeadBolt, достигло пика 26 января, когда почти 5000 из 130 000 систем, доступных из Интернет, были заражены вредоносным ПО. QNAP в то время развернула принудительное обновление прошивки для защищенных устройств, что привело к значительному снижению числа заражений в течение следующих недель и к марту опустилось до 300 заражений.
Однако за последние дни произошел новый всплеск заражений устройств QNAP: 19 марта было взломано 1146 устройств, на 22 марта это число увеличилось почти до 1500.
Censys пока не располагают данными, является ли это новой атакой, нацеленной на разные версии операционной системы QTS, или же это последствия использования эксплойта, нацеленного на непропатченные устройства QNAP.
Однако ответ станет понятен исходя из того, чем ответит QNAP, и случится это достаточно скоро, ведь идти на сделку с DeadBolt напрочь отказались и уже не раз демонстрировали свою принципиальную позицию.
Как удалось обнаружить Censys, новая волна атак ransomware нацелена на сетевые хранилища (NAS). Жертвам атак выставляется требование выкупа в размере 0,03 биткойна (1200 долларов США) для восстановления зашифрованных файлов.
Операторы вредоносного ПО по-прежнему предлагают производителю сделку в надежде получить 5 биткойнов (200 000 долларов США) за информацию, связанную с уязвимостями, которые они используют в атаках, и 50 биткойнов (2 миллиона долларов США) за мастер-ключ, который можно использовать для восстановления файлов всех жертв.
QNAP предупредила клиентов о новых атаках DeadBolt в январе, посоветовав им немедленно обновить операционную систему QTS до последней версии и уменьшить уязвимость своих устройств. В феврале стало известно, что Deadbolt также нацелен на устройства NAS производства Asustor.
По данным Censys, количество устройств QNAP, зараженных DeadBolt, достигло пика 26 января, когда почти 5000 из 130 000 систем, доступных из Интернет, были заражены вредоносным ПО. QNAP в то время развернула принудительное обновление прошивки для защищенных устройств, что привело к значительному снижению числа заражений в течение следующих недель и к марту опустилось до 300 заражений.
Однако за последние дни произошел новый всплеск заражений устройств QNAP: 19 марта было взломано 1146 устройств, на 22 марта это число увеличилось почти до 1500.
Censys пока не располагают данными, является ли это новой атакой, нацеленной на разные версии операционной системы QTS, или же это последствия использования эксплойта, нацеленного на непропатченные устройства QNAP.
Однако ответ станет понятен исходя из того, чем ответит QNAP, и случится это достаточно скоро, ведь идти на сделку с DeadBolt напрочь отказались и уже не раз демонстрировали свою принципиальную позицию.
В компания HP предупреждают об уязвимостях, которые затрагивают сотни моделей принтеров LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet.
О первой проблеме сообщили специалисты из Trend Micro Zero Day Initiative. Угроза, отслеживаемой как CVE-2022-3942 связана с переполнением буфера и может привести к удаленному выполнению кода на уязвимом компьютере. Несмотря на то, что бага получила оценку серьезности 8,4 (высокая по CVSS) в HP ее определили как критическую. Видимо потому, что в Okta подтвердили информацию о 2,5% пострадавших от взлома клиентов в начале этого года.
Следующие угрозы безопасности, о которых предупреждают в компании, могут быть использованы для раскрытия информации, удаленного выполнения кода и отказа в обслуживании. Речь идет об ошибках CVE-2022-24291 (оценка 7,5 по CVSS), CVE-2022-24292 (9,8) и CVE-2022-24293 (9,8) о которых также поведали исследователи из Zero Day Initiative.
Компания HP выпустила обновления безопасности для большинства уязвимых продуктов, но увы не для всех. Для моделей без исправления компания предоставляет инструкции по смягчению последствий, которые в основном связаны с отключением LLMNR (разрешение имен Link-Local Multicast) в настройках сети. Также нет рекомендаций по устранению проблемы для одной из перечисленных моделей LaserJet Pro, но она помечена как ожидающая рассмотрения, поэтому обновления безопасности для нее должны стать доступными в ближайшее время.
Пользователи большинства девайсов могут посетить официальный портал загрузки программного обеспечения и драйверов HP, перейти к выбору своей модели устройства и установить последнюю доступную версию. Благо пока для наших соотечественников эта возможность имеется.
О первой проблеме сообщили специалисты из Trend Micro Zero Day Initiative. Угроза, отслеживаемой как CVE-2022-3942 связана с переполнением буфера и может привести к удаленному выполнению кода на уязвимом компьютере. Несмотря на то, что бага получила оценку серьезности 8,4 (высокая по CVSS) в HP ее определили как критическую. Видимо потому, что в Okta подтвердили информацию о 2,5% пострадавших от взлома клиентов в начале этого года.
Следующие угрозы безопасности, о которых предупреждают в компании, могут быть использованы для раскрытия информации, удаленного выполнения кода и отказа в обслуживании. Речь идет об ошибках CVE-2022-24291 (оценка 7,5 по CVSS), CVE-2022-24292 (9,8) и CVE-2022-24293 (9,8) о которых также поведали исследователи из Zero Day Initiative.
Компания HP выпустила обновления безопасности для большинства уязвимых продуктов, но увы не для всех. Для моделей без исправления компания предоставляет инструкции по смягчению последствий, которые в основном связаны с отключением LLMNR (разрешение имен Link-Local Multicast) в настройках сети. Также нет рекомендаций по устранению проблемы для одной из перечисленных моделей LaserJet Pro, но она помечена как ожидающая рассмотрения, поэтому обновления безопасности для нее должны стать доступными в ближайшее время.
Пользователи большинства девайсов могут посетить официальный портал загрузки программного обеспечения и драйверов HP, перейти к выбору своей модели устройства и установить последнюю доступную версию. Благо пока для наших соотечественников эта возможность имеется.
Forwarded from Social Engineering
👁 Конференции 2021. Что посмотреть?
• Black Hat — ежегодная конференция, которая объединяет в себе множество специалистов по информационной безопасности. Конференцию посещают как представители федеральных агентств и корпораций, так и хакеры. Видео докладов с Black Hat 2021 ты можешь найти на YT:
• SANS Threat Hunting & Incident Response Summit 2021. Отличный плейлист, где ведущие специалисты по #ИБ делятся инструментами и методами, которые используются для выявления злоумышленников, которые нацелены на конфиденциальную информацию в различных организациях. Плейлист.
• The SANS Pen Test Hackfest Summit & Training. Цель этой конференции — решение различных CTF задач и проведение пентеста. В плейлисте собраны крутые лекции которые будут полезны тем, кто интересуется CTF.
https://www.youtube.com/c/SANSOffensiveOperations/playlists
Если тебе интересна тема #CTF, то обрати внимание на нашу подборку CTF площадок и инструментов:
🚩 Игры с неведомым. Список CTF площадок.
🔑 CTF - Инструментарий.
• SANS DFIR Summit 2021. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты. Кладезь полезной информации для тех, кто интересуется о новых инструментах и методах, применяемых в расследованиях. Плейлист.
Большое кол-во материала на тему форензики, ты можешь найти в нашем канале по хэштегу #Форензика.
• Blue Team Summit 2021. Конференция для Blue Team специалистов с огромным количеством полезной информации. Плейлист.
• Black Hat и DEF CON — эти две легендарные конференции собирают если и не всю хакерскую тусовку, то совершенно точно ошеломляющее количество легендарных людей. DEF CON Conference. Сборник различных плейлистов, на любой вкус.
