Аналитики Wordfence Threat Intelligence обнаружили ряд уязвимостей в плагинах Jupiter Theme и JupiterX Core для WordPress, одна из которых CVE-2022-1654 имеет оценку CVSS 9,9 (критическая).
Jupiter — это высококачественный конструктор тем для сайтов WordPress, используемый более чем 90 000 популярных блогов, онлайн-журналов и платформ с большим трафиком пользователей.
Уязвимость CVE-2022-1654 позволяет любому прошедшему проверку подлинности пользователю на сайте, использующему уязвимые подключаемые модули, получить административные привилегии.
После эксплуатации уязвимости злоумышленники могут совершать на сайте неограниченное количество действий, включая изменение его содержимого, внедрение вредоносных скриптов или полное его удаление. Для этого достаточно быть простым подписчиком или клиентом на сайте.
CVE-2022-1654 затрагивает следующие версии: Jupiter Theme версии 6.10.1 и старше (исправлено в 6.10.2), JupiterX Theme версии 2.0.6 и старше (исправлено в 2.0.7) и JupiterX Core Plugin версии 2.0.7. и старше (исправлено в 2.0.8).
Проблема связана с функцией uninstallTemplate, которая перезагружает сайт после удаления темы и повышает привилегии до администратора. Если вошедший в систему пользователь отправляет запрос AJAX с параметром действия для вызова функции, он может повысить свои привилегии без какой-либо проверки.
Исследователи обнаружили проблему 5 апреля 2022 г., после чего уведомили разработчика модуля, предоставив полными техническими подробности. 28 апреля 2022 г. поставщик выпустил частичное исправление, а 10 мая Artbees выпустила полный патч.
В обновление также были включены исправления и других менее серьезных недостатков, среди которых: CVE-2022-1656 (оценка CVSS: 6,5, произвольная деактивация плагина и изменение настроек); CVE-2022-1657 (оценка CVSS: 8,1, обход пути и включение локального файла); CVE-2022-1658 (произвольное удаление подключаемого модуля средней серьезности, оценка CVSS: 6,5); CVE-2022-1659 (раскрытие информации, модификация и отказ в обслуживании средней степени серьезности, оценка CVSS: 6,3).
Для решения проблем с безопасностью владельцам сайтов WordPress с плагином рекомендуем как можно скорее обновиться до последних доступных версий, или же деактивировать плагин, заменив тему сайта.
Jupiter — это высококачественный конструктор тем для сайтов WordPress, используемый более чем 90 000 популярных блогов, онлайн-журналов и платформ с большим трафиком пользователей.
Уязвимость CVE-2022-1654 позволяет любому прошедшему проверку подлинности пользователю на сайте, использующему уязвимые подключаемые модули, получить административные привилегии.
После эксплуатации уязвимости злоумышленники могут совершать на сайте неограниченное количество действий, включая изменение его содержимого, внедрение вредоносных скриптов или полное его удаление. Для этого достаточно быть простым подписчиком или клиентом на сайте.
CVE-2022-1654 затрагивает следующие версии: Jupiter Theme версии 6.10.1 и старше (исправлено в 6.10.2), JupiterX Theme версии 2.0.6 и старше (исправлено в 2.0.7) и JupiterX Core Plugin версии 2.0.7. и старше (исправлено в 2.0.8).
Проблема связана с функцией uninstallTemplate, которая перезагружает сайт после удаления темы и повышает привилегии до администратора. Если вошедший в систему пользователь отправляет запрос AJAX с параметром действия для вызова функции, он может повысить свои привилегии без какой-либо проверки.
Исследователи обнаружили проблему 5 апреля 2022 г., после чего уведомили разработчика модуля, предоставив полными техническими подробности. 28 апреля 2022 г. поставщик выпустил частичное исправление, а 10 мая Artbees выпустила полный патч.
В обновление также были включены исправления и других менее серьезных недостатков, среди которых: CVE-2022-1656 (оценка CVSS: 6,5, произвольная деактивация плагина и изменение настроек); CVE-2022-1657 (оценка CVSS: 8,1, обход пути и включение локального файла); CVE-2022-1658 (произвольное удаление подключаемого модуля средней серьезности, оценка CVSS: 6,5); CVE-2022-1659 (раскрытие информации, модификация и отказ в обслуживании средней степени серьезности, оценка CVSS: 6,3).
Для решения проблем с безопасностью владельцам сайтов WordPress с плагином рекомендуем как можно скорее обновиться до последних доступных версий, или же деактивировать плагин, заменив тему сайта.
Wordfence
Critical Privilege Escalation Vulnerability in Jupiter and JupiterX Premium Themes
On April 5, 2022, the Wordfence Threat Intelligence team initiated the responsible disclosure process for a set of vulnerabilities in the Jupiter and JupiterX Premium themes and the required JupiterX Core companion plugin for WordPress, which included a critical…
Тайваньский производитель сетевых хранилищ (NAS) QNAP вновь вынужден вступить в противостояние с вымогателями DeadBolt, которые организовали новую волну атак.
Настоящая дуэль между производителем и хакерами началась в январе этого года после волны массового шифрования NAS-устройств вымогателями DeadBolt, когда QNAP были вынуждены принудительно накатить патчи или позже вовсе рекомендовать отключать устройства от сети.
Согласно расследованию QNAP PSIRT атака была нацелена на устройства NAS серий TS-x51 и TS-x53, использующие QTS 4.3.6 и QTS 4.4.1.
QNAP призывает всех пользователей NAS как можно скорее проверить и обновить QTS до последней версии, по возможности отключить переадресацию порта службы управления NAS (порт 8080 и 433 по умолчанию) портов маршрутизатора и функцию UPnP QNAP NAS.
Кроме того, QNAP выпустили подробные инструкции по отключению подключений SSH и Telnet, изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.
Для тех, кому необходим доступ к устройствам NAS без прямого доступа к Интернету, рекомендуется включить функцию VPN на маршрутизаторе (если она доступна), использовать службу myQNAPcloud Link и сервер VPN на устройствах QNAP, предоставляемый приложением QVPN Service, или QuWAN SD-WAN.
Поскольку на устройства QNAP нацелены и другие штаммы ransomware, включая Qlocker и eCh0raix, владельцам следует позаботиться о своей безопасности для защиты данных.
Настоящая дуэль между производителем и хакерами началась в январе этого года после волны массового шифрования NAS-устройств вымогателями DeadBolt, когда QNAP были вынуждены принудительно накатить патчи или позже вовсе рекомендовать отключать устройства от сети.
Согласно расследованию QNAP PSIRT атака была нацелена на устройства NAS серий TS-x51 и TS-x53, использующие QTS 4.3.6 и QTS 4.4.1.
QNAP призывает всех пользователей NAS как можно скорее проверить и обновить QTS до последней версии, по возможности отключить переадресацию порта службы управления NAS (порт 8080 и 433 по умолчанию) портов маршрутизатора и функцию UPnP QNAP NAS.
Кроме того, QNAP выпустили подробные инструкции по отключению подключений SSH и Telnet, изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.
Для тех, кому необходим доступ к устройствам NAS без прямого доступа к Интернету, рекомендуется включить функцию VPN на маршрутизаторе (если она доступна), использовать службу myQNAPcloud Link и сервер VPN на устройствах QNAP, предоставляемый приложением QVPN Service, или QuWAN SD-WAN.
Поскольку на устройства QNAP нацелены и другие штаммы ransomware, включая Qlocker и eCh0raix, владельцам следует позаботиться о своей безопасности для защиты данных.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Security Advisory for Malware QSnatch - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Стартовал Pwn2Own Vancouver 2022, участники которого должны будут проявить себя в категориях веб-браузера, виртуализации, локального повышения привилегий, серверов, корпоративных коммуникаций и автомобилей.
В первый день которого хакеры взломали операционную систему Microsoft Windows 11 и коммуникационную платформу Teams, продемонстрировали успешную эксплуатацию 16 0-day и сорвали куш в 800 000 долларов США.
Первой полегла Microsoft Teams в категории корпоративных коммуникаций после того, как Гектор Перальта воспользовался неправильной конфигурацией. После чего команда STAR Labs (в составе: Билли Дженг Бинг-Джхонг, Мухаммад Алифа Рамдхан и Нгуен Хоанг Тхок) красиво отработала свою цепочку эксплойтов с нулевым кликом из двух ошибок (внедрение и запись произвольного файла).
Третий раз Microsoft Teams был взломан в третий раз Масато Кинугавой, который использовал цепочку из трех ошибок: внедрение, неправильная конфигурация и выход из песочницы.
Каждая атака с использованием 0-day в Microsoft Teams принесла участника по 150 000 долларов.
Команда STAR Labs смогла дополнительно заработать 40 000 долларов США после за демонстрацию успешного повышения привилегий в ОС Windows 11 с использованием уязвимости Use-After-Free и еще 40 000 долларов США за повышение привилегий в Oracle Virtualbox.
Без внимания хакеров не осталась Mozilla Firefox и Apple Safari, который препарировал Манфред Пол и смог реализовать две ошибки (загрязнение прототипа и неправильная проверка ввода), за что получил вознаграждение в размере 150 000 долларов.
Свои 0-day в Windows 11 и Ubuntu Desktop в ходе первого дня Pwn2Own также показали Марцин Визовски, Team Orca из Sea Security и Кит Йео.
Вообще в период с 18 по 20 мая участники смогут заработать более 1 000 000 долларов наличными и призами, включая автомобили Tesla Model 3 и Tesla Model S. Самая крупная награда назначена за взлом Tesla и составляет 600 000 долларов (бонусом сам автомобиль), что и предстоит хакерам на следующем этапе.
В первый день которого хакеры взломали операционную систему Microsoft Windows 11 и коммуникационную платформу Teams, продемонстрировали успешную эксплуатацию 16 0-day и сорвали куш в 800 000 долларов США.
Первой полегла Microsoft Teams в категории корпоративных коммуникаций после того, как Гектор Перальта воспользовался неправильной конфигурацией. После чего команда STAR Labs (в составе: Билли Дженг Бинг-Джхонг, Мухаммад Алифа Рамдхан и Нгуен Хоанг Тхок) красиво отработала свою цепочку эксплойтов с нулевым кликом из двух ошибок (внедрение и запись произвольного файла).
Третий раз Microsoft Teams был взломан в третий раз Масато Кинугавой, который использовал цепочку из трех ошибок: внедрение, неправильная конфигурация и выход из песочницы.
Каждая атака с использованием 0-day в Microsoft Teams принесла участника по 150 000 долларов.
Команда STAR Labs смогла дополнительно заработать 40 000 долларов США после за демонстрацию успешного повышения привилегий в ОС Windows 11 с использованием уязвимости Use-After-Free и еще 40 000 долларов США за повышение привилегий в Oracle Virtualbox.
Без внимания хакеров не осталась Mozilla Firefox и Apple Safari, который препарировал Манфред Пол и смог реализовать две ошибки (загрязнение прототипа и неправильная проверка ввода), за что получил вознаграждение в размере 150 000 долларов.
Свои 0-day в Windows 11 и Ubuntu Desktop в ходе первого дня Pwn2Own также показали Марцин Визовски, Team Orca из Sea Security и Кит Йео.
Вообще в период с 18 по 20 мая участники смогут заработать более 1 000 000 долларов наличными и призами, включая автомобили Tesla Model 3 и Tesla Model S. Самая крупная награда назначена за взлом Tesla и составляет 600 000 долларов (бонусом сам автомобиль), что и предстоит хакерам на следующем этапе.
Twitter
Zero Day Initiative
Day One of #Pwn2Own Vancouver 2022 comes to a close with record breaking numbers. $800,000 awarded for 16 0-days - our biggest 1 day total in contest history! No bug collisions. No failed attempts. No kidding. zerodayinitiative.com/blog/2022/5/18…
͏Если уходишь - уходи красиво.
Именно так и поступили Conti, историю которых, по мнению исследователей Advanced Intel, официально можно считать законченной. Последняя беспрецедентная атака на Коста-Рику, по замыслу вымогателей, должна была стать отвлекающим маневром и создавать видимость их активности.
В реальности вместо заявленных 10, а потом 20 миллионов долларов, запрошенная сумма выкупа была намного меньше 1 миллиона. Такая цифра фигурировала во внутренней переписке членов группы.
Проводившие плотное наблюдение за группировкой исследователи полагают, что как бренда ransomware Conti больше нет, в то время как участники перегруппировались и заняли позиции в нижестоящих по иерархии группах.
К настоящему времени инфраструктура Conti отключена. Генеральный директор Advintel Виталий Кремез вообще утверждает, что технически программа-вымогатель Conti была свернута еще две недели назад, преемники Ryuk с того времени прекратили выпускать новые сборки. Несмотря на то, что «Conti News» и сайты переговоров все еще висят в сети, внутренние панели и хосты не работают, что свидетельствует о начале передела цифровой структуры группы.
Вместо традиционного ребрендинга руководители Conti решили раствориться в разветвленной сети ransomware-банд, которые им удалось собрать вокруг себя, начиная с 2021 года, включая HelloKitty, AvosLocker, Hive, BlackCat, BlackByte и многих других.
В рамках нового партнерства небольшие банды вымогателей получают приток опытных пентестеров, переговорщиков и операторов бывших Conti, а киберсиндикат получает мобильность и большую способность уклоняться от правоохранительных органов, разделяясь на более мелкие «ячейки», управляемые центральным руководством.
Кроме того, Advanced Intel заявляет, что к настоящему моменту Conti были созданы новые автономные группы, которые сосредоточены исключительно на краже данных и включают Karakurt, BlackByte и Bazarcall.
Ресерчеры полагают, что даже используя ransomware и ресурсы для переговоров других брендов, участники по-прежнему будут являться частью более крупного объединения, но уже без официального наименования Conti.
Эстафету есть кому передать, на подходе обновленные REvil, да и LockBit в ударе. Можно сказать грамотный ход со стороны участников банды, за головы которых американскими властями назначено вознаграждение в размере 15 миллионов долларов США.
Именно так и поступили Conti, историю которых, по мнению исследователей Advanced Intel, официально можно считать законченной. Последняя беспрецедентная атака на Коста-Рику, по замыслу вымогателей, должна была стать отвлекающим маневром и создавать видимость их активности.
В реальности вместо заявленных 10, а потом 20 миллионов долларов, запрошенная сумма выкупа была намного меньше 1 миллиона. Такая цифра фигурировала во внутренней переписке членов группы.
Проводившие плотное наблюдение за группировкой исследователи полагают, что как бренда ransomware Conti больше нет, в то время как участники перегруппировались и заняли позиции в нижестоящих по иерархии группах.
К настоящему времени инфраструктура Conti отключена. Генеральный директор Advintel Виталий Кремез вообще утверждает, что технически программа-вымогатель Conti была свернута еще две недели назад, преемники Ryuk с того времени прекратили выпускать новые сборки. Несмотря на то, что «Conti News» и сайты переговоров все еще висят в сети, внутренние панели и хосты не работают, что свидетельствует о начале передела цифровой структуры группы.
Вместо традиционного ребрендинга руководители Conti решили раствориться в разветвленной сети ransomware-банд, которые им удалось собрать вокруг себя, начиная с 2021 года, включая HelloKitty, AvosLocker, Hive, BlackCat, BlackByte и многих других.
В рамках нового партнерства небольшие банды вымогателей получают приток опытных пентестеров, переговорщиков и операторов бывших Conti, а киберсиндикат получает мобильность и большую способность уклоняться от правоохранительных органов, разделяясь на более мелкие «ячейки», управляемые центральным руководством.
Кроме того, Advanced Intel заявляет, что к настоящему моменту Conti были созданы новые автономные группы, которые сосредоточены исключительно на краже данных и включают Karakurt, BlackByte и Bazarcall.
Ресерчеры полагают, что даже используя ransomware и ресурсы для переговоров других брендов, участники по-прежнему будут являться частью более крупного объединения, но уже без официального наименования Conti.
Эстафету есть кому передать, на подходе обновленные REvil, да и LockBit в ударе. Можно сказать грамотный ход со стороны участников банды, за головы которых американскими властями назначено вознаграждение в размере 15 миллионов долларов США.
СЕНСАЦИЯ! ИНФОСЕК ИНДУСТРИЯ В ШОКИ! КИБЕРВОЙНЫ ЗАКОНЧИЛИСЬ!
Британское издание Evening Standart вчера вечером выпустило статью, в которой рассказало о разработанном исследователями Университета Кардиффа инструменте, которые "уничтожает кибератаки за 0.3 секунды". Краткое содержание статьи - производители антивирусного ПО тупые, а исследователи из Кардиффа умные.
Народ ржет и отправляет индустрию на пенсию. Ну потому что кибератаки - все! Уничтожены за 0.3 секунды.
Следующими открытиями исследователей из Кардиффа, видимо, будут Баролгин (понижает риск, уничтожает простату и стимулирует выделения) и способ по борьбе с расследованием терроризма.
"Британские ученые", грохоча мослами, ворвались в информационную безопасность.
Британское издание Evening Standart вчера вечером выпустило статью, в которой рассказало о разработанном исследователями Университета Кардиффа инструменте, которые "уничтожает кибератаки за 0.3 секунды". Краткое содержание статьи - производители антивирусного ПО тупые, а исследователи из Кардиффа умные.
Народ ржет и отправляет индустрию на пенсию. Ну потому что кибератаки - все! Уничтожены за 0.3 секунды.
Следующими открытиями исследователей из Кардиффа, видимо, будут Баролгин (понижает риск, уничтожает простату и стимулирует выделения) и способ по борьбе с расследованием терроризма.
"Британские ученые", грохоча мослами, ворвались в информационную безопасность.
Evening Standard
Scientists create tool to kill cyber attacks in ‘less than a second’
Researchers at Cardiff University have published details of a new method of finding and fighting malware.
Всегда удивляли сцены из известных блокбастеров, будь то Миссия невыполнима или Форсаж, когда членам команды Доминика Торетто или спецу Итона Ханта удавалось взламывать системы видеонаблюдения и отслеживать передвижения машин в потоке.
На деле оказывается и взламывать ничего не нужно. Исследовательская группа Cybernews обнаружила в свободном доступе 24 ГБ данных с камер автоматического распознавания номерных знаков (ANPR) со всего Соединенного Королевства.
База данных Elasticsearch была размещена в облаке AWS и включала 17 миллионов записей, включая зарегистрированную скорость транспортного средства и ограничение скорости в конкретном районе, расположение камер контроля скорости, номерные знаки обнаруженных транспортных средств и направление их движения относительно камеры. Кроме того, в доступе были и сведения в отношении списка угнанных, подозрительных и прочих интересующих полицию автомобилей.
Исследователи также выяснили, что база данных ANPR обновлялась в режиме реального времени, что позволяла при использовании интерфейса Kibana отслеживать передвижения в режиме онлайн. Потенциальный злоумышленник также мог планировать маршруты передвижения, не попадающие под камеры ANPR.
Помимо прочего, открытая база данных была также уязвима для редактирования ее содержимого, что предоставляло широкие возможности для фальсификации доказательств или наоборот чистки значимых событий.
По оценкам исследователей, на момент открытия набор данных обновлялся почти 500 записями каждую минуту или до 720 000 записей каждые 24 часа. Учитывая, что камеры ANPR ежедневно формируют 60 миллионов записей, обнаруженная база составляет 1,2% от общего ежедневного учета. В общем мотивированный злоумышленник теоретически может отслеживать 1,7 миллиона автомобилей, или 4,5% от общего числа автомобилей в Великобритании.
Исследовательская группа проинформировала Министерство транспорта Великобритании и Национальный центр кибербезопасности (NCSC) о находке, после чего доступ ограничили.
В целом, масштабы инцидента впечатляют.
Но больше впечатляет то, что мы писали об аналогичном ещё два года назад, когда в результате неправильно сконфигурированной системы автоматического распознавания автомобильных номеров (ANPR) в открытый доступ уже попадали 8,6 млн. записей поездок жителей городского округа Шеффилд.
На деле оказывается и взламывать ничего не нужно. Исследовательская группа Cybernews обнаружила в свободном доступе 24 ГБ данных с камер автоматического распознавания номерных знаков (ANPR) со всего Соединенного Королевства.
База данных Elasticsearch была размещена в облаке AWS и включала 17 миллионов записей, включая зарегистрированную скорость транспортного средства и ограничение скорости в конкретном районе, расположение камер контроля скорости, номерные знаки обнаруженных транспортных средств и направление их движения относительно камеры. Кроме того, в доступе были и сведения в отношении списка угнанных, подозрительных и прочих интересующих полицию автомобилей.
Исследователи также выяснили, что база данных ANPR обновлялась в режиме реального времени, что позволяла при использовании интерфейса Kibana отслеживать передвижения в режиме онлайн. Потенциальный злоумышленник также мог планировать маршруты передвижения, не попадающие под камеры ANPR.
Помимо прочего, открытая база данных была также уязвима для редактирования ее содержимого, что предоставляло широкие возможности для фальсификации доказательств или наоборот чистки значимых событий.
По оценкам исследователей, на момент открытия набор данных обновлялся почти 500 записями каждую минуту или до 720 000 записей каждые 24 часа. Учитывая, что камеры ANPR ежедневно формируют 60 миллионов записей, обнаруженная база составляет 1,2% от общего ежедневного учета. В общем мотивированный злоумышленник теоретически может отслеживать 1,7 миллиона автомобилей, или 4,5% от общего числа автомобилей в Великобритании.
Исследовательская группа проинформировала Министерство транспорта Великобритании и Национальный центр кибербезопасности (NCSC) о находке, после чего доступ ограничили.
В целом, масштабы инцидента впечатляют.
Но больше впечатляет то, что мы писали об аналогичном ещё два года назад, когда в результате неправильно сконфигурированной системы автоматического распознавания автомобильных номеров (ANPR) в открытый доступ уже попадали 8,6 млн. записей поездок жителей городского округа Шеффилд.
Cybernews
Millions of Brits exposed as traffic camera data left open to public | Cybernews
A dataset thought to belong to UK law enforcement agencies left information on millions of vehicles accessible to the public.
Forwarded from Social Engineering
🔖 S.E.Заметка. Полезные ресурсы для OSINT.
• Как и было сказано, сегодня мы пополним нашу коллекцию материала, и начнем с крутой подборки материала по GEOINT:
➖ Инструменты OSINT для геолокации: моря, горы, улицы.
➖ OSINT по спутниковым изображениям;
➖ Radar Interference Tracker — инструмент OSINT для обнаружения действующих радаров;
➖ Конкурсы и задачи по OSINT и геолокации;
➖ Анализ теней: 5 примеров использования SunCalc для OSINT расследований;
➖ Инструменты OSINT: изображения и видео;
➖ Инструменты OSINT: Социальные сети.
• Идем дальше. Что делать если у тебя есть лишь часть от домена электронной почты (например
• На очереди инструмент SkypeSearch. По названию становится ясно для чего он предназначен. Благодаря этому небольшому скрипту, который написан на Python, мы можем найти следующую информацию пользователя Skype: Адрес электронной почты, пол, ID, имя, место нахождения, дата создания аккаунта и т.д. Подробнее тут: https://github.com/8C/SkypeSearch
• Помните я писал пост про блок-схемы с алгоритмами сбора информации о цели? Если нет, то рекомендую к изучению, это очень полезный материал. Сегодня пополним нашу коллекцию еще одной схемой, только на этот раз, схема будет описывать алгоритмы сбора информации из Snapchat: https://github.com/sinwindie/OSINT/blob/master/Snapchat/Snapchat%20OSINT%20Attack%20Surface.pdf
‼️ Если понравилась подборка и материал оказался для тебя полезным, поделись им с другом, пусть тоже прокачает свои навыки OSINT. Дополнительный материал сможешь найти по соответствующему хештегу. Твой S.E. #OSINT
🖖🏻 Приветствую тебя user_name.
• В нашем канале собраны тысячи инструментов и сотни статей на тему OSINT. Данная тема тесно связана с социальной инженерией и является основополагающей на первоначальном этапе, перед большой и целенаправленной атакой. Именно поэтому мы стараемся пополнять нашу коллекцию материала, благодаря которой, ты можешь получить ценный опыт и уникальные знания.• Как и было сказано, сегодня мы пополним нашу коллекцию материала, и начнем с крутой подборки материала по GEOINT:
➖ Инструменты OSINT для геолокации: моря, горы, улицы.
➖ OSINT по спутниковым изображениям;
➖ Radar Interference Tracker — инструмент OSINT для обнаружения действующих радаров;
➖ Конкурсы и задачи по OSINT и геолокации;
➖ Анализ теней: 5 примеров использования SunCalc для OSINT расследований;
➖ Инструменты OSINT: изображения и видео;
➖ Инструменты OSINT: Социальные сети.
• Идем дальше. Что делать если у тебя есть лишь часть от домена электронной почты (например
SEAdmin@n*******t.n**), как определить настоящий домен? В этом нам поможет инструмент https://github.com/novitae/Aet-s-Tools/tree/main/EmDoFi. Тулза содержит более 6000 провайдеров и поможет тебе, если скормить ей необходимые данные. Пример тут.• На очереди инструмент SkypeSearch. По названию становится ясно для чего он предназначен. Благодаря этому небольшому скрипту, который написан на Python, мы можем найти следующую информацию пользователя Skype: Адрес электронной почты, пол, ID, имя, место нахождения, дата создания аккаунта и т.д. Подробнее тут: https://github.com/8C/SkypeSearch
• Помните я писал пост про блок-схемы с алгоритмами сбора информации о цели? Если нет, то рекомендую к изучению, это очень полезный материал. Сегодня пополним нашу коллекцию еще одной схемой, только на этот раз, схема будет описывать алгоритмы сбора информации из Snapchat: https://github.com/sinwindie/OSINT/blob/master/Snapchat/Snapchat%20OSINT%20Attack%20Surface.pdf
‼️ Если понравилась подборка и материал оказался для тебя полезным, поделись им с другом, пусть тоже прокачает свои навыки OSINT. Дополнительный материал сможешь найти по соответствующему хештегу. Твой S.E. #OSINT
͏Результаты исследований аналитиков из Университета Тренто в Италии могут изменить все ваши представления об информационной безопасности (но только, если Вы не читали наш канал).
В недавнем отчете команда исследователей провела ручной разбор APT-атак за период с 2008 по 2020 год, проанализировав данные в отношении 86 APT и 350 кампаний из числа их жертв, а также изучив векторы атак, эксплуатируемые уязвимости. затронутое программное обеспечение и его версии.
Выводы указывают на то, что APT в подавляющем большинстве атак на организации ориентируются на известные уязвимости, вопреки общераспространенному убеждению о нацеленности APT на атаки с использованием 0-day.
Действительно, из 86 исследованных APT только восемь: Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus и Rancor - использовали 0-day. При этом не все реализуемые АРТ кампании настолько сложны, как многие думают, хакеры довольно часто используют популярные инструменты, вредоносное ПО и уязвимости.
Исследователи обнаружили, что как правило, у организаций обычно уходит более 200 дней, чтобы привести в соответствие до 90 % своих систем в соответствие с последними исправлениями ПО, что целом оправдано, потому как не все уязвимости эксплуатируются в дикой природе.
Фактически оперативное обновление могло бы значительно снизить вероятность взломов, но в реальности обновляться сразу после выпуска невозможно в ряде случаев. Согласно данным ресерчеров, если организация ждет один месяц для обновления, вероятность того, что она будет скомпрометирована, возрастает в 4,9 раз, а если в течение трех месяцев - вероятность увеличивается в 9,1 раз.
С другой стороны, исследователи обнаружили, что оперативное исправление не гарантирует безопасности: такие компании могут быть также скомпрометированы в 14–33% случаев.
В целом, исследователи признали, что APT представляют собой уникальную проблему в сфере организации ИБ. Согласно их выводам, следует отдавать приоритет более быстрому исправлению, а не поиску 0-day уязвимостей в рамках общей стратегии обеспечения ИБ.
При этом они рекомендуют оптимизированный подход, предлагая обращать внимание на исправления недостатков, которые используются APT, снижая риск потенциальных атак.
В недавнем отчете команда исследователей провела ручной разбор APT-атак за период с 2008 по 2020 год, проанализировав данные в отношении 86 APT и 350 кампаний из числа их жертв, а также изучив векторы атак, эксплуатируемые уязвимости. затронутое программное обеспечение и его версии.
Выводы указывают на то, что APT в подавляющем большинстве атак на организации ориентируются на известные уязвимости, вопреки общераспространенному убеждению о нацеленности APT на атаки с использованием 0-day.
Действительно, из 86 исследованных APT только восемь: Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus и Rancor - использовали 0-day. При этом не все реализуемые АРТ кампании настолько сложны, как многие думают, хакеры довольно часто используют популярные инструменты, вредоносное ПО и уязвимости.
Исследователи обнаружили, что как правило, у организаций обычно уходит более 200 дней, чтобы привести в соответствие до 90 % своих систем в соответствие с последними исправлениями ПО, что целом оправдано, потому как не все уязвимости эксплуатируются в дикой природе.
Фактически оперативное обновление могло бы значительно снизить вероятность взломов, но в реальности обновляться сразу после выпуска невозможно в ряде случаев. Согласно данным ресерчеров, если организация ждет один месяц для обновления, вероятность того, что она будет скомпрометирована, возрастает в 4,9 раз, а если в течение трех месяцев - вероятность увеличивается в 9,1 раз.
С другой стороны, исследователи обнаружили, что оперативное исправление не гарантирует безопасности: такие компании могут быть также скомпрометированы в 14–33% случаев.
В целом, исследователи признали, что APT представляют собой уникальную проблему в сфере организации ИБ. Согласно их выводам, следует отдавать приоритет более быстрому исправлению, а не поиску 0-day уязвимостей в рамках общей стратегии обеспечения ИБ.
При этом они рекомендуют оптимизированный подход, предлагая обращать внимание на исправления недостатков, которые используются APT, снижая риск потенциальных атак.
Завершился Pwn2Own Vancouver 2022.
По итогам трехдневной хакерской конференции 17 участников заработали в общей сложности 1 155 000 долларов за реализованные 0-day и цепочки эксплойтов в продуктах Microsoft, Ubuntu и Tesla.
Во второй день участники снова поломали ОС Microsoft Windows 11, а также положили и Tesla Model 3.
Команда Synacktiv успешно проэксплуатировала две уникальные ошибки (Double-Free и OOBW) с выходом из песочницы при нацеливании на мультимедиа Tesla Model 3, заработав 75 000 долларов. Их соперники Jedar_LZ, атаковавшие Tesla, продемонстрировали свой эксплойт, однако использовать 0-day в отведенное временя им не удалось. Тем не менее Zero Day Initiative (ZDI) Trend Micro все подробности эксплойта передала в Tesla.
Также T0 была продемонстрирована третья 0-day уязвимость повышения привилегий в Windows 11, связанная с неправильной ошибкой управления доступом, а вот namnp не уложились в отведенное время и не смогли повысить привилегии.
После чего Ubuntu Desktop дважды подвергся взлому: Бьен Фам (bienpnn) и команда TUTELARY из Северо-Западного университета осуществили повышение привилегий, используя две ошибки Use After Free, заработав по 40 000 долларов.
В последний день исследователи nghiadt12 из Viettel Cyber Security, Бруно Пужос из REverse Tactics и vinhthp1712 окончательно добили Microsoft Windows 11, трижды взломав ОС с использованием 0-day эксплойтов (через Integer Overflow, используя Use-After-Free и Improper Access Control соответственно).
Билли Дженг Бинг-Джхонг из STAR Labs положил Ubuntu Desktop, используя Use-After-Free эксплойт. Натиск атак смогла выдержать Microsoft Teams, участники Team DoubleDragon не уложились в отведенное время. По итогу участники заработали 160 000 долларов.
В распоряжении разработчиков и поставщиков ПО 90 дней со дня окончания Pwn2Own для выпуска исправлений, по окончании срока Trend Micro Zero Day Initiative раскроет все технические секреты хакеров.
По итогам трехдневной хакерской конференции 17 участников заработали в общей сложности 1 155 000 долларов за реализованные 0-day и цепочки эксплойтов в продуктах Microsoft, Ubuntu и Tesla.
Во второй день участники снова поломали ОС Microsoft Windows 11, а также положили и Tesla Model 3.
Команда Synacktiv успешно проэксплуатировала две уникальные ошибки (Double-Free и OOBW) с выходом из песочницы при нацеливании на мультимедиа Tesla Model 3, заработав 75 000 долларов. Их соперники Jedar_LZ, атаковавшие Tesla, продемонстрировали свой эксплойт, однако использовать 0-day в отведенное временя им не удалось. Тем не менее Zero Day Initiative (ZDI) Trend Micro все подробности эксплойта передала в Tesla.
Также T0 была продемонстрирована третья 0-day уязвимость повышения привилегий в Windows 11, связанная с неправильной ошибкой управления доступом, а вот namnp не уложились в отведенное время и не смогли повысить привилегии.
После чего Ubuntu Desktop дважды подвергся взлому: Бьен Фам (bienpnn) и команда TUTELARY из Северо-Западного университета осуществили повышение привилегий, используя две ошибки Use After Free, заработав по 40 000 долларов.
В последний день исследователи nghiadt12 из Viettel Cyber Security, Бруно Пужос из REverse Tactics и vinhthp1712 окончательно добили Microsoft Windows 11, трижды взломав ОС с использованием 0-day эксплойтов (через Integer Overflow, используя Use-After-Free и Improper Access Control соответственно).
Билли Дженг Бинг-Джхонг из STAR Labs положил Ubuntu Desktop, используя Use-After-Free эксплойт. Натиск атак смогла выдержать Microsoft Teams, участники Team DoubleDragon не уложились в отведенное время. По итогу участники заработали 160 000 долларов.
В распоряжении разработчиков и поставщиков ПО 90 дней со дня окончания Pwn2Own для выпуска исправлений, по окончании срока Trend Micro Zero Day Initiative раскроет все технические секреты хакеров.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Vancouver 2022 - The Schedule
Welcome to Pwn2Own Vancouver 2022! This year marks the 15th anniversary of the contest, and we plan on celebrating by putting some amazing research on display. For this year’s event, we have 17 contestants attempting to exploit 21 targets across multiple…
Исследователи Cyble обнаружили вредоносную кампанию, нацеленную на представителей Infosec-сообщества, в рамках которой используется поддельным PoC-эксплойт для доставки Cobalt Strike.
Все началось с сообщения в Twitter, автор которого разоблачил малварь, замаскированный под эксплойт Proof of Concept для уязвимости удаленного выполнения кода RPC Runtime Library (CVE-2022-26809 с оценкой CVSS 9.8), который распространяли таким образом через GitHub.
В ходе расследования нашелся и другой замаскированный под POC-эксплойт для CVE-2022-24500 вредоносный образец, который также размещался в GitHub. При этом оба репозитория принадлежат одному и тому же владельцу, являющемуся главным актором всей кампании. Кроме того, ресерчеры отследили обсуждения, которые инициировали злоумышленники на ИБэшных форумах для распространения вредоносных ПО под видом PoC.
Анализ образцов ПО показал, что они представляют собой двоичный файл .Net, упакованный ConfuserEX, при этом никаким образом не содержат в коде ни строчки упомянутых в PoC уязвимостей. По факту малварь визуально имитирует попытку эксплуатации уязвимости, запуская в фоне шелл-код.
Программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки, которая представляет собой Cobalt-Strike. Затем злоумышленники могут использовать его для загрузки дополнительных полезных данных и выполнения боковых перемещений.
Присоединяемся к Cyble и категорически настаиваем на предварительной проверке достоверности и надежности источников. В этом плане подготовленный исследователями отчет будет полезен с точки зрения общих рекомендаций, а также в нем представлены индикаторами компрометации (IoC) касательно выявленной кампании.
Все началось с сообщения в Twitter, автор которого разоблачил малварь, замаскированный под эксплойт Proof of Concept для уязвимости удаленного выполнения кода RPC Runtime Library (CVE-2022-26809 с оценкой CVSS 9.8), который распространяли таким образом через GitHub.
В ходе расследования нашелся и другой замаскированный под POC-эксплойт для CVE-2022-24500 вредоносный образец, который также размещался в GitHub. При этом оба репозитория принадлежат одному и тому же владельцу, являющемуся главным актором всей кампании. Кроме того, ресерчеры отследили обсуждения, которые инициировали злоумышленники на ИБэшных форумах для распространения вредоносных ПО под видом PoC.
Анализ образцов ПО показал, что они представляют собой двоичный файл .Net, упакованный ConfuserEX, при этом никаким образом не содержат в коде ни строчки упомянутых в PoC уязвимостей. По факту малварь визуально имитирует попытку эксплуатации уязвимости, запуская в фоне шелл-код.
Программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки, которая представляет собой Cobalt-Strike. Затем злоумышленники могут использовать его для загрузки дополнительных полезных данных и выполнения боковых перемещений.
Присоединяемся к Cyble и категорически настаиваем на предварительной проверке достоверности и надежности источников. В этом плане подготовленный исследователями отчет будет полезен с точки зрения общих рекомендаций, а также в нем представлены индикаторами компрометации (IoC) касательно выявленной кампании.
Cyble
Malware Targets InfoSec: Fake PoC Delivers Cobalt Strike
It becomes essential for the Infosec Community members to check the credibility of sources before downloading any proof of concept.
- Партнёрский пост -
Бизнесу нужны специалисты по кибербезопасности
Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.
25 мая в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Как построить карьеру в кибербезопасности».
На онлайн‑дискуссии вы узнаете:
1️⃣ какие возможности открывает обучение в магистратуре и зададите вопросы руководителю программы;
2️⃣ какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
3️⃣ какие документы необходимы, этапы поступления и варианты оплаты обучения.
Присоединяйтесь → https://netolo.gy/imZ
Бизнесу нужны специалисты по кибербезопасности
Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.
25 мая в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Как построить карьеру в кибербезопасности».
На онлайн‑дискуссии вы узнаете:
1️⃣ какие возможности открывает обучение в магистратуре и зададите вопросы руководителю программы;
2️⃣ какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
3️⃣ какие документы необходимы, этапы поступления и варианты оплаты обучения.
Присоединяйтесь → https://netolo.gy/imZ
Не дает Ростех покоя расовым азиатским хакерам (тысячи их!). Два года назад северокорейцы из APT Kimsuky пытались взять на абордаж одно из подразделений госкомпании.
На сей раз наши китайские друзья решили пощупать внешний периметр двух российских оборонных научно-исследовательских институтов, входящих в состав Ростеха. Все согласно известной китайской пословице - "Сотня мужчин может разбить лагерь, но для постройки дома нужна женщина, а для постройки современного высокотехнологичного оружия - взломанный русский НИИ".
По крайней мере, так утверждает израильская инфосек компания Check Point.
По данным еврейских исследователей, ориентировочно с июня 2021 года ранее не замеченной хакерской группой проводится кибершпионская кампани, направленная на российские ресурсы. В ее рамках в конце марта этого года в адрес нескольких российских оборонных НИИ, а также в адрес неустановленного лица в Минске (приманка немного отличалась от российской), была сделана фишинговая рассылка, содержавшая ссылку на сайт minzdravros .com, имитирующий сайт Минздрава России и вредоносный документ.
Естественно, что при открытии и того, и другого, подтягивалось вредоносное ПО, а точнее безфайловый загрузчик, который имеет несколько зашифрованных слоев и догружает полезную нагрузку. В виде оригинального авторского бэкдора Spinner. Который, свою очередь, судя по скудному первичному функционалу, подсасывает с управляющего центра необходимые функциональные модули.
В ходе анализа полученных сэмплов Check Point нашли несколько схожих дропперов, все из которых использовали в качестве приманки документы, ориентированные на российских пользователей (например, поддельный Указ Президента РФ).
Полученные в ходе анализа TTPs указывают на схожесть этой новой APT, которую израильтяне назвали Twisted Panda, с китайскими группами Mustang Panda и Stone Panda aka APT 10.
Вместе с тем, по нашему мнению, их недостаточно, чтобы однозначно привязать киберкампании к действию китайских хакерских групп. Мы бы также рассмотрели возможность операции под чужим флагом, но израильские специалисты, по понятным геополитическим причинам, этого не делают.
Удалось ли взломать хакерам наши НИИ из отчета Check Point непонятно. Одно ясно точно - инструктаж должностных лиц Ростеха на предмет недопущения перехода по всяким фишинговым ссылкам и прочим вредоносным документам должен быть усилен. Желательно описанием последствий в виде "а то будет бо-бо".
На сей раз наши китайские друзья решили пощупать внешний периметр двух российских оборонных научно-исследовательских институтов, входящих в состав Ростеха. Все согласно известной китайской пословице - "Сотня мужчин может разбить лагерь, но для постройки дома нужна женщина, а для постройки современного высокотехнологичного оружия - взломанный русский НИИ".
По крайней мере, так утверждает израильская инфосек компания Check Point.
По данным еврейских исследователей, ориентировочно с июня 2021 года ранее не замеченной хакерской группой проводится кибершпионская кампани, направленная на российские ресурсы. В ее рамках в конце марта этого года в адрес нескольких российских оборонных НИИ, а также в адрес неустановленного лица в Минске (приманка немного отличалась от российской), была сделана фишинговая рассылка, содержавшая ссылку на сайт minzdravros .com, имитирующий сайт Минздрава России и вредоносный документ.
Естественно, что при открытии и того, и другого, подтягивалось вредоносное ПО, а точнее безфайловый загрузчик, который имеет несколько зашифрованных слоев и догружает полезную нагрузку. В виде оригинального авторского бэкдора Spinner. Который, свою очередь, судя по скудному первичному функционалу, подсасывает с управляющего центра необходимые функциональные модули.
В ходе анализа полученных сэмплов Check Point нашли несколько схожих дропперов, все из которых использовали в качестве приманки документы, ориентированные на российских пользователей (например, поддельный Указ Президента РФ).
Полученные в ходе анализа TTPs указывают на схожесть этой новой APT, которую израильтяне назвали Twisted Panda, с китайскими группами Mustang Panda и Stone Panda aka APT 10.
Вместе с тем, по нашему мнению, их недостаточно, чтобы однозначно привязать киберкампании к действию китайских хакерских групп. Мы бы также рассмотрели возможность операции под чужим флагом, но израильские специалисты, по понятным геополитическим причинам, этого не делают.
Удалось ли взломать хакерам наши НИИ из отчета Check Point непонятно. Одно ясно точно - инструктаж должностных лиц Ростеха на предмет недопущения перехода по всяким фишинговым ссылкам и прочим вредоносным документам должен быть усилен. Желательно описанием последствий в виде "а то будет бо-бо".
Когда речь идет об уязвимостях в WordPress, то в 9 из 10 случаев проблема кроется в каком-либо плагине, где можно выполнить произвольный PHP-код.
И сегодняшняя бага не исключение и затрагивает плагин School Management Pro, предназначенный для удобства управления школой с доступами пользователей на основе ролей от родителя до директора школы.
Проблема очень серьезная и предоставляет злоумышленнику полный контроль над уязвимыми веб-сайтами. Бага обнаружена в премиальных версиях до 9.9.7 и получила идентификатор CVE-2022-1609 с максимальной оценкой серьезности 10.
О проблеме сообщил Харальд Эйлертсен из Jetpack в своей статье, а индийская компания Weblizar, которая является создателем плагина утверждает, что более 340 000 клиентов используют его премиальные и бесплатные темы и плагины WordPress.
Специалисты по безопасности обнаружили имплантат 4 мая после того, как их предупредили о наличии сильно запутанного кода в исходниках проверки лицензии плагина. Причем уязвимость не влияет на бесплатную версию School Management, так как не содержит кода для проверки лицензий.
Тайной, покрытой мраком, остается тот факт, что никто не знает, как и когда код попал в их программное обеспечение.
Учитывая достаточно широкий горизонт угроз, исчисляемый в сотни тысяч школ, пользователям плагина рекомендуется обновить его до последней версии (9.9.7), чтобы предотвратить активные попытки эксплуатации.
И сегодняшняя бага не исключение и затрагивает плагин School Management Pro, предназначенный для удобства управления школой с доступами пользователей на основе ролей от родителя до директора школы.
Проблема очень серьезная и предоставляет злоумышленнику полный контроль над уязвимыми веб-сайтами. Бага обнаружена в премиальных версиях до 9.9.7 и получила идентификатор CVE-2022-1609 с максимальной оценкой серьезности 10.
О проблеме сообщил Харальд Эйлертсен из Jetpack в своей статье, а индийская компания Weblizar, которая является создателем плагина утверждает, что более 340 000 клиентов используют его премиальные и бесплатные темы и плагины WordPress.
Специалисты по безопасности обнаружили имплантат 4 мая после того, как их предупредили о наличии сильно запутанного кода в исходниках проверки лицензии плагина. Причем уязвимость не влияет на бесплатную версию School Management, так как не содержит кода для проверки лицензий.
Тайной, покрытой мраком, остается тот факт, что никто не знает, как и когда код попал в их программное обеспечение.
Учитывая достаточно широкий горизонт угроз, исчисляемый в сотни тысяч школ, пользователям плагина рекомендуется обновить его до последней версии (9.9.7), чтобы предотвратить активные попытки эксплуатации.
Jetpack
Backdoor found in The School Management Pro plugin for WordPress
We uncovered a backdoor in "The School Management Pro" plugin for WordPress. Read on for the full details. We strongly recommend updating to the latest version (9.9.7).
Google TAG всерьез взялась за индустрию коммерческого шпионажа. Компания призналась, что активно отслеживает более 30 поставщиков специализированного ПО, реализующих эксплойты и технологий наблюдения, в том числе и тех, кто действует при поддержке национальных государств.
По результатам инициированного в июле 2021 года анализа 0-day уязвимостей в Chrome, Internet Explorer и WebKit (Safari) аналитикам Google (TAG) удалось выйти на разработчика ПО Predator, ориентированного на компрометацию устройств под управлением ОС Android.
Как отмечает Google, для проведения атак на целевые устройства и установления шпионских имплантатов Predator использовались пять ранее неизвестных 0-day уязвимостей в Chrome и Android.
В целом, исследователи выделили три кампании с использованием Predator.
В самой первой обнаруженной в августе 2021 года использовалось HTTP-перенаправление на SBrowser из Chrome (CVE-2021-38000), в вторая была обнаружена в сентябре 2021 года и связана с выходом из песочницы Chrome (CVE-2021-37973, CVE-2021-37976), а в ходе третьей (октябрь 2021 года) применялась полная цепочка эксплойтов Android 0-day (CVE-2021-38003, CVE-2021-1048).
В рамках всех трех кампаний таргетировались одноразовые ссылки, имитирующие службы сокращения URL-адресов, целевым пользователям Android по электронной почте. После клика по ссылке жертвы перенаправлялись на подконтрольный злоумышленнику домен, посредством которого доставлялись эксплойты, после чего браузер отображал легитимный веб-сайт.
При этом злоумышленники для загрузки Android-имплантата Predator прибегали к функциональным RAT-возможностям банковского трояна Android Alien. Успешная инсталляция Predator обеспечивала оператору ПО доступ для записи аудио, добавлению CA-сертификатов и сокрытия приложений.
Все кампании были узко ограничены по целям и фокусировались не более чем на десятках пользователей.
По данным Google, за атаками с использованием Predator стоит коммерческая компания Cytrox, шпионские решения которой поставлялись для заражения Android-устройств в правительственные структуры Египта, Армении, Греции, Мадагаскара, Кот-д'Ивуара, Сербии, Испании и Индонезии. Впоследствии применялись ими для наблюдения за неугодными элементами, включая журналистов и политических деятелей.
Одним из объектов наблюдения стал египетский политик Айман Нура, в телефоне которого помимо Predator был обнаружен Pegasus от NSO Group. В результате резонансного расследования инцидента в декабре 2021 специалистами CitizenLab выяснилось, что политиком находился в поле зрения нескольких спецслужб одновременно.
Как помниться NSO Group после всех разоблачений стала фигурантом многочисленных судебных претензий и фактически лишилась клиентуры, на этот раз очередь дошла и до Cytrox, которая помимо того, что потеряла наработанные цепочки эксплойтов рискует растерять и напуганную клиентуру.
По результатам инициированного в июле 2021 года анализа 0-day уязвимостей в Chrome, Internet Explorer и WebKit (Safari) аналитикам Google (TAG) удалось выйти на разработчика ПО Predator, ориентированного на компрометацию устройств под управлением ОС Android.
Как отмечает Google, для проведения атак на целевые устройства и установления шпионских имплантатов Predator использовались пять ранее неизвестных 0-day уязвимостей в Chrome и Android.
В целом, исследователи выделили три кампании с использованием Predator.
В самой первой обнаруженной в августе 2021 года использовалось HTTP-перенаправление на SBrowser из Chrome (CVE-2021-38000), в вторая была обнаружена в сентябре 2021 года и связана с выходом из песочницы Chrome (CVE-2021-37973, CVE-2021-37976), а в ходе третьей (октябрь 2021 года) применялась полная цепочка эксплойтов Android 0-day (CVE-2021-38003, CVE-2021-1048).
В рамках всех трех кампаний таргетировались одноразовые ссылки, имитирующие службы сокращения URL-адресов, целевым пользователям Android по электронной почте. После клика по ссылке жертвы перенаправлялись на подконтрольный злоумышленнику домен, посредством которого доставлялись эксплойты, после чего браузер отображал легитимный веб-сайт.
При этом злоумышленники для загрузки Android-имплантата Predator прибегали к функциональным RAT-возможностям банковского трояна Android Alien. Успешная инсталляция Predator обеспечивала оператору ПО доступ для записи аудио, добавлению CA-сертификатов и сокрытия приложений.
Все кампании были узко ограничены по целям и фокусировались не более чем на десятках пользователей.
По данным Google, за атаками с использованием Predator стоит коммерческая компания Cytrox, шпионские решения которой поставлялись для заражения Android-устройств в правительственные структуры Египта, Армении, Греции, Мадагаскара, Кот-д'Ивуара, Сербии, Испании и Индонезии. Впоследствии применялись ими для наблюдения за неугодными элементами, включая журналистов и политических деятелей.
Одним из объектов наблюдения стал египетский политик Айман Нура, в телефоне которого помимо Predator был обнаружен Pegasus от NSO Group. В результате резонансного расследования инцидента в декабре 2021 специалистами CitizenLab выяснилось, что политиком находился в поле зрения нескольких спецслужб одновременно.
Как помниться NSO Group после всех разоблачений стала фигурантом многочисленных судебных претензий и фактически лишилась клиентуры, на этот раз очередь дошла и до Cytrox, которая помимо того, что потеряла наработанные цепочки эксплойтов рискует растерять и напуганную клиентуру.
Google
Protecting Android users from 0-Day attacks
To protect our users, Google’s Threat Analysis Group (TAG) routinely hunts for 0-day vulnerabilities exploited in-the-wild. In 2021, we reported nine 0-days affecting Ch…
Исследователи бьют тревогу и сообщают о компрометации библиотеки Python ctx и PHP phpass, которую используют более 3 и 2 миллионов пользователей соответственно.
Python является распространенным языком программирования и имеет обширную коллекцию пакетов в Python Package Index (pypi.org), которые позволяют разработчикам удобно создавать свой код. Многие из этих пакетов можно установить и обновить с помощью известной команды «pip install». При этом разработчики почти никогда не проверяют подлинность и достоверность новых версий пакетов, полностью полагаясь на процесс обновления и установки.
Пакет Python ctx был загружен на pypi.org 19 декабря 2014 года и представляет дополнительный класс Ctx, подкласс объекта Python 'dict’. Новый версии ctx 0.1.2, 0.2.2 и 0.2.6 были добавлены 21 мая 2022 года, при том, что согласно авторского репозитория GitHub пакет ctx не получал никаких обновлений.
Как выяснилось, в новые пакеты Python ctx и PHP phpass был добавлен вредоносный код, который собирает и отправляет все переменные среды в приложение heroku (anti-theft-web.herokuapp[.]com), по всей видимости, для извлечения учетных данных AWS.
Такой маневр стал возможен благодаря компрометации исходной учетной записи автора пакетов. Ресерчеры выяснили, что срок действия доменного имени исходного сопровождающего истек, после чего 14 мая 2022 года злоумышленник зарегистрировал имя заново и произвел сброс пароля, получив доступ к учетной записи, что и позволило ему удалить старый пакет и загрузить новые версии с бэкдором.
В случае с PHP phpass, все было намного прозаичнее: после того, как автор пакета «hautelook» удалил свою учетную запись, злоумышленник повторно зарегистрировал аккаунт 9 дней назад.
Безусловно, Python Software Foundation приняли необходимые меры для удаления аккаунта злоумышленника и обеспечению безопасности исходных версий библиотек, но разработчикам было бы полезно предварительно проверять пакеты на предмет имплементации дополнительного функционала.
В целом, это одна из немногих ситуаций, которая подчеркивает важность регулярной проверки исходного кода, библиотек и пакетов на наличие нарушений, соблюдения безопасности инфраструктуры разработки ПО и надлежащего управления конфигурацией.
Python является распространенным языком программирования и имеет обширную коллекцию пакетов в Python Package Index (pypi.org), которые позволяют разработчикам удобно создавать свой код. Многие из этих пакетов можно установить и обновить с помощью известной команды «pip install». При этом разработчики почти никогда не проверяют подлинность и достоверность новых версий пакетов, полностью полагаясь на процесс обновления и установки.
Пакет Python ctx был загружен на pypi.org 19 декабря 2014 года и представляет дополнительный класс Ctx, подкласс объекта Python 'dict’. Новый версии ctx 0.1.2, 0.2.2 и 0.2.6 были добавлены 21 мая 2022 года, при том, что согласно авторского репозитория GitHub пакет ctx не получал никаких обновлений.
Как выяснилось, в новые пакеты Python ctx и PHP phpass был добавлен вредоносный код, который собирает и отправляет все переменные среды в приложение heroku (anti-theft-web.herokuapp[.]com), по всей видимости, для извлечения учетных данных AWS.
Такой маневр стал возможен благодаря компрометации исходной учетной записи автора пакетов. Ресерчеры выяснили, что срок действия доменного имени исходного сопровождающего истек, после чего 14 мая 2022 года злоумышленник зарегистрировал имя заново и произвел сброс пароля, получив доступ к учетной записи, что и позволило ему удалить старый пакет и загрузить новые версии с бэкдором.
В случае с PHP phpass, все было намного прозаичнее: после того, как автор пакета «hautelook» удалил свою учетную запись, злоумышленник повторно зарегистрировал аккаунт 9 дней назад.
Безусловно, Python Software Foundation приняли необходимые меры для удаления аккаунта злоумышленника и обеспечению безопасности исходных версий библиотек, но разработчикам было бы полезно предварительно проверять пакеты на предмет имплементации дополнительного функционала.
В целом, это одна из немногих ситуаций, которая подчеркивает важность регулярной проверки исходного кода, библиотек и пакетов на наличие нарушений, соблюдения безопасности инфраструктуры разработки ПО и надлежащего управления конфигурацией.
SANS Internet Storm Center
ctx Python Library Updated with "Extra" Features - SANS Internet Storm Center
ctx Python Library Updated with "Extra" Features, Author: Yee Ching Tok
Совсем недавно мы высказывали мнение о том, что российские информационные ресурсы стали законной целью для взлома на условном Западе. Ан нет, не только российские. Китайские тоже.
Буквально на наших глазах разворачивается веселая пропагандистская кампания, основанная на данных взлома официального ресурса госоргана КНР.
В качестве иллюстрации приведем материал BBС, которая называет себя одним из автором "расследования". Итак, по легенде, в начале этого года некий хактивист (полагаем его имя Equation, а фамилия - Nsa) взломал и распотрошил несколько серверов полиции Синьцзян-Уйгурского автономного округа Китая. После чего передал их некому Адриану Зенцу, штатному сотруднику американского Фонда жертв коммунизма Мемориал. А тот уже скооперировался с журналистами и организовал расследование.
Этот самый Фонд Мемориал (не знаем, связан ли он с Мемориалом отечественным или нет) создал специальный сайт xinjiangpolicefiles .org, на котором разместил слитые данные в модном дизайнерском оформлении (китайские кибертяньлуны бдят и ресурс уже недоступен, хотя еще с утра работал). Организован Фонд, кстати говоря, под решению американского Сената в 1993 году.
Украденные хакерами данные датируются не позднее конца 2018 года и содержат фотографии уйгуров, фотографии из китайских тюрем (похоже на съемки учений), а также кучу служебных документов, включая списки задержанных.
Не будем вдаваться в подробности и выяснять является ли утечка подлинной, а выводы западных журналистов объективными. Наш, как говорится, concern, заключается в следующем - а что, теперь материалы, полученные в результате взлома, служат основой для масштабной информационной кампании? Так можно было, да? А что же тогда данные WADA, которые Fancy Bear слямзили в 2016 никто рассматривать не стал, а лепетали все про "незаконность получения сведений"?
К чему мы ведем - рамки дозволенного в киберпространстве расширяются, окна Овертона неумолимо разъезжаются в панорамные. В настоящий момент мы находимся на следующих стадиях:
- кибершпионаж плохо, но если в отношении тех, кто с нами не согласен - то хорошо;
- а если в отношении России - то можно и инфраструктуру бахнуть.
Но, думаем, что скоро дойдем и до:
- они не поддерживают наши санкции, давайте взломаем и подымем в воздух пару НПЗ, а еще устроим утеку хлора с химического завода, использующего непропатченные PLC.
Вот увидите, так и будет. Мы с негативными прогнозами еще ни разу не ошибались.
Ну а про то, что традиционно уйгурский вопрос использовался западными режимами для обострения санкционной войны против Китая мы тут рассказывать не будем. Пусть, вон, Вавилов рассказывает.
***Интересно, китайцы нас читают? По долгу службы должны. А как им тогда понравится, что мы их "кибертяньлунами" назначили... но ведь корейцев мы "киберхонгильдонами" называем же...🤔
Буквально на наших глазах разворачивается веселая пропагандистская кампания, основанная на данных взлома официального ресурса госоргана КНР.
В качестве иллюстрации приведем материал BBС, которая называет себя одним из автором "расследования". Итак, по легенде, в начале этого года некий хактивист (полагаем его имя Equation, а фамилия - Nsa) взломал и распотрошил несколько серверов полиции Синьцзян-Уйгурского автономного округа Китая. После чего передал их некому Адриану Зенцу, штатному сотруднику американского Фонда жертв коммунизма Мемориал. А тот уже скооперировался с журналистами и организовал расследование.
Этот самый Фонд Мемориал (не знаем, связан ли он с Мемориалом отечественным или нет) создал специальный сайт xinjiangpolicefiles .org, на котором разместил слитые данные в модном дизайнерском оформлении (китайские кибертяньлуны бдят и ресурс уже недоступен, хотя еще с утра работал). Организован Фонд, кстати говоря, под решению американского Сената в 1993 году.
Украденные хакерами данные датируются не позднее конца 2018 года и содержат фотографии уйгуров, фотографии из китайских тюрем (похоже на съемки учений), а также кучу служебных документов, включая списки задержанных.
Не будем вдаваться в подробности и выяснять является ли утечка подлинной, а выводы западных журналистов объективными. Наш, как говорится, concern, заключается в следующем - а что, теперь материалы, полученные в результате взлома, служат основой для масштабной информационной кампании? Так можно было, да? А что же тогда данные WADA, которые Fancy Bear слямзили в 2016 никто рассматривать не стал, а лепетали все про "незаконность получения сведений"?
К чему мы ведем - рамки дозволенного в киберпространстве расширяются, окна Овертона неумолимо разъезжаются в панорамные. В настоящий момент мы находимся на следующих стадиях:
- кибершпионаж плохо, но если в отношении тех, кто с нами не согласен - то хорошо;
- а если в отношении России - то можно и инфраструктуру бахнуть.
Но, думаем, что скоро дойдем и до:
- они не поддерживают наши санкции, давайте взломаем и подымем в воздух пару НПЗ, а еще устроим утеку хлора с химического завода, использующего непропатченные PLC.
Вот увидите, так и будет. Мы с негативными прогнозами еще ни разу не ошибались.
Ну а про то, что традиционно уйгурский вопрос использовался западными режимами для обострения санкционной войны против Китая мы тут рассказывать не будем. Пусть, вон, Вавилов рассказывает.
***Интересно, китайцы нас читают? По долгу службы должны. А как им тогда понравится, что мы их "кибертяньлунами" назначили... но ведь корейцев мы "киберхонгильдонами" называем же...🤔
BBC News
The faces from China’s Uyghur detention camps
Thousands of photos from a data hack of police files, reveal the human cost of China's Uyghur detention system.
Пока в PayPal думают над исправлением уязвимости кардеры уже потирают руки, как будут вбивать старую добрую "палку".
О проблеме, которая позволяет злоумышленникам красть деньги у пользователей, сообщил исследователь безопасности известный под псевдонимом h4x0r_dz. Причем эксперт рапортовал об ошибке в рамках программы PayPal bug bounty еще за семь месяцев до сегодняшнего дня и наглядно продемонстрировал, как можно по легкой срубить бакшиш, используя Clickjacking.
Думаем суть Clickjacking понятна - это тип атаки, когда злоумышленник использует скрытую оверлейную страницу или элемент HTML, отображаемый поверх видимой страницы. Кликая на страницу, пользователи фактически нажимают на элемент, который контролирует хакер перекрывая легитимный контент.
Исследователь обнаружил уязвимость в конечной точке «www.paypal[.]com/agreements/approve», предназначенной для соглашения о выставлении счетов. Конечная точка должна принимать только billingAgreementToken, но эксперт обнаружил, что может передавать другой тип токенов, что собственно и приводит к краже денег со счета PayPal. Стоит жертве кликнуть на странице и она отправит деньги на PayPal злоумышленника.
PoC-эксплойт для этой проблемы уже опубликовали, которая, по словам эксперта еще не исправлена. Так что желающие в обход санкций оплатить себе подписку на Netflix можете поэкспериментировать. Демонстрационный мануал прилагается. Шутим конечно, использовать только в образовательных целях.
О проблеме, которая позволяет злоумышленникам красть деньги у пользователей, сообщил исследователь безопасности известный под псевдонимом h4x0r_dz. Причем эксперт рапортовал об ошибке в рамках программы PayPal bug bounty еще за семь месяцев до сегодняшнего дня и наглядно продемонстрировал, как можно по легкой срубить бакшиш, используя Clickjacking.
Думаем суть Clickjacking понятна - это тип атаки, когда злоумышленник использует скрытую оверлейную страницу или элемент HTML, отображаемый поверх видимой страницы. Кликая на страницу, пользователи фактически нажимают на элемент, который контролирует хакер перекрывая легитимный контент.
Исследователь обнаружил уязвимость в конечной точке «www.paypal[.]com/agreements/approve», предназначенной для соглашения о выставлении счетов. Конечная точка должна принимать только billingAgreementToken, но эксперт обнаружил, что может передавать другой тип токенов, что собственно и приводит к краже денег со счета PayPal. Стоит жертве кликнуть на странице и она отправит деньги на PayPal злоумышленника.
PoC-эксплойт для этой проблемы уже опубликовали, которая, по словам эксперта еще не исправлена. Так что желающие в обход санкций оплатить себе подписку на Netflix можете поэкспериментировать. Демонстрационный мануал прилагается. Шутим конечно, использовать только в образовательных целях.
Medium
Vulnerability In PayPal worth 200000$ bounty, Attacker can Steal Your Balance by One-Click
what if I told you that: A black Hat hacker can steal your money from your bank account & credit card or PayPal balance with one click from…
Cyberint раскрывает набирающую вес на рынке вымогательства группу RansomHouse.
Группировка была образована в декабре 2021 года, а совсем недавно запустила свой DLS, куда загрузила четыре жертвы, угрожая слить или перепродать эксфильтрованные в ходе атак данные в случае отказа выплатить выкуп.
Изучив поведение хакеров, Cyberint пришли к выводу, что за группой стоят профи из числа redteam-пентестеров, которые мотивированные низкими выплатами за обнаружение ошибок, не покрывающими даже 5% их трудозатрат, а также желанием продемонстрировать своими атаками крайне негативную ситуацию в сфере инфосек, связанную с недостаточным вниманием крупных компании к вопросам обеспечения кибербезопаности.
По мнению ресерчеров, именно такая идеологическая основа позволила объединить вокруг платформы RansomHouse различных более мелких участников рынка. Так, ранее RansomHouse использовала инструментарии и упоминалась в заметках о выкупе White Rabbit. Кроме того, Cyberint обнаружили рекламные посты RansomHouse в Telegram на канале нашумевших Lapsus$.
Хакеры прямо заявляют, что в инцидентах «виноваты не те, кто нашел уязвимость или осуществил взлом, а те, кто не позаботился должным образом о безопасности». Помимо прочего RansomHouse выступают за принципы свободы и отказались сотрудничать с радикальными хактивистами или АРТ.
Новая операция ransomware не использует шифрования, а фокусируется исключительно на взломе через предполагаемые уязвимости для кражи данных своих жертв. Для оказания большего давления хакеры привлекают СМИ, придавая большей публичности и резонанса инцидентам.
Исследователи выяснили, что с момента образования группы первой жертвой, предположительно, стало Управлением по продаже спиртных напитков и азартных игр (SLGA), которое теперь красуется на сайте хакеров. Последней из жертв стала служба поддержки немецких авиакомпаний, атакованная на прошлой неделе.
Если выкуп не поступает данные реализуются в даркнете другим заинтересованным группам, а в самом безденежном сценарии украденный набор сведений публикуется на сайте. При этом их коллеги по цеху не испытывают доверия к новой операции, называя их крайне подозрительными.
Cyberint утверждают, что RansomHouse исключительно крадет данные, ведет переговоры или перепродажу информации. Но как ни странно, упоминание «зашифровано» присутствует на сайте RansomHouse Onion, обозначая таким образом, что скомпрометированная инфраструктура подвергалась шифрованию, что достаточно спорно, по мнению аналитиков.
Разделяем выводы Cyberint относительно того, что из RansomHouse вырастит серьезный проект, но напакостить и подзаработать они все же успеют.
Группировка была образована в декабре 2021 года, а совсем недавно запустила свой DLS, куда загрузила четыре жертвы, угрожая слить или перепродать эксфильтрованные в ходе атак данные в случае отказа выплатить выкуп.
Изучив поведение хакеров, Cyberint пришли к выводу, что за группой стоят профи из числа redteam-пентестеров, которые мотивированные низкими выплатами за обнаружение ошибок, не покрывающими даже 5% их трудозатрат, а также желанием продемонстрировать своими атаками крайне негативную ситуацию в сфере инфосек, связанную с недостаточным вниманием крупных компании к вопросам обеспечения кибербезопаности.
По мнению ресерчеров, именно такая идеологическая основа позволила объединить вокруг платформы RansomHouse различных более мелких участников рынка. Так, ранее RansomHouse использовала инструментарии и упоминалась в заметках о выкупе White Rabbit. Кроме того, Cyberint обнаружили рекламные посты RansomHouse в Telegram на канале нашумевших Lapsus$.
Хакеры прямо заявляют, что в инцидентах «виноваты не те, кто нашел уязвимость или осуществил взлом, а те, кто не позаботился должным образом о безопасности». Помимо прочего RansomHouse выступают за принципы свободы и отказались сотрудничать с радикальными хактивистами или АРТ.
Новая операция ransomware не использует шифрования, а фокусируется исключительно на взломе через предполагаемые уязвимости для кражи данных своих жертв. Для оказания большего давления хакеры привлекают СМИ, придавая большей публичности и резонанса инцидентам.
Исследователи выяснили, что с момента образования группы первой жертвой, предположительно, стало Управлением по продаже спиртных напитков и азартных игр (SLGA), которое теперь красуется на сайте хакеров. Последней из жертв стала служба поддержки немецких авиакомпаний, атакованная на прошлой неделе.
Если выкуп не поступает данные реализуются в даркнете другим заинтересованным группам, а в самом безденежном сценарии украденный набор сведений публикуется на сайте. При этом их коллеги по цеху не испытывают доверия к новой операции, называя их крайне подозрительными.
Cyberint утверждают, что RansomHouse исключительно крадет данные, ведет переговоры или перепродажу информации. Но как ни странно, упоминание «зашифровано» присутствует на сайте RansomHouse Onion, обозначая таким образом, что скомпрометированная инфраструктура подвергалась шифрованию, что достаточно спорно, по мнению аналитиков.
Разделяем выводы Cyberint относительно того, что из RansomHouse вырастит серьезный проект, но напакостить и подзаработать они все же успеют.
Cyberint
The New RansomHouse on The Block
RansomHouse, a new group skips the encryption phase, requests payment for stolen data. Once paid, report the victim on their security gaps.
Полтора года назад мы обратили внимание на сомнительную схему монетизации "анонимного" поисковика DuckDuckGo.
Этот проект, популярный в даркнете, очень сильно напоминает нам историю с Tor Project или кейс с криптоплатформой An0m, которая вообще оказалась спецоперацией ФБР чуть более чем полностью.
Вчера появились косвенные доказательства того, что мы таки были правы. Исследователь Зак Эдвардс в ходе аудита выяснил, что новый браузер DuckDuckGo для iOS и Android, анонсированный с помпой в прошлом году, блокирует не только лишь все трекеры, а разрешает работать трекерам Microsoft.
В комменты к Эдвардсу пришел генеральный директор поисковика Габриэль Вайнберг и начал доказывать возмущенной публике, что "один раз - не лоботряс" и это лишь отдельное соглашение с Microsoft. Которое касается только браузера, а в самом поисковике ничего такого нет. После чего бугурт в сообществе только усилился.
Вот такой он, наш уютный ламповый цифровой концлагерь. С пледом и латте, но без приватности.
Этот проект, популярный в даркнете, очень сильно напоминает нам историю с Tor Project или кейс с криптоплатформой An0m, которая вообще оказалась спецоперацией ФБР чуть более чем полностью.
Вчера появились косвенные доказательства того, что мы таки были правы. Исследователь Зак Эдвардс в ходе аудита выяснил, что новый браузер DuckDuckGo для iOS и Android, анонсированный с помпой в прошлом году, блокирует не только лишь все трекеры, а разрешает работать трекерам Microsoft.
В комменты к Эдвардсу пришел генеральный директор поисковика Габриэль Вайнберг и начал доказывать возмущенной публике, что "один раз - не лоботряс" и это лишь отдельное соглашение с Microsoft. Которое касается только браузера, а в самом поисковике ничего такого нет. После чего бугурт в сообществе только усилился.
Вот такой он, наш уютный ламповый цифровой концлагерь. С пледом и латте, но без приватности.
͏- Партнёрский пост -
Простота разработки под Android, развитая экосистема и широкое использование как во всём мире, так и в России способствовали появлению миллионов приложений на все случаи жизни. Пользователи Android являются привлекательной целью для злоумышленников, в связи с чем мобильные угрозы постоянно эволюционируют и адаптируются под текущий новостной фон.
Сейчас под прицел попадает безопасность данных пользователей альтернативных магазинов приложений.
Поэтому команды RuStore и «Лаборатории Касперского» объединили усилия, чтобы предоставить максимальную защиту от возможных угроз.
Каким образом? 🧐
👉 Kaspersky Scan Engine поможет выявить различные киберугрозы, включая трояны, фишинг, шпионское и нежелательное ПО. В решении применяются передовые защитные технологии компании, в том числе — на базе машинного обучения. Построенные с использованием многолетней экспертизы, они позволяют с высокой эффективностью обнаруживать как известные, так и неизвестные ранее угрозы.
👉 Kaspersky Sandbox (или «песочница») при необходимости проведёт поведенческий анализ файлов и сможет обнаружить в том числе продвинутые угрозы, опираясь на базу знаний Kaspersky Threat Intelligence о кибератаках, тактиках и техниках злоумышленников.
Больше новостей и интересных материалов из мира инфосека ищите на канале Kaspersky Daily.
Простота разработки под Android, развитая экосистема и широкое использование как во всём мире, так и в России способствовали появлению миллионов приложений на все случаи жизни. Пользователи Android являются привлекательной целью для злоумышленников, в связи с чем мобильные угрозы постоянно эволюционируют и адаптируются под текущий новостной фон.
Сейчас под прицел попадает безопасность данных пользователей альтернативных магазинов приложений.
Поэтому команды RuStore и «Лаборатории Касперского» объединили усилия, чтобы предоставить максимальную защиту от возможных угроз.
Каким образом? 🧐
👉 Kaspersky Scan Engine поможет выявить различные киберугрозы, включая трояны, фишинг, шпионское и нежелательное ПО. В решении применяются передовые защитные технологии компании, в том числе — на базе машинного обучения. Построенные с использованием многолетней экспертизы, они позволяют с высокой эффективностью обнаруживать как известные, так и неизвестные ранее угрозы.
👉 Kaspersky Sandbox (или «песочница») при необходимости проведёт поведенческий анализ файлов и сможет обнаружить в том числе продвинутые угрозы, опираясь на базу знаний Kaspersky Threat Intelligence о кибератаках, тактиках и техниках злоумышленников.
Больше новостей и интересных материалов из мира инфосека ищите на канале Kaspersky Daily.
Состоявшийся несколько дней назад Pwn2Own Vancouver 2022 приносит первые бонусы.
Mozilla выпустила обновления безопасности для нескольких продуктов, устранив продемонстрированные участниками хакерского поединка 0-day уязвимости. После успешной эксплуатации уязвимостей в первый день Pwn2Own их автор, Манфред Пол, заработал 100 000 долларов и набрал 10 баллов в рейтинге Master of Pwn.
Две критические баги позволяют злоумышленнику выполнить код JavaScript на мобильных и настольных устройствах с уязвимыми версиями Firefox 100.0.2, Firefox ESR 91.9.1, Firefox для Android 100.3 и Thunderbird 91.9.1.
Первая уязвимость связана с загрязнением прототипа в реализации Await верхнего уровня (отслеживается как CVE-2022-1802), влияющей на Array в JavaScript, которое приводит к выполнению кода в привилегированном контексте. Вторая CVE-2022-1529 позволяет злоумышленникам злоупотреблять индексированием объектов Java и связана с неправильной проверкой ввода в атаках с внедрением загрязнения прототипа.
Злоумышленник может отправить сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript, что приводит к загрязнению прототипа и, в конечном итоге, к контролируемому злоумышленником выполнению JavaScript в привилегированном родительском процессе. По итогу атакующий может взять под контроль уязвимую систему.
Достаточно оперативно Mozilla исправила уязвимости, сумев разобраться с проблемами через два дня после того, как Манфред Пол представил их на Pwn2Own. Пользователям уязвимых решений рекомендуем держать тот же темп и обновиться до последних версий как можно скорее.
Mozilla выпустила обновления безопасности для нескольких продуктов, устранив продемонстрированные участниками хакерского поединка 0-day уязвимости. После успешной эксплуатации уязвимостей в первый день Pwn2Own их автор, Манфред Пол, заработал 100 000 долларов и набрал 10 баллов в рейтинге Master of Pwn.
Две критические баги позволяют злоумышленнику выполнить код JavaScript на мобильных и настольных устройствах с уязвимыми версиями Firefox 100.0.2, Firefox ESR 91.9.1, Firefox для Android 100.3 и Thunderbird 91.9.1.
Первая уязвимость связана с загрязнением прототипа в реализации Await верхнего уровня (отслеживается как CVE-2022-1802), влияющей на Array в JavaScript, которое приводит к выполнению кода в привилегированном контексте. Вторая CVE-2022-1529 позволяет злоумышленникам злоупотреблять индексированием объектов Java и связана с неправильной проверкой ввода в атаках с внедрением загрязнения прототипа.
Злоумышленник может отправить сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript, что приводит к загрязнению прототипа и, в конечном итоге, к контролируемому злоумышленником выполнению JavaScript в привилегированном родительском процессе. По итогу атакующий может взять под контроль уязвимую систему.
Достаточно оперативно Mozilla исправила уязвимости, сумев разобраться с проблемами через два дня после того, как Манфред Пол представил их на Pwn2Own. Пользователям уязвимых решений рекомендуем держать тот же темп и обновиться до последних версий как можно скорее.
Mozilla
Security Vulnerabilities fixed in Firefox 100.0.2, Firefox for Android 100.3.0, Firefox ESR 91.9.1, Thunderbird 91.9.1