Наступать на одни и те же грабли - это еще пол беды, но переходить при этом на детские - это прям печаль.
Так, если вкратце, можно объяснить решение Microsoft отменить блокировку макросов в Office по умолчанию, не предупреждая своих клиентов.
Компания в четверг проинформировала клиентов о том, что планирует отменить введённый запрет на автоматический запуск макросов VBA в документах Access, Excel, PowerPoint, Visio и Word, загруженных из Интернет.
В системах с активированной функцией aut0blocking для макросов пользователи перед загрузкой видят предупреждение системы безопасности с указанием небезопасного вложения. При этом блокировка по умолчанию в Office была введена самой же Microsoft в феврале 2022 года.
Решение было продиктовано негативной практикой использования макросов VBA для распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) в ходе фишинговых атак с вредоносными вложениями документов Office.
К настоящему времени Microsoft вернула запуск макросов по умолчанию, откатив изменение в Current Channel for Office.
Microsoft заявила, что откатила блокировку макросов основываясь на отзывах недовольных пользователей (прим.редакции - из АНБ).
В общем, это просто каких-то космических масштабов зашквар, конечно.
Так, если вкратце, можно объяснить решение Microsoft отменить блокировку макросов в Office по умолчанию, не предупреждая своих клиентов.
Компания в четверг проинформировала клиентов о том, что планирует отменить введённый запрет на автоматический запуск макросов VBA в документах Access, Excel, PowerPoint, Visio и Word, загруженных из Интернет.
В системах с активированной функцией aut0blocking для макросов пользователи перед загрузкой видят предупреждение системы безопасности с указанием небезопасного вложения. При этом блокировка по умолчанию в Office была введена самой же Microsoft в феврале 2022 года.
Решение было продиктовано негативной практикой использования макросов VBA для распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) в ходе фишинговых атак с вредоносными вложениями документов Office.
К настоящему времени Microsoft вернула запуск макросов по умолчанию, откатив изменение в Current Channel for Office.
Microsoft заявила, что откатила блокировку макросов основываясь на отзывах недовольных пользователей (прим.редакции - из АНБ).
В общем, это просто каких-то космических масштабов зашквар, конечно.
TECHCOMMUNITY.MICROSOFT.COM
Helping users stay safe: Blocking internet macros by default in Office
To protect our customers, users will no longer be able to enable macros obtained from the internet.
Ресерчеры NCC Group смогли взломать популярный протокол для радиоуправляемых самолетов (RC) всего за несколько итераций.
ExpressLRS — это высокопроизводительный канал радиоуправления с открытым исходным кодом, обеспечивает радиоуправление с малой задержкой на максимальной дальности. Работает на самых разных аппаратных средствах с частотами 900 МГц и 2,4 ГГц.
ExpressLRS очень популярен в дронах FPV и других самолетах с дистанционным управлением, доступен на GitHub.
Согласно отчету ресерчеров, уязвимость в системе радиоуправления дронами кроется в высокооптимизированной структуре беспроводных пакетов и вызвана ненадежностью механизма, связывающего передатчик и приемник.
Некоторая информация через передаваемые беспроводные пакеты может быть перехвачена третьей стороной для захвата всего соединения между оператором и дроном, что может привести к полному контролю над целевым кораблем. У самолета, уже находящегося в воздухе, скорее всего, возникнут проблемы с управлением, что приведет к аварии.
В протоколе ExpressLRS используется фраза привязки, своего рода идентификатор, который гарантирует, что правильный передатчик разговаривает с правильным приемником. Она предназначена не для безопасности, а, прежде всего, для предотвращения конфликтов радиолокации.
Фраза зашифрована с использованием алгоритма хеширования MD5, который, к слову, уже почти 10 лет как не поддерживается.
Как раз бреши в системе безопасности компонента и позволяют извлечь часть уникального идентификатора UID фразы привязки, который используется приемником и передатчиком.
Дело в том, что пакеты синхронизации, передаваемые между передатчиком и приемником через равные промежутки времени, пропускают большую часть UID, или 75% байтов, необходимых для захвата полной ссылки.