‼️ Не забывай про полезный репозиторий, в котором собран cписок конференций по информационной безопасности с 2012 по 2020 года. https://github.com/PaulSec/awesome-sec-talks. Хоть этот репо не обновляется, в нем все равно можно найти полезную информацию а дополнительный материал в нашем канале, ты можешь найти по хештегу #ИБ. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Сегодня делюсь с тобой полезным видеоматериалом с крутых конференций, которые прошли в 2021 году и доступы на YT. Первое с чего мы начнем, это Black Hat.• Black Hat — ежегодная конференция, которая объединяет в себе множество специалистов по информационной безопасности. Конференцию посещают как представители федеральных агентств и корпораций, так и хакеры. Видео докладов с Black Hat 2021 ты можешь найти на YT:
• Black Hat USA 2021.• Black Hat Asia 2021.• Black Hat Europe 2021.• Обязательно ознакомься со статьей: 7 интересных хаков с Black Hat / DEF CON 2020• SANS Threat Hunting & Incident Response Summit 2021. Отличный плейлист, где ведущие специалисты по #ИБ делятся инструментами и методами, которые используются для выявления злоумышленников, которые нацелены на конфиденциальную информацию в различных организациях. Плейлист.
• The SANS Pen Test Hackfest Summit & Training. Цель этой конференции — решение различных CTF задач и проведение пентеста. В плейлисте собраны крутые лекции которые будут полезны тем, кто интересуется CTF.
https://www.youtube.com/c/SANSOffensiveOperations/playlists
Если тебе интересна тема #CTF, то обрати внимание на нашу подборку CTF площадок и инструментов:
🚩 Игры с неведомым. Список CTF площадок.
🔑 CTF - Инструментарий.
• SANS DFIR Summit 2021. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты. Кладезь полезной информации для тех, кто интересуется о новых инструментах и методах, применяемых в расследованиях. Плейлист.
Большое кол-во материала на тему форензики, ты можешь найти в нашем канале по хэштегу #Форензика.
• Blue Team Summit 2021. Конференция для Blue Team специалистов с огромным количеством полезной информации. Плейлист.
• Black Hat и DEF CON — эти две легендарные конференции собирают если и не всю хакерскую тусовку, то совершенно точно ошеломляющее количество легендарных людей. DEF CON Conference. Сборник различных плейлистов, на любой вкус.
‼️ Не забывай про полезный репозиторий, в котором собран cписок конференций по информационной безопасности с 2012 по 2020 года. https://github.com/PaulSec/awesome-sec-talks. Хоть этот репо не обновляется, в нем все равно можно найти полезную информацию а дополнительный материал в нашем канале, ты можешь найти по хештегу #ИБ. Твой S.E.
VMware выпустили исправления для критических уязвимостей в системе безопасности, затрагивающих платформу Carbon Black App Control, которые могут быть использованы злоумышленником для выполнения произвольного кода на уязвимых установках в системах Windows.
VMware Carbon Black App Control — это решение для создания списка приложений, которое используется для блокировки серверов и критически важных систем, предотвращения нежелательных изменений и обеспечения постоянного соответствия нормативным требованиям.
Обе уязвимости CVE-2022-22951 и CVE-2022-22952 были обнаружены исследователем Яри Яаскеля и получили рейтинг 9,1 из 10 возможных в системе оценки CVSS. Вместе с тем, успешная эксплуатация уязвимостей требует того, чтобы злоумышленник уже вошел в систему как администратор или пользователь с высокими привилегиями.
CVE-2022-22951 описывается как уязвимость внедрения команд, которая может позволить аутентифицированному субъекту с высокими привилегиями, имеющему сетевой доступ к интерфейсу администрирования VMware App Control, выполнять команды на сервере из-за неправильной проверки ввода, что приводит к удаленному выполнению кода.
CVE-2022-22952 относится к уязвимости загрузки файлов, которая может быть использована злоумышленником с административным доступом к административному интерфейсу VMware App Control для загрузки специально созданного файла и выполнения кода в экземпляре Windows.
Недостатки затрагивают версии Carbon Black App Control 8.5.x, 8.6.x, 8.7.x и 8.8.x и устранены в версиях 8.5.14, 8.6.6, 8.7.4 и 8.8.2. Поскольку неисправленные ошибки VMware становятся востребованным вектором атаки, пользователям рекомендуется применить обновления, чтобы предотвратить потенциальную эксплуатацию.
VMware Carbon Black App Control — это решение для создания списка приложений, которое используется для блокировки серверов и критически важных систем, предотвращения нежелательных изменений и обеспечения постоянного соответствия нормативным требованиям.
Обе уязвимости CVE-2022-22951 и CVE-2022-22952 были обнаружены исследователем Яри Яаскеля и получили рейтинг 9,1 из 10 возможных в системе оценки CVSS. Вместе с тем, успешная эксплуатация уязвимостей требует того, чтобы злоумышленник уже вошел в систему как администратор или пользователь с высокими привилегиями.
CVE-2022-22951 описывается как уязвимость внедрения команд, которая может позволить аутентифицированному субъекту с высокими привилегиями, имеющему сетевой доступ к интерфейсу администрирования VMware App Control, выполнять команды на сервере из-за неправильной проверки ввода, что приводит к удаленному выполнению кода.
CVE-2022-22952 относится к уязвимости загрузки файлов, которая может быть использована злоумышленником с административным доступом к административному интерфейсу VMware App Control для загрузки специально созданного файла и выполнения кода в экземпляре Windows.
Недостатки затрагивают версии Carbon Black App Control 8.5.x, 8.6.x, 8.7.x и 8.8.x и устранены в версиях 8.5.14, 8.6.6, 8.7.4 и 8.8.2. Поскольку неисправленные ошибки VMware становятся востребованным вектором атаки, пользователям рекомендуется применить обновления, чтобы предотвратить потенциальную эксплуатацию.
VMware
VMSA-2022-0008
VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951, CVE-2022-22952)
Исследователи из Splunk установили, сколько времени требуется различным штаммам ransomware для шифрования файлов на скомпрометированных системах.
В основу исследования были взяты 10 основных семейств ransomware, среди которых: Avaddon, Babuk, BlackMatter, Conti, DarkSide, LockBit, Maze, Mespinoza (PYSA), REvil и Ryuk. Шифровался подопытный массив из 98 561 файла общим размером около 53 Гб. Для чистоты эксперимента файлы хранились на четырех хостах — двух под управлением Windows 10 и двух под управлением Windows Server 2019.
Исследователи из Splunk провели 400 тестов шифрования с использованием различных инструментов, таких как собственное ведение журналов Windows, статистика Windows Perfmon, Microsoft Sysmon, Zeek и stoQ.
Замеры проходили по 10 образцам каждого семейства вредоносного ПО. Исследователи измерили время, которое потребовалось каждому образцу для шифрования 100 000 файлов, а в качестве итогового показателя того или иного штамма использовали усредненное значение. Помимо скорости и продолжительности шифрования, исследователи также изучали, как программа-вымогатель использует системные ресурсы.
Результаты показали, что LockBit стал самым быстрым со значением в 5 минут 50 секунд, за ним следует Babuk, у которого 6 минут 34 секунды. Avaddon достиг в среднем чуть более 13 минут, REvil зашифровал файлы примерно за 24 минуты, а BlackMatter и Darkside завершили шифрование за 45 минут. Conti зашифровал файлы менее чем за час, а Maze и Mespinoza показали самый худший результат - почти 2 часа. Среднее время по всем штаммам составило 43 минуты. Кстати, самый быстрый вариант LockBit шифровал 25 000 файлов в минуту.
Таким образом, после того, как процесс шифрования запущен у специалистов по ИБ есть не так много времени для реагирования, что указывает, по мнению Splunk, на чрезвычайную сложность реального противодействия угрозам ransomware. Кроме того, критические данные уже на начальном этапе могут оказаться зашифрованы.
С другой стороны, время является важным фактором обнаружения атак, это не единственным: существуют также периоды разведки, горизонтальное перемещение, кражу учетных данных, повышение привилегий, эксфильтрацию данных, отключение теневых копий и многое другое.
Анализ также показал, что объем памяти устройства, по-видимому, не оказывает существенного влияния на процесс. Однако скорость диска может привести к более быстрому шифрованию, но это реализуемо, если вредоносное ПО также может в полной мере использовать возможности ЦП.
Некоторые из штаммов были весьма эффективны, в то время как другие, как правило, использовали значительный объем ресурса процессора наряду с очень высокой скоростью доступа к диску.
При этом какой-либо прямой корреляции между использованием системных ресурсов и скоростью шифрования не обнаружено. Исследователи также отметили, что некоторые образцы ransomware работали хуже или даже аварийно завершали работу при развертывании на более быстрых тестовых системах.
В целом результаты Splunk демонстрируют, что необходимо сместить акцент с реагирования на инциденты на предотвращение заражения ransomware.
В основу исследования были взяты 10 основных семейств ransomware, среди которых: Avaddon, Babuk, BlackMatter, Conti, DarkSide, LockBit, Maze, Mespinoza (PYSA), REvil и Ryuk. Шифровался подопытный массив из 98 561 файла общим размером около 53 Гб. Для чистоты эксперимента файлы хранились на четырех хостах — двух под управлением Windows 10 и двух под управлением Windows Server 2019.
Исследователи из Splunk провели 400 тестов шифрования с использованием различных инструментов, таких как собственное ведение журналов Windows, статистика Windows Perfmon, Microsoft Sysmon, Zeek и stoQ.
Замеры проходили по 10 образцам каждого семейства вредоносного ПО. Исследователи измерили время, которое потребовалось каждому образцу для шифрования 100 000 файлов, а в качестве итогового показателя того или иного штамма использовали усредненное значение. Помимо скорости и продолжительности шифрования, исследователи также изучали, как программа-вымогатель использует системные ресурсы.
Результаты показали, что LockBit стал самым быстрым со значением в 5 минут 50 секунд, за ним следует Babuk, у которого 6 минут 34 секунды. Avaddon достиг в среднем чуть более 13 минут, REvil зашифровал файлы примерно за 24 минуты, а BlackMatter и Darkside завершили шифрование за 45 минут. Conti зашифровал файлы менее чем за час, а Maze и Mespinoza показали самый худший результат - почти 2 часа. Среднее время по всем штаммам составило 43 минуты. Кстати, самый быстрый вариант LockBit шифровал 25 000 файлов в минуту.
Таким образом, после того, как процесс шифрования запущен у специалистов по ИБ есть не так много времени для реагирования, что указывает, по мнению Splunk, на чрезвычайную сложность реального противодействия угрозам ransomware. Кроме того, критические данные уже на начальном этапе могут оказаться зашифрованы.
С другой стороны, время является важным фактором обнаружения атак, это не единственным: существуют также периоды разведки, горизонтальное перемещение, кражу учетных данных, повышение привилегий, эксфильтрацию данных, отключение теневых копий и многое другое.
Анализ также показал, что объем памяти устройства, по-видимому, не оказывает существенного влияния на процесс. Однако скорость диска может привести к более быстрому шифрованию, но это реализуемо, если вредоносное ПО также может в полной мере использовать возможности ЦП.
Некоторые из штаммов были весьма эффективны, в то время как другие, как правило, использовали значительный объем ресурса процессора наряду с очень высокой скоростью доступа к диску.
При этом какой-либо прямой корреляции между использованием системных ресурсов и скоростью шифрования не обнаружено. Исследователи также отметили, что некоторые образцы ransomware работали хуже или даже аварийно завершали работу при развертывании на более быстрых тестовых системах.
В целом результаты Splunk демонстрируют, что необходимо сместить акцент с реагирования на инциденты на предотвращение заражения ransomware.
Под занавес 2021 года специалисты из Volexity обнаружили вариант вредоносного ПО для macOS, известный как Gimmick и не абы кого, а китайской APT, отслеживаемой как Storm Cloud.
Storm Cloud известны тем, что занимаются целевым кибершпионажем против организаций в Азии. В своих атаках группировка полагается на встроенные утилиты, вредоносное ПО и инструменты с открытым исходным кодом. Gimmick — это семейство кроссплатформенных вредоносных программ, использующих общедоступные облачные сервисы для управления и контроля (C&C) и предоставляющих злоумышленникам широкий спектр возможностей.
Вариант вредоносного ПО, был обнаружен специалистами на MacBook Pro с macOS 11.6 (Big Sur), который в основном написан на Objective C, в то время как, ранее наблюдаемые версии для Windows были построены на .NET и Delphi. Однако все варианты имеют одинаковую архитектуру C&C, поведение и пути к файлам. По словам исследователей, Gimmick был настроен для связи исключительно с его C&C-сервером на базе Google Диска и работал только в рабочие дни, чтобы слиться с сетевым трафиком целевой организации.
Вредоносная программа может получать команды C&C для сбора системной информации, загрузки или скачивания файлов, а также для выполнения команд терминала и дополнительных инструкций. Анализ зловреда показал, что его работа очень асинхронна и что злоумышленники поддерживают каталог Google Диска для каждого из зараженных хостов.
Исследователи отмечают, что Gimmick представляет собой сложное семейство вредоносных программ, в том числе из-за его асинхронной структуры, а его миграция на macOS предполагает, что Storm Cloud является хорошо обеспеченным соответствующими ресурсами и единственным действующим субъектом угроз, использующим эту малварь.
На прошлой неделе Apple выпустила новые сигнатуры для XProtect и MRT, чтобы защитить компьютеры Mac от Gimmick.
Storm Cloud известны тем, что занимаются целевым кибершпионажем против организаций в Азии. В своих атаках группировка полагается на встроенные утилиты, вредоносное ПО и инструменты с открытым исходным кодом. Gimmick — это семейство кроссплатформенных вредоносных программ, использующих общедоступные облачные сервисы для управления и контроля (C&C) и предоставляющих злоумышленникам широкий спектр возможностей.
Вариант вредоносного ПО, был обнаружен специалистами на MacBook Pro с macOS 11.6 (Big Sur), который в основном написан на Objective C, в то время как, ранее наблюдаемые версии для Windows были построены на .NET и Delphi. Однако все варианты имеют одинаковую архитектуру C&C, поведение и пути к файлам. По словам исследователей, Gimmick был настроен для связи исключительно с его C&C-сервером на базе Google Диска и работал только в рабочие дни, чтобы слиться с сетевым трафиком целевой организации.
Вредоносная программа может получать команды C&C для сбора системной информации, загрузки или скачивания файлов, а также для выполнения команд терминала и дополнительных инструкций. Анализ зловреда показал, что его работа очень асинхронна и что злоумышленники поддерживают каталог Google Диска для каждого из зараженных хостов.
Исследователи отмечают, что Gimmick представляет собой сложное семейство вредоносных программ, в том числе из-за его асинхронной структуры, а его миграция на macOS предполагает, что Storm Cloud является хорошо обеспеченным соответствующими ресурсами и единственным действующим субъектом угроз, использующим эту малварь.
На прошлой неделе Apple выпустила новые сигнатуры для XProtect и MRT, чтобы защитить компьютеры Mac от Gimmick.
Volexity
Storm Cloud on the Horizon: GIMMICK Malware Strikes at macOS
In late 2021, Volexity discovered an intrusion in an environment monitored as part of its Network Security Monitoring service. Volexity detected a system running frp, otherwise known as fast reverse […]
В последний день лета 2021 года мы написали большой пост про выявленные критические уязвимости в промышленной системе управления энергопотреблением DIAEnergy от тайваньской компании Delta Electronics. Была дана комплексная оценка критичности этих дырок - 9.8.
Процитируем сами себя - "DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением. Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства".
Теперь тема всплыла снова. Уже с учетом новых реалий. Пристегнитесь.
Как сообщают Security Week, за последний год в DIAEnergy были выявлены целых 30 уязвимостей, 22 из которых - критические. Часть из них была устранена производителем в обновлении 1.8, выпущенном в сентябре прошлого года.
Однако бОльшая часть дырок закрыта в свежем обновлении 1.08.02.004. И все бы хорошо, но есть одна особенность - это обновление не распространяется публично. По крайней мере до 30 июня 2022 года. Для того, чтобы устранить уязвимости в DIAEnergy, необходимо сделать персональный запрос в службу поддержки Delta Electronics, а уже они решат - присылать обновление или нет. Про последствия, полагаем, рассказывать не надо.
Напомним, что Тайвань присоединился к санкциям против России, что вполне может быть заявлено Delta Electronics как основание для отказа в предоставление апдейта. Другой потенциальный "потерпевший" - Китай, с котором у Тайваня вот-вот начнутся взрослые разборки.
Мы не знаем, используется ли DIAEnergy китайскими компаниями, а вот то, что этот продукт был представлен дистрибьюторами Delta Electronics на российском рынке - это совершенно точно. Находится простым поиском в Яндексе за одну минуту.
#АСУТП #ICS
Процитируем сами себя - "DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением. Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства".
Теперь тема всплыла снова. Уже с учетом новых реалий. Пристегнитесь.
Как сообщают Security Week, за последний год в DIAEnergy были выявлены целых 30 уязвимостей, 22 из которых - критические. Часть из них была устранена производителем в обновлении 1.8, выпущенном в сентябре прошлого года.
Однако бОльшая часть дырок закрыта в свежем обновлении 1.08.02.004. И все бы хорошо, но есть одна особенность - это обновление не распространяется публично. По крайней мере до 30 июня 2022 года. Для того, чтобы устранить уязвимости в DIAEnergy, необходимо сделать персональный запрос в службу поддержки Delta Electronics, а уже они решат - присылать обновление или нет. Про последствия, полагаем, рассказывать не надо.
Напомним, что Тайвань присоединился к санкциям против России, что вполне может быть заявлено Delta Electronics как основание для отказа в предоставление апдейта. Другой потенциальный "потерпевший" - Китай, с котором у Тайваня вот-вот начнутся взрослые разборки.
Мы не знаем, используется ли DIAEnergy китайскими компаниями, а вот то, что этот продукт был представлен дистрибьюторами Delta Electronics на российском рынке - это совершенно точно. Находится простым поиском в Яндексе за одну минуту.
#АСУТП #ICS
Telegram
SecAtor
Новые критические уязвимости в ICS (Industrial Control Systems, АСУ ТП) - все как мы любим. Да какие дырки!
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце…
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце…
Выявлены критические уязвимости, которые могут быть использованы для удаленного взлома контроллеров SCADA российской компании Текон Автоматика, которые широко используется организациями в России.
Текон Автоматика - крупный поставщик оборудования и программного обеспечения для диспетчеризации лифтов и зданий, учета воды и тепла, и в целом для сред SCADA. Согласно телеметрии Shodan, в сети доступно более 117 потенциально уязвимых контроллеров Tekon.
Уязвимости в безопасности обнаружил исследователь Хосе Бертин, чем и поделился в с воем блоге. Исследователь представил PoC, который позволил ему получить привилегии суперпользователя и получить полный контроль над целевым устройством, что, как мы все понимаем, может привести к серьезным нарушениям.
Эксперт обнаружил учетные данные по умолчанию (учетные данные по умолчанию — admin:secret) в руководствах по прошивке и программному обеспечению для своих моделей контроллеров зданий.
Что более важно, все эти устройства могут быть отключены одновременно и удаленно. Бертин отметил, что злоумышленник при реализации атаки может выполнить самые радикальные действия, например отключить устройство или внедрить бэкдор.
Устройства могут быть взломаны из-за использования учетных данных по умолчанию, которые обеспечивают доступ с правами администратора к пользовательскому интерфейсу контроллера Tekon. Однако исследователь утверждает, что нашел способ выполнять код с привилегиями суперпользователя, злоупотребляя функцией, которая позволяет пользователям добавлять плагины. Они представляют собой сценарии LUA, которые можно добавить в специальный раздел пользовательского интерфейса.
Бертен признался, что не связывался с производителем, прежде чем обнародовать результаты своих исследований, но насколько нам известно, Текон уже в курсе проблемы пост-аутентификации RCE на основе вредоносного сценария подключаемого модуля LUA в контроллерах SCADA.
Будем надеется на скорую реакцию как производителя, так и его клиентов, особенно принимая во внимание текущую обстановку в сфере инфосека.
#АСУТП #ICS
Текон Автоматика - крупный поставщик оборудования и программного обеспечения для диспетчеризации лифтов и зданий, учета воды и тепла, и в целом для сред SCADA. Согласно телеметрии Shodan, в сети доступно более 117 потенциально уязвимых контроллеров Tekon.
Уязвимости в безопасности обнаружил исследователь Хосе Бертин, чем и поделился в с воем блоге. Исследователь представил PoC, который позволил ему получить привилегии суперпользователя и получить полный контроль над целевым устройством, что, как мы все понимаем, может привести к серьезным нарушениям.
Эксперт обнаружил учетные данные по умолчанию (учетные данные по умолчанию — admin:secret) в руководствах по прошивке и программному обеспечению для своих моделей контроллеров зданий.
Что более важно, все эти устройства могут быть отключены одновременно и удаленно. Бертин отметил, что злоумышленник при реализации атаки может выполнить самые радикальные действия, например отключить устройство или внедрить бэкдор.
Устройства могут быть взломаны из-за использования учетных данных по умолчанию, которые обеспечивают доступ с правами администратора к пользовательскому интерфейсу контроллера Tekon. Однако исследователь утверждает, что нашел способ выполнять код с привилегиями суперпользователя, злоупотребляя функцией, которая позволяет пользователям добавлять плагины. Они представляют собой сценарии LUA, которые можно добавить в специальный раздел пользовательского интерфейса.
Бертен признался, что не связывался с производителем, прежде чем обнародовать результаты своих исследований, но насколько нам известно, Текон уже в курсе проблемы пост-аутентификации RCE на основе вредоносного сценария подключаемого модуля LUA в контроллерах SCADA.
Будем надеется на скорую реакцию как производителя, так и его клиентов, особенно принимая во внимание текущую обстановку в сфере инфосека.
#АСУТП #ICS
Medium
Post auth RCE based in malicious LUA plugin noscript upload SCADA controllers located in Russia
Hello World
Пацан к успеху шел, не получилось, не фартануло.
Полиция Лондона арестовала семь участников хакерской группы Lapsus$ (также известной как DEV-0537). За последние месяцы Lapsus$ отметились весьма дерзкими и громкими атаками на крупные компаний, среди которых оказались IT-гиганты Microsoft, Nvidia, Samsung и Ubisoft.
Общими усилиями групп исследователей и во многом благодаря самим подельникам задержанных из киберподполья правоохранителям удалось отдеанонить хакеров, которые к этому времени заработали почти $14 млн в биткоинах, ставших в итоге «яблоком раздора» группы.
Bloomberg сообщило, что лидером хакерской группы Lapsus$ был обыкновенный 16-летний подросток из Оксфорда, проживающий в Лондоне, остальные участники также молодежь в возрасте от 16 до 21 года.
Лидер сообщества, известный в даркнете как White или Breachbase, страдает аутизмом и посещает специальную образовательную школу в Оксфорде. По словам отца мальчика, до недавних пор ему ничего не было известно о занятии сына.
Личная информация подростка-хакера из Англии, в том числе его адрес и информация о его родителях, была размещена в Интернет конкурирующими хакерами. Но, как стало известно, Unit 221B отслеживали юного хакера почти год, и им удалось связать его с деятельностью Lapsus$ и другими взломами. Команде удалось узнать настоящее имя мальчика в середине прошлого года, еще до того, как его данные были слиты в сеть недоброжелателями.
Мотивы атак Lapsus$ до сих пор неясны до конца, но судя по мощной пиар-кампании, организованной хакерами, можно предположить, что группа была мотивирована деньгами и известностью. В отличие от большинства других групп DEV-0537, похоже, не заметали следы.
Сразу после арестов, хакеры опубликовали сообщение у себя в канале: «У нескольких наших участников отпуск до 30.03.2022. Мы можем какое-то время помолчать. Спасибо, что поняли нас. Мы постараемся слить материал как можно скорее».
Однако, по мнению ресерчеров, это вовсе не знаменует заката Lapsus$. Предполагается, что в Великобритании проживали далеко не все члены группировки — часть из них находится в Южной Америке, в том числе, по данным следствия, еще одним членом Lapsus$ является подросток из Бразилии.
Во всяком случае, подписота на канале растет, а в чат добавляются всё новые модеры.
Полиция Лондона арестовала семь участников хакерской группы Lapsus$ (также известной как DEV-0537). За последние месяцы Lapsus$ отметились весьма дерзкими и громкими атаками на крупные компаний, среди которых оказались IT-гиганты Microsoft, Nvidia, Samsung и Ubisoft.
Общими усилиями групп исследователей и во многом благодаря самим подельникам задержанных из киберподполья правоохранителям удалось отдеанонить хакеров, которые к этому времени заработали почти $14 млн в биткоинах, ставших в итоге «яблоком раздора» группы.
Bloomberg сообщило, что лидером хакерской группы Lapsus$ был обыкновенный 16-летний подросток из Оксфорда, проживающий в Лондоне, остальные участники также молодежь в возрасте от 16 до 21 года.
Лидер сообщества, известный в даркнете как White или Breachbase, страдает аутизмом и посещает специальную образовательную школу в Оксфорде. По словам отца мальчика, до недавних пор ему ничего не было известно о занятии сына.
Личная информация подростка-хакера из Англии, в том числе его адрес и информация о его родителях, была размещена в Интернет конкурирующими хакерами. Но, как стало известно, Unit 221B отслеживали юного хакера почти год, и им удалось связать его с деятельностью Lapsus$ и другими взломами. Команде удалось узнать настоящее имя мальчика в середине прошлого года, еще до того, как его данные были слиты в сеть недоброжелателями.
Мотивы атак Lapsus$ до сих пор неясны до конца, но судя по мощной пиар-кампании, организованной хакерами, можно предположить, что группа была мотивирована деньгами и известностью. В отличие от большинства других групп DEV-0537, похоже, не заметали следы.
Сразу после арестов, хакеры опубликовали сообщение у себя в канале: «У нескольких наших участников отпуск до 30.03.2022. Мы можем какое-то время помолчать. Спасибо, что поняли нас. Мы постараемся слить материал как можно скорее».
Однако, по мнению ресерчеров, это вовсе не знаменует заката Lapsus$. Предполагается, что в Великобритании проживали далеко не все члены группировки — часть из них находится в Южной Америке, в том числе, по данным следствия, еще одним членом Lapsus$ является подросток из Бразилии.
Во всяком случае, подписота на канале растет, а в чат добавляются всё новые модеры.
Bbc
Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal
Police say they've arrested seven teenagers as part of their investigation into a hacking group.
И полная изоляция от остального мира им не преграда, когда речь идет о северокорейских хакерах, более известных как Lazarus Group.
В этот раз хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в веб-браузере Google Chrome еще за месяц до того, как стало доступно исправление. Злоумышленники эксплуатировали 0-day на сотнях целей в США пытаясь заразить компьютеры людей, работающих в самых разных отраслях, включая СМИ, ИТ, криптовалюты и финансовые компании.
Группа анализа угроз Google (TAG) заявила, что уязвимость, отслеживаемая как CVE-2022-0609, была использована двумя отдельными северокорейскими хакерскими группами. Обе группы развернули один и тот же набор эксплойтов на веб-сайтах, которые либо принадлежали законным организациям и были взломаны, либо были созданы специально для доставки вредоносного кода ничего не подозревающим посетителям.
Одна группа работала в рамках операции под названием Dream Job и охватила более 250 человек, работающих в 10 различных компаниях. А другая группа, известная уже как AppleJeus, нацелилась на 85 пользователей.
Как заверяют эксперты, эти группы работают на одну и ту же организацию с общей цепочкой поставок, отсюда и использование одного и того же набора эксплойтов, но каждая из них работает с разным набором задач и использует разные методы. Также, исследователь группы анализа угроз Google Адам Вайдеманн считает, что возможно другие злоумышленники, поддерживаемые правительством Северной Кореи, тоже имеют доступ к тому же набору эксплойтов.
Операция Dream Job проводится по крайней мере с июня 2020 года, о чем когда-то говорили специалисты их ClearSky, которые наблюдали за группой, нацеленной на оборонные и государственные компании. Тогда злоумышленники были нацелены на конкретных сотрудников организаций с поддельными предложениями «работы мечты» (откуда собственно и название) в таких компаниях, как Boeing, McDonnell Douglas и BAE.
Хакеры придумали сложную, но очень интересную схему социальной инженерии, в которой использовались фиктивные профили LinkedIn, электронные письма, сообщения WhatsApp и телефонные звонки. Цель кампании состояла в том, чтобы украсть деньги и собрать разведданные.
Как и в предыдущей кампании хакеры зарегистрировали новые домены и скомпрометировали пару легитимных. Кроме того, исследователи обнаружили доказательства того, что злоумышленников интересовали не только пользователи Google Chrome, они также проверяли пользователей Safari на macOS и Firefox, направляя их на конкретные ссылки с известными серверами эксплуатации.
Однако во время анализа наблюдаемые URL-адреса не возвращали никакого ответа. Вероятно в загашнике у Lazarus Group еще осталась пара пасхалок для последующих атак.
В этот раз хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в веб-браузере Google Chrome еще за месяц до того, как стало доступно исправление. Злоумышленники эксплуатировали 0-day на сотнях целей в США пытаясь заразить компьютеры людей, работающих в самых разных отраслях, включая СМИ, ИТ, криптовалюты и финансовые компании.
Группа анализа угроз Google (TAG) заявила, что уязвимость, отслеживаемая как CVE-2022-0609, была использована двумя отдельными северокорейскими хакерскими группами. Обе группы развернули один и тот же набор эксплойтов на веб-сайтах, которые либо принадлежали законным организациям и были взломаны, либо были созданы специально для доставки вредоносного кода ничего не подозревающим посетителям.
Одна группа работала в рамках операции под названием Dream Job и охватила более 250 человек, работающих в 10 различных компаниях. А другая группа, известная уже как AppleJeus, нацелилась на 85 пользователей.
Как заверяют эксперты, эти группы работают на одну и ту же организацию с общей цепочкой поставок, отсюда и использование одного и того же набора эксплойтов, но каждая из них работает с разным набором задач и использует разные методы. Также, исследователь группы анализа угроз Google Адам Вайдеманн считает, что возможно другие злоумышленники, поддерживаемые правительством Северной Кореи, тоже имеют доступ к тому же набору эксплойтов.
Операция Dream Job проводится по крайней мере с июня 2020 года, о чем когда-то говорили специалисты их ClearSky, которые наблюдали за группой, нацеленной на оборонные и государственные компании. Тогда злоумышленники были нацелены на конкретных сотрудников организаций с поддельными предложениями «работы мечты» (откуда собственно и название) в таких компаниях, как Boeing, McDonnell Douglas и BAE.
Хакеры придумали сложную, но очень интересную схему социальной инженерии, в которой использовались фиктивные профили LinkedIn, электронные письма, сообщения WhatsApp и телефонные звонки. Цель кампании состояла в том, чтобы украсть деньги и собрать разведданные.
Как и в предыдущей кампании хакеры зарегистрировали новые домены и скомпрометировали пару легитимных. Кроме того, исследователи обнаружили доказательства того, что злоумышленников интересовали не только пользователи Google Chrome, они также проверяли пользователей Safari на macOS и Firefox, направляя их на конкретные ссылки с известными серверами эксплуатации.
Однако во время анализа наблюдаемые URL-адреса не возвращали никакого ответа. Вероятно в загашнике у Lazarus Group еще осталась пара пасхалок для последующих атак.
Один из самых распространенных среди хакеров приемов при фишинговых атаках — создание поддельной официальной страницы известного бренда, а поскольку создавать их приходится пачками - на помощь им приходят фишинговые наборы, которые состоят из готовых шаблонов и скриптов для быстрого и массового создания фишинговых страниц. Разработчики также снабжают свои продукты инструкциями для неопытных злоумышленников.
Каждый такой набор состоит из двух компонентов: HTML-страница с фишинговой формой ввода данных и сопутствующим контентом (стилем, изображениями, скриптами и другими мультимедийными компонентами), а также фишинговый скрипт, который отправляет злоумышленникам данные о входе жертвы на поддельную страницу. Существуют также расширенные фишинговые пакеты, которые также включают центр управления с пользовательским интерфейсом.
Обнаруженные специалистами Лаборатории Касперского в 2021 году фишинговые наборы чаще всего создавали копии Facebook, голландской банковской группы ING, немецкого банка Sparkasse, а также Adidas и Amazon.
Как выяснили исследователи современные наборы для фишинга реализуются в даркнете в виде готовых пакетов и включают несколько сложных систем для защиты от антифишинговых решений, что позволяет избегать попадания в соответствующие базы и оставаться в рабочем состоянии значительно дольше.
Некоторые из обнаруженных фишинговых наборов использовали геоблокировку, другие добавляют различные параметры обфускации для сгенерированных страниц. Специалисты Лаборатории Касперского смогли обнаружить и раскрыть основные методы:
⁃ Шифр Цезаря: замена каждого символа в тексте на фиксированное количество позиций дальше по алфавиту, чтобы содержимое не имело смысла. При загрузке страницы сдвиг возвращается и отображаются правильные символы.
⁃ Кодировка источника страницы: кодирования текста или HTML-кода страницы с использованием алгоритма AES или base64, контент декодируется в браузере при загрузке страницы.
⁃ Невидимые HTML-теги: на страницу добавляется множество HTML-тегов, которые невидимы при отображении страницы в браузере и служат только безобидным «шумом», скрывающим вредоносные части.
⁃ Нарезка струн: разрезание строк на перестраиваемые группы символов и обращение к ним по их номеру в кодовой таблице, при загрузке страницы строки снова собираются.
⁃ Рандомизированные атрибуты HTML: добавление большого количества рандомизированных значений атрибутов тегов для эффективного отключения инструментов защиты от фишинга.
Некоторые из вышеперечисленных приемов используются также и в интересах разработчиков пакетов, с целью получения данных, которые их клиенты смогли собрать с помощью их продукта.
Наборы для фишинга можно приобрести на даркнет-форумах или через приватные чаты в Telegram. Цены зависят от уровня сложности и качества конкретного комплекта и варьируются от 50 до 900 долларов США. Наборы для фишинга также продаются как часть пакета Фишинг как услуга (PHaaS) и в последнее время становится все более популярным. Пакеты состоят из широкого спектра специализированных мошеннических услуг: от создания поддельных веб-сайтов, выдающих себя за популярный бренд, до запуска целевой кампании по краже данных.
Лаборатории в 2021 году удалось обнаружить 469 отдельных наборов для фишинга, поддерживающих не менее 1,2 миллиона фишинговых веб-сайтов. URL при этом чаще всего распространялись по электронной почте, мгновенным сообщениям, сообщениям на форумах и даже видео на YouTube.
Как отмечают специалисты, количество более сложных фишинговых наборов, включающих функции защиты от ботов, обнаружения и геоблокировки, будет и впредь только увеличиваться.
Каждый такой набор состоит из двух компонентов: HTML-страница с фишинговой формой ввода данных и сопутствующим контентом (стилем, изображениями, скриптами и другими мультимедийными компонентами), а также фишинговый скрипт, который отправляет злоумышленникам данные о входе жертвы на поддельную страницу. Существуют также расширенные фишинговые пакеты, которые также включают центр управления с пользовательским интерфейсом.
Обнаруженные специалистами Лаборатории Касперского в 2021 году фишинговые наборы чаще всего создавали копии Facebook, голландской банковской группы ING, немецкого банка Sparkasse, а также Adidas и Amazon.
Как выяснили исследователи современные наборы для фишинга реализуются в даркнете в виде готовых пакетов и включают несколько сложных систем для защиты от антифишинговых решений, что позволяет избегать попадания в соответствующие базы и оставаться в рабочем состоянии значительно дольше.
Некоторые из обнаруженных фишинговых наборов использовали геоблокировку, другие добавляют различные параметры обфускации для сгенерированных страниц. Специалисты Лаборатории Касперского смогли обнаружить и раскрыть основные методы:
⁃ Шифр Цезаря: замена каждого символа в тексте на фиксированное количество позиций дальше по алфавиту, чтобы содержимое не имело смысла. При загрузке страницы сдвиг возвращается и отображаются правильные символы.
⁃ Кодировка источника страницы: кодирования текста или HTML-кода страницы с использованием алгоритма AES или base64, контент декодируется в браузере при загрузке страницы.
⁃ Невидимые HTML-теги: на страницу добавляется множество HTML-тегов, которые невидимы при отображении страницы в браузере и служат только безобидным «шумом», скрывающим вредоносные части.
⁃ Нарезка струн: разрезание строк на перестраиваемые группы символов и обращение к ним по их номеру в кодовой таблице, при загрузке страницы строки снова собираются.
⁃ Рандомизированные атрибуты HTML: добавление большого количества рандомизированных значений атрибутов тегов для эффективного отключения инструментов защиты от фишинга.
Некоторые из вышеперечисленных приемов используются также и в интересах разработчиков пакетов, с целью получения данных, которые их клиенты смогли собрать с помощью их продукта.
Наборы для фишинга можно приобрести на даркнет-форумах или через приватные чаты в Telegram. Цены зависят от уровня сложности и качества конкретного комплекта и варьируются от 50 до 900 долларов США. Наборы для фишинга также продаются как часть пакета Фишинг как услуга (PHaaS) и в последнее время становится все более популярным. Пакеты состоят из широкого спектра специализированных мошеннических услуг: от создания поддельных веб-сайтов, выдающих себя за популярный бренд, до запуска целевой кампании по краже данных.
Лаборатории в 2021 году удалось обнаружить 469 отдельных наборов для фишинга, поддерживающих не менее 1,2 миллиона фишинговых веб-сайтов. URL при этом чаще всего распространялись по электронной почте, мгновенным сообщениям, сообщениям на форумах и даже видео на YouTube.
Как отмечают специалисты, количество более сложных фишинговых наборов, включающих функции защиты от ботов, обнаружения и геоблокировки, будет и впредь только увеличиваться.
Securelist
What are phishing kits (phishkits)?
What are phishing kits (phishkits), what do they include, who uses them, and where are they sold? A report and statistics on phishing kits.
Sophos исправила критическую уязвимость в продукте Sophos Firewall версий 18.5 MR3 (18.5.3) и более ранних, позволяющую выполнять удаленное выполнение кода (RCE).
CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует в консоле веб-администрирования брандмауэра Sophos. Ошибка позволяет удаленному злоумышленнику получить доступ к пользовательскому порталу брандмауэра или интерфейсу веб-администрирования, обойти аутентификацию и выполнить произвольный код. Была обнаружена через программу вознаграждения за обнаружение ошибок компании, автор не раскрывается.
Для клиентов Sophos Firewall с включенной функцией автоматической установки исправлений переживать не стоит - патч накатится по умолчанию. Однако некоторые старые версии и продукты с истекшим сроком службы потребуют ручной активации.
Общий обходной путь для уязвимости подразумевает отключение доступа через глобальную сеть к пользовательскому порталу и веб-администратору согласно соответствующим рекомендациям и использование VPN и/или Sophos Central для удаленного доступа и управления.
Кроме того, совсем недавно Sophos также устранила другие две уязвимости «высокой» степени серьезности (CVE-2022-0386 и CVE-2022-0652), влияющие на устройства Sophos UTM (Unified Threat Management).
Учитывая, что Sophos Firewall неоднократно подвергались атакам, как это было в начале 2020, когда хакеры внедряли SQL-код в XG Firewall, а в апреле того же года - 0-day эксплуатировались для доставки ransomware Ragnarok и ВПО Asnarök, пользователям настоятельно рекомендуется убедиться, что их обновленные патчи проинсталлированы.
CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует в консоле веб-администрирования брандмауэра Sophos. Ошибка позволяет удаленному злоумышленнику получить доступ к пользовательскому порталу брандмауэра или интерфейсу веб-администрирования, обойти аутентификацию и выполнить произвольный код. Была обнаружена через программу вознаграждения за обнаружение ошибок компании, автор не раскрывается.
Для клиентов Sophos Firewall с включенной функцией автоматической установки исправлений переживать не стоит - патч накатится по умолчанию. Однако некоторые старые версии и продукты с истекшим сроком службы потребуют ручной активации.
Общий обходной путь для уязвимости подразумевает отключение доступа через глобальную сеть к пользовательскому порталу и веб-администратору согласно соответствующим рекомендациям и использование VPN и/или Sophos Central для удаленного доступа и управления.
Кроме того, совсем недавно Sophos также устранила другие две уязвимости «высокой» степени серьезности (CVE-2022-0386 и CVE-2022-0652), влияющие на устройства Sophos UTM (Unified Threat Management).
Учитывая, что Sophos Firewall неоднократно подвергались атакам, как это было в начале 2020, когда хакеры внедряли SQL-код в XG Firewall, а в апреле того же года - 0-day эксплуатировались для доставки ransomware Ragnarok и ВПО Asnarök, пользователям настоятельно рекомендуется убедиться, что их обновленные патчи проинсталлированы.
Sophos
Device access - Sophos Firewall
You can control access to the management services of Sophos Firewall from custom and default zones using the local service ACL (Access Control List).
Компания Google выпустила экстренное обновление безопасности Chrome 99 для исправления ошибки с высокой степенью серьезности, под которую уже доступен PoC.
CVE-2022-1096 описывается как ошибка Type Confusion в движке V8 JavaScript и WebAssembly, о ней 23 марта 2022 года сообщил анонимный исследователь. CVE-2022-1096 — вторая 0-day в Chrome, которую Google исправляет в этом году.
Подробности уязвимости, равно как о фактах ее эксплуатации в дикой природе не разглашаются. Но как мы помним, другая исправленная в феврале этого года CVE-2022-0609 бага нулевого дня в Chrome эксплуатировалась, по крайней мере двумя северокорейскими АРТ в атаках на СМИ, провайдеров и поставщиков ПО. Доступ к сведениям об ошибках будет ограничен до тех пор, пока большинство пользователей не получат исправление.
Патч для этой уязвимости был включен в Chrome 99.0.4844.84, который теперь доступен для всех пользователей Windows, Mac и Linux. Вскоре после выпуска Google пропатченной версии Chrome 99.0.4844.84, Microsoft также обновила свой браузер Edge на основе Chromium до версии 99.0.1150.55, устранив тем самым CVE-2022-1096.
Пользователям Chrome и Edge рекомендуется как можно скорее применить доступные исправления.
CVE-2022-1096 описывается как ошибка Type Confusion в движке V8 JavaScript и WebAssembly, о ней 23 марта 2022 года сообщил анонимный исследователь. CVE-2022-1096 — вторая 0-day в Chrome, которую Google исправляет в этом году.
Подробности уязвимости, равно как о фактах ее эксплуатации в дикой природе не разглашаются. Но как мы помним, другая исправленная в феврале этого года CVE-2022-0609 бага нулевого дня в Chrome эксплуатировалась, по крайней мере двумя северокорейскими АРТ в атаках на СМИ, провайдеров и поставщиков ПО. Доступ к сведениям об ошибках будет ограничен до тех пор, пока большинство пользователей не получат исправление.
Патч для этой уязвимости был включен в Chrome 99.0.4844.84, который теперь доступен для всех пользователей Windows, Mac и Linux. Вскоре после выпуска Google пропатченной версии Chrome 99.0.4844.84, Microsoft также обновила свой браузер Edge на основе Chromium до версии 99.0.1150.55, устранив тем самым CVE-2022-1096.
Пользователям Chrome и Edge рекомендуется как можно скорее применить доступные исправления.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 99.0.4844.84 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list o...
Как мы и ванговали санкции против российских инфосек вендоров продолжают расширяться. Досталось все той же Лаборатории Касперского.
Американская Федеральная комиссия по связи (FCC) в пятницу внесла ЛК в т.н. Covered List - список компаний, представляющих неприемлемый риск для национальной безопасности США. Касперские попали в обновленный лист не одни, а в компании с China Telecom и China Mobile International.
На самом деле, включение ЛК в этот список - фактически продолжение истории с санкциями Министерства национальной безопасности США (DHS), введенными против вендора в 2017 году. Какие конкретно последствия проистекают из внесения компании в Covered List FCC мы, если честно, так и не разобрались до конца. Единственное, что удалось обнаружить, - это запрет на поддержку от некоего FCC's Universal Service Fund.
Вероятно, что произошедшее - это, по сути, запрет на работу в американских сетях связи. Но, полагаем, после директивы DHS от 2017 года Касперские и так там не присутствовали. Таким образом, все происходящее - это, скорее всего, PR-история для создания медийной картинки неотвратимого давления на российскую IT-отрасль, поскольку Лаборатория Касперского является, пожалуй, самым узнаваемым в мире российским IT-брендом.
Дальнейшее нагнетание обстановки в отношении отечественных инфосек компаний, думаем, последует от стран ЕС. Но тут бы мы на их месте не торопились. А то им скоро газ за рубли покупать, а, как говорят, рублевые операции хорошо проходят только у компаний, которые стоят под защитой российских инфосек вендоров 😎
Американская Федеральная комиссия по связи (FCC) в пятницу внесла ЛК в т.н. Covered List - список компаний, представляющих неприемлемый риск для национальной безопасности США. Касперские попали в обновленный лист не одни, а в компании с China Telecom и China Mobile International.
На самом деле, включение ЛК в этот список - фактически продолжение истории с санкциями Министерства национальной безопасности США (DHS), введенными против вендора в 2017 году. Какие конкретно последствия проистекают из внесения компании в Covered List FCC мы, если честно, так и не разобрались до конца. Единственное, что удалось обнаружить, - это запрет на поддержку от некоего FCC's Universal Service Fund.
Вероятно, что произошедшее - это, по сути, запрет на работу в американских сетях связи. Но, полагаем, после директивы DHS от 2017 года Касперские и так там не присутствовали. Таким образом, все происходящее - это, скорее всего, PR-история для создания медийной картинки неотвратимого давления на российскую IT-отрасль, поскольку Лаборатория Касперского является, пожалуй, самым узнаваемым в мире российским IT-брендом.
Дальнейшее нагнетание обстановки в отношении отечественных инфосек компаний, думаем, последует от стран ЕС. Но тут бы мы на их месте не торопились. А то им скоро газ за рубли покупать, а, как говорят, рублевые операции хорошо проходят только у компаний, которые стоят под защитой российских инфосек вендоров 😎
Telegram
SecAtor
Вчера Федеральное управление по информационной безопасности Германии (BSI) распространило пресс-релиз, в котором призвало немецкие организации заменить антивирусные продукты Лаборатории Касперского на альтернативное ПО.
В качестве обоснования BSI указывает…
В качестве обоснования BSI указывает…
На самом деле давно известен трюк, который злоумышленники используют во время фишинговых атак в популярных службах обмена сообщениями, таких как WhatsApp, Signal, iMessage и др. Фокус состоит в том, что хакеры могут использовать URL-адреса, которые выглядят для получателя легитимными.
Некоторые из основных уязвимостей известны с 2019 года и подвергают риску пользователей самых популярных платформ обмена сообщениями и электронной почты, таких как Instagram, iMessage, WhatsApp, Signal и Facebook Messenger.
Самое интересное, что уязвимости были впервые обнаружены в августе 2019 года исследователем по имени zadewg. Но исследователь не хотел делиться дополнительной информацией о методе эксплуатации уязвимостей, которые были продемонстрированы им только на видео и поэтому Sick.Codes решили воспроизвести эксплойт самостоятельно и написать для него PoC.
Уязвимости представляют собой ошибки рендеринга, из-за которых пользовательский интерфейс приложения неправильно отображает URL-адреса со вставленными элементами управления Unicode RTLO (переопределение справа налево), что делает пользователя уязвимым для атак с подменой URI.
Когда символ RTLO вставляется в строку, он заставляет браузер или приложение для обмена сообщениями отображать строку справа налево вместо ее обычной ориентации слева направо. Этот символ в основном используется для обозначения сообщений на арабском языке или иврите. Таким образом, доверенные домены для фишинговых атак могут быть подделаны в сообщениях и выглядеть как законные и доверенные субдомены apple.com или google.com.
После введенного управляющего символа RTLO URL-адрес инвертируется, поскольку он обрабатывается как язык «справа налево». Так например, поддельный URL-адрес «gepj.xyz» будет отображаться как безвредный файл изображения JPEG «zyx.jpeg», а поддельный URL-адрес «kpa.li» будет отображаться как APK-файл «li.apk» и т д. Затем многие URL-адреса могут быть скрыты, что затрудняет обнаружение спуфинга.
CVE были назначены соответствующим уязвимостям и, как известно, работают в следующих версиях мессенджеров:
- CVE-2020-20093: Facebook Messenger 227.0 или более ранней версии для iOS и 228.1.0.10.116 или более ранней версии для Android.
- CVE-2020-20094: Instagram 106.0 или более ранней версии для iOS и 107.0.0.11 или более ранней версии для Android.
- CVE-2020-20095: iMessage 14.3 или более ранней версии для iOS.
- CVE-2020-20096: WhatsApp 2.19.80 или более ранней версии для iOS и 2.19.222 или более ранней версии для Android.
Так как PoC был опубликован относительно недавно и увы перечисленные уязвимости активно эксплуатировались в течение длительного времени в дикой природе. Например, у того же Signal нет соответствующего идентификатора CVE, так как конкретный метод атаки был раскрыт ими совсем недавно.
Некоторые из основных уязвимостей известны с 2019 года и подвергают риску пользователей самых популярных платформ обмена сообщениями и электронной почты, таких как Instagram, iMessage, WhatsApp, Signal и Facebook Messenger.
Самое интересное, что уязвимости были впервые обнаружены в августе 2019 года исследователем по имени zadewg. Но исследователь не хотел делиться дополнительной информацией о методе эксплуатации уязвимостей, которые были продемонстрированы им только на видео и поэтому Sick.Codes решили воспроизвести эксплойт самостоятельно и написать для него PoC.
Уязвимости представляют собой ошибки рендеринга, из-за которых пользовательский интерфейс приложения неправильно отображает URL-адреса со вставленными элементами управления Unicode RTLO (переопределение справа налево), что делает пользователя уязвимым для атак с подменой URI.
Когда символ RTLO вставляется в строку, он заставляет браузер или приложение для обмена сообщениями отображать строку справа налево вместо ее обычной ориентации слева направо. Этот символ в основном используется для обозначения сообщений на арабском языке или иврите. Таким образом, доверенные домены для фишинговых атак могут быть подделаны в сообщениях и выглядеть как законные и доверенные субдомены apple.com или google.com.
После введенного управляющего символа RTLO URL-адрес инвертируется, поскольку он обрабатывается как язык «справа налево». Так например, поддельный URL-адрес «gepj.xyz» будет отображаться как безвредный файл изображения JPEG «zyx.jpeg», а поддельный URL-адрес «kpa.li» будет отображаться как APK-файл «li.apk» и т д. Затем многие URL-адреса могут быть скрыты, что затрудняет обнаружение спуфинга.
CVE были назначены соответствующим уязвимостям и, как известно, работают в следующих версиях мессенджеров:
- CVE-2020-20093: Facebook Messenger 227.0 или более ранней версии для iOS и 228.1.0.10.116 или более ранней версии для Android.
- CVE-2020-20094: Instagram 106.0 или более ранней версии для iOS и 107.0.0.11 или более ранней версии для Android.
- CVE-2020-20095: iMessage 14.3 или более ранней версии для iOS.
- CVE-2020-20096: WhatsApp 2.19.80 или более ранней версии для iOS и 2.19.222 или более ранней версии для Android.
Так как PoC был опубликован относительно недавно и увы перечисленные уязвимости активно эксплуатировались в течение длительного времени в дикой природе. Например, у того же Signal нет соответствующего идентификатора CVE, так как конкретный метод атаки был раскрыт ими совсем недавно.
GitHub
RIUS/exploit.sh at master · zadewg/RIUS
CVE-2020-20093; 20094; 20095; 20096, 2022-28345 RTLO Injection URI Spoofing - zadewg/RIUS