Как объясняют исследователи, оставшийся бит UID (25 %) может быть скомпилирован путем перебора или же наблюдения за пакетами в эфире, но последний вариант может занять больше времени.
После установления UID хакер может с легкостью подключиться к приемнику дрона, получив контроль над управлением. Метод реализуется на базе стандартного ПО с использованием оборудования, совместимого с ExpressLRS.
Все подробности - в отчете.
ExpressLRS — это высокопроизводительный канал радиоуправления с открытым исходным кодом, обеспечивает радиоуправление с малой задержкой на максимальной дальности. Работает на самых разных аппаратных средствах с частотами 900 МГц и 2,4 ГГц.
ExpressLRS очень популярен в дронах FPV и других самолетах с дистанционным управлением, доступен на GitHub.
Согласно отчету ресерчеров, уязвимость в системе радиоуправления дронами кроется в высокооптимизированной структуре беспроводных пакетов и вызвана ненадежностью механизма, связывающего передатчик и приемник.
Некоторая информация через передаваемые беспроводные пакеты может быть перехвачена третьей стороной для захвата всего соединения между оператором и дроном, что может привести к полному контролю над целевым кораблем. У самолета, уже находящегося в воздухе, скорее всего, возникнут проблемы с управлением, что приведет к аварии.
В протоколе ExpressLRS используется фраза привязки, своего рода идентификатор, который гарантирует, что правильный передатчик разговаривает с правильным приемником. Она предназначена не для безопасности, а, прежде всего, для предотвращения конфликтов радиолокации.
Фраза зашифрована с использованием алгоритма хеширования MD5, который, к слову, уже почти 10 лет как не поддерживается.
Как раз бреши в системе безопасности компонента и позволяют извлечь часть уникального идентификатора UID фразы привязки, который используется приемником и передатчиком.
Дело в том, что пакеты синхронизации, передаваемые между передатчиком и приемником через равные промежутки времени, пропускают большую часть UID, или 75% байтов, необходимых для захвата полной ссылки.
Как объясняют исследователи, оставшийся бит UID (25 %) может быть скомпилирован путем перебора или же наблюдения за пакетами в эфире, но последний вариант может занять больше времени.
После установления UID хакер может с легкостью подключиться к приемнику дрона, получив контроль над управлением. Метод реализуется на базе стандартного ПО с использованием оборудования, совместимого с ExpressLRS.
Все подробности - в отчете.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Остерегайтесь, ибо вас может заразить OrBit и речь не об освежающей жвачке, а о недавно обнаруженной вредоносной программе для Linux используемой для скрытой кражи информации с бэкдором и заражением всех запущенных процессов на машине.
Вредоносное ПО назвали OrBit исследователи из Intezer Labs, которые первыми его обнаружили и пояснили, что малварь компрометирует общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на скомпрометированных устройствах.
OrBit может существовать как временный, так и как постоянный имплант, основной задачей которого является кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.
Малварь крайне хитрая и может перехватывать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, скрывать сетевую активность и сохранять устойчивость, заражая новые процессы.
Например, после внедрения в запущенный процесс OrBit может манипулировать его выводом, чтобы скрыть любые следы своего существования, отфильтровывая то, что регистрируется.
Как сказала исследователь из Intezer Labs Николь Фишбейн: «После того, как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Вектор атаки начинается с ELF-файла - дроппера, который извлекает полезную нагрузку libdl.so и добавляет ее в общие библиотеки, загружаемые динамическим компоновщиком.
Дроппер и компоненты полезной нагрузки OrBit ранее были полностью незаметны для антивирусных средств и когда вредоносное ПО было впервые обнаружено, ряд поставщиков антивирусных решений обновили свои продукты, чтобы предупредить клиентов об угрозе.
Вредоносное ПО назвали OrBit исследователи из Intezer Labs, которые первыми его обнаружили и пояснили, что малварь компрометирует общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на скомпрометированных устройствах.
OrBit может существовать как временный, так и как постоянный имплант, основной задачей которого является кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.
Малварь крайне хитрая и может перехватывать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, скрывать сетевую активность и сохранять устойчивость, заражая новые процессы.
Например, после внедрения в запущенный процесс OrBit может манипулировать его выводом, чтобы скрыть любые следы своего существования, отфильтровывая то, что регистрируется.
Как сказала исследователь из Intezer Labs Николь Фишбейн: «После того, как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Вектор атаки начинается с ELF-файла - дроппера, который извлекает полезную нагрузку libdl.so и добавляет ее в общие библиотеки, загружаемые динамическим компоновщиком.
Дроппер и компоненты полезной нагрузки OrBit ранее были полностью незаметны для антивирусных средств и когда вредоносное ПО было впервые обнаружено, ряд поставщиков антивирусных решений обновили свои продукты, чтобы предупредить клиентов об угрозе.
Intezer
OrBit: New Undetected Linux Threat Uses Unique Hijack of Execution Flow
OrBit is a new Linux malware that hijacks the execution flow, evading and gaining persistence to get remote access and steal information.
Cisco устранила критическую уязвимость в Cisco Expressway и TelePresence Video Communication Server (VCS).
CVE-2022-20812 имеет оценку CVSS 9,0 и затрагивает устройства Expressway Control (Expressway-C) и Expressway Edge (Expressway-E).
Уязвимость в API-интерфейсе кластерной базы данных Cisco Expressway Series и Cisco TelePresence VCS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, проводить атаки с обходом абсолютного пути на уязвимом устройстве и перезаписывать файлы в базовой ОС как пользователь root.
Основной причиной уязвимости является недостаточная проверка введенных пользователем аргументов команды. Злоумышленники могут инициировать уязвимость, аутентифицируясь в системе как пользователь с правами администратора для чтения и записи.
Кроме того, устранена проблема уязвимость в проверке сертификатов Expressway Series и TelePresence VCS, отслеживаемая как CVE-2022-20813 с оценкой CVSS 9.0, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к конфиденциальным данным.
Недостаток связан с неправильной проверкой сертификата.
Злоумышленник может активировать уязвимость, используя MiTM для перехвата трафика между устройствами, а затем используя созданный сертификат для имитации конечной точки. Злоумышленник может просматривать перехваченный трафик в открытом виде или манипулировать им.
Обе проблемы закрыты в обновленном выпуске 14.0.7, при этом обходные пути для уязвимостей отсутствуют.
CVE-2022-20812 имеет оценку CVSS 9,0 и затрагивает устройства Expressway Control (Expressway-C) и Expressway Edge (Expressway-E).
Уязвимость в API-интерфейсе кластерной базы данных Cisco Expressway Series и Cisco TelePresence VCS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, проводить атаки с обходом абсолютного пути на уязвимом устройстве и перезаписывать файлы в базовой ОС как пользователь root.
Основной причиной уязвимости является недостаточная проверка введенных пользователем аргументов команды. Злоумышленники могут инициировать уязвимость, аутентифицируясь в системе как пользователь с правами администратора для чтения и записи.
Кроме того, устранена проблема уязвимость в проверке сертификатов Expressway Series и TelePresence VCS, отслеживаемая как CVE-2022-20813 с оценкой CVSS 9.0, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к конфиденциальным данным.
Недостаток связан с неправильной проверкой сертификата.
Злоумышленник может активировать уязвимость, используя MiTM для перехвата трафика между устройствами, а затем используя созданный сертификат для имитации конечной точки. Злоумышленник может просматривать перехваченный трафик в открытом виде или манипулировать им.
Обе проблемы закрыты в обновленном выпуске 14.0.7, при этом обходные пути для уязвимостей отсутствуют.
Cisco
Cisco Security Advisory: Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
Multiple vulnerabilities in the API and in the web-based management interface of Cisco Expressway Series and Cisco TelePresence Video Communication Server (VCS) could allow a remote attacker to overwrite arbitrary files or conduct null byte poisoning attacks…
Emsisoft выпустила бесплатную утилиту для восстановления файлов, зашифрованных с помощью ransomware AstraLocker и Yashma.
Бесплатный инструмент доступен для загрузки с серверова Emsisoft вместо со всеми необходимыми инструкциями (PDF).
Ресерчеры рекомендует, прежде всего, изолировать и удалить вредоносное ПО из системы для исключения повторной блокировки и шифрования файловой системы.
Кроме того, жертвам , чьи системы были скомпрометированы через удаленный рабочий стол Windows, следует изменить пароли для всех учетных записей пользователей и деактивировать добавленные операторами ransomware аккаунты.
Расшифровщик AstraLocker реализует дешифрацию Babuk с расширением .Astra или .babyk, и включает в общей сложности 8 ключей. Расшифровщик Yashma предназначен для шифратора на основе Chaos с использованием .AstraLocker или случайного расширения .[a-z0-9]{4}, включает в общей сложности 3 ключа.
Утилита была разработана вскоре после того, как владелец AstraLocker сообщил о переориентации с ransomware на криптоджейкинг, поделившись ZIP-архивом с дешифраторами AstraLocker и Yashma, который был отправлен на VirusTotal.
Незадолго до этого по результатам анализа кода, проведенного ReversingLabs, стало известно, что AstraLocker основан на утечке исходного кода Babuk. Кроме того, один из адресов кошелька Monero, перечисленных в примечании о выкупе, связан с операторами ransomware Chaos. В совокупности, за всеми стояли одни и те же операторы.
В общем, от «продолжения банкета» хакеры решили отказаться.
Новые дескрипторы пополнили существующий список аналогичного ПО для следующих штаммов: Ragnarok, Avaddon, SynAck, AES-NI, Shade, FilesLocker, TeslaCrypt, Crysis, Ziggy и FonixLocker.
Бесплатный инструмент доступен для загрузки с серверова Emsisoft вместо со всеми необходимыми инструкциями (PDF).
Ресерчеры рекомендует, прежде всего, изолировать и удалить вредоносное ПО из системы для исключения повторной блокировки и шифрования файловой системы.
Кроме того, жертвам , чьи системы были скомпрометированы через удаленный рабочий стол Windows, следует изменить пароли для всех учетных записей пользователей и деактивировать добавленные операторами ransomware аккаунты.
Расшифровщик AstraLocker реализует дешифрацию Babuk с расширением .Astra или .babyk, и включает в общей сложности 8 ключей. Расшифровщик Yashma предназначен для шифратора на основе Chaos с использованием .AstraLocker или случайного расширения .[a-z0-9]{4}, включает в общей сложности 3 ключа.
Утилита была разработана вскоре после того, как владелец AstraLocker сообщил о переориентации с ransomware на криптоджейкинг, поделившись ZIP-архивом с дешифраторами AstraLocker и Yashma, который был отправлен на VirusTotal.
Незадолго до этого по результатам анализа кода, проведенного ReversingLabs, стало известно, что AstraLocker основан на утечке исходного кода Babuk. Кроме того, один из адресов кошелька Monero, перечисленных в примечании о выкупе, связан с операторами ransomware Chaos. В совокупности, за всеми стояли одни и те же операторы.
В общем, от «продолжения банкета» хакеры решили отказаться.
Новые дескрипторы пополнили существующий список аналогичного ПО для следующих штаммов: Ragnarok, Avaddon, SynAck, AES-NI, Shade, FilesLocker, TeslaCrypt, Crysis, Ziggy и FonixLocker.
͏Fortinet выпустила исправления безопасности для устранения множества серьезных уязвимостей в нескольких продуктах поставщика, включая FortiADC, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiClient, FortiDeceptor, FortiEDR, FortiNAC, FortiSwitch, FortiRecorder и FortiVoiceEnterprise.
Наиболее критичными оказались 4 ошибки, среди которых:
CVE-2022-26117: незащищенная корневая учетная запись MySQL. Пустой пароль в файла конфигурации [CWE-258] в FortiNAC может позволить злоумышленнику, прошедшему проверку подлинности, получить доступ к базам данных MySQL через интерфейс командной строки.
CVE-2021-43072: переполнение буфера на основе стека с помощью созданной команды выполнения CLI (копирование буфера без проверки размера входных данных) [CWE-120] в FortiAnalyzer, FortiManager, FortiOS и FortiProxy. Может позволить злоумышленнику может выполнить произвольный код или команду с помощью созданных CLI-операций: выполнить образ восстановления и выполнить удаленный сертификат с протоколом TFTP.
CVE-2022-30302: уязвимость обхода пути. Несколько ошибок обхода относительного пути [CWE-23] в интерфейсе управления FortiDeceptor могут позволить удаленному и прошедшему проверку подлинности злоумышленнику извлекать и удалять произвольные файлы из базовой файловой системы с помощью веб-запросов.
CVE-2021-41031: повышение привилегий с помощью атаки с обходом каталога. Уязвимость обхода относительного пути [CWE-23] в FortiClient для Windows может позволить локальному непривилегированному злоумышленнику повысить свои привилегии до SYSTEM через именованный канал, отвечающий за службу FortiESNAC.
Наиболее критичными оказались 4 ошибки, среди которых:
CVE-2022-26117: незащищенная корневая учетная запись MySQL. Пустой пароль в файла конфигурации [CWE-258] в FortiNAC может позволить злоумышленнику, прошедшему проверку подлинности, получить доступ к базам данных MySQL через интерфейс командной строки.
CVE-2021-43072: переполнение буфера на основе стека с помощью созданной команды выполнения CLI (копирование буфера без проверки размера входных данных) [CWE-120] в FortiAnalyzer, FortiManager, FortiOS и FortiProxy. Может позволить злоумышленнику может выполнить произвольный код или команду с помощью созданных CLI-операций: выполнить образ восстановления и выполнить удаленный сертификат с протоколом TFTP.
CVE-2022-30302: уязвимость обхода пути. Несколько ошибок обхода относительного пути [CWE-23] в интерфейсе управления FortiDeceptor могут позволить удаленному и прошедшему проверку подлинности злоумышленнику извлекать и удалять произвольные файлы из базовой файловой системы с помощью веб-запросов.
CVE-2021-41031: повышение привилегий с помощью атаки с обходом каталога. Уязвимость обхода относительного пути [CWE-23] в FortiClient для Windows может позволить локальному непривилегированному злоумышленнику повысить свои привилегии до SYSTEM через именованный канал, отвечающий за службу FortiESNAC.
Список жертв Lockbit пополнился еще на одну строчку. На прошлой неделе под раздачу ransomware попал французский оператор виртуальной мобильной связи La Poste Mobile.
Атака программы-вымогателя парализовала административные и управленческие услуги компании.
Как заявили представители оператора злоумышленники могли получить доступ к данным ее клиентов, в связи с чем рекомендуют быть им более бдительными.
В компании оценивают риски и остерегаются, что инцидент может привести к краже личных данных или фишинговым атакам в случае компрометации клиентских данных.
Со слов оператора, ими приняты все необходимые защитные меры и отключены соответствующие компьютерные системы.
Собственно, поэтому в настоящее время эти действия привели к тому, что временно закрыт веб-сайт и клиентская зона компании. Сервера, необходимые для работы мобильной связи, хорошо защищены и работают в штатном режиме.
Lockbit добавили La Poste Mobile на свой сайт утечки в ночь с четверга на пятницу.
Как мы помним, банда выпустила и активно обкатывает на новых жертвах свой новый ransomware LockBit 3.0 с собственным "Bug Bounty", оплатой в Zcash и новой тактикой вымогательства.
Атака программы-вымогателя парализовала административные и управленческие услуги компании.
Как заявили представители оператора злоумышленники могли получить доступ к данным ее клиентов, в связи с чем рекомендуют быть им более бдительными.
В компании оценивают риски и остерегаются, что инцидент может привести к краже личных данных или фишинговым атакам в случае компрометации клиентских данных.
Со слов оператора, ими приняты все необходимые защитные меры и отключены соответствующие компьютерные системы.
Собственно, поэтому в настоящее время эти действия привели к тому, что временно закрыт веб-сайт и клиентская зона компании. Сервера, необходимые для работы мобильной связи, хорошо защищены и работают в штатном режиме.
Lockbit добавили La Poste Mobile на свой сайт утечки в ночь с четверга на пятницу.
Как мы помним, банда выпустила и активно обкатывает на новых жертвах свой новый ransomware LockBit 3.0 с собственным "Bug Bounty", оплатой в Zcash и новой тактикой вымогательства.
La Tribune
Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ?
Depuis le début de la semaine, le site de La Poste Mobile ne fonctionne plus en raison d'une cyberattaque rançongiciel. Celle-ci est revendiquée par LockBit 3.0, le numéro 1 du milieu cybercriminel, qui espère extorquer de l'argent à sa victime. Heureusement…
Forwarded from Russian OSINT
🚔 Motherboard опубликовали часть кода "анонимного и защищенного" мессенджера Anom от ФБР
В течение многих лет ФБР тайно следили за преступными синдикатами по всему миру через якобы защищенный мессенджер "Anom", в результате чего правоохранительным органам удалось произвести более 1000 арестов наркоторговцев, изъять большое количество огнестрельного оружия, наличных, наркотиков и роскошных автомобилей.
👮Все это стало возможным благодаря созданию ФБР собственной платформы для зашифрованных коммуникаций под названием "Anom" [подобную Encrochat и Phantom Secure] специально для отслеживания преступников.
📲Как сообщает Motherboard, им удалось получить базовый код приложения Anom и теперь они делятся им, для того чтобы дать общественности понять - как правоохранительные органы решают проблему "Going Dark".
📟 В основе Anom коммуникации лежит популярный XMPP (Jabber) протокол для обмена сообщениями, которым часто пользуются в криминальных кругах для обеспечения конфиденциальности своих переписок.
🙂Каждый пользователь Anom в своем контакт-лист имел возможность связи с официальной поддержкой Anom (support), но вот что не прописывалось в пользовательском соглашении, так это скрытый 🤖"призрачный" бот-контакт от ФБР, работающий в фоновом режиме и собирающий копии всех сообщений пользователя. Он был невидимым для преступников.
🌎 Многие из перехваченных сообщений Anom содержали точное местоположение устройства по GPS на момент отправки сообщения.
"Основная часть кода для обработки сообщений, по-видимому, была скопирована из приложения для обмена сообщениями с открытым исходным кодом." - комментируют Motherboard
🙅♂️Motherboard отказались публиковать полный код Anom, так как он содержит информацию о том, кто работал над проектом и разрабатывал приложение для спецслужб.
🤔"Большинство людей, работавших над созданием приложения Anom не знали, что это тайный инструмент ФБР для слежки за организованной преступностью, и раскрытие кода может может подвергнуть разработчиков серьезному риску"
👆Купер Квинтин, старший технолог активистской организации Electronic Frontier Foundation (EFF) счел сумасшедшей идеей то, что ФБР использовало обычных разработчиков для этой правоохранительной операции.
https://www.vice.com/en/article/v7veg8/anom-app-source-code-operation-trojan-shield-an0m
В течение многих лет ФБР тайно следили за преступными синдикатами по всему миру через якобы защищенный мессенджер "Anom", в результате чего правоохранительным органам удалось произвести более 1000 арестов наркоторговцев, изъять большое количество огнестрельного оружия, наличных, наркотиков и роскошных автомобилей.
👮Все это стало возможным благодаря созданию ФБР собственной платформы для зашифрованных коммуникаций под названием "Anom" [подобную Encrochat и Phantom Secure] специально для отслеживания преступников.
📲Как сообщает Motherboard, им удалось получить базовый код приложения Anom и теперь они делятся им, для того чтобы дать общественности понять - как правоохранительные органы решают проблему "Going Dark".
📟 В основе Anom коммуникации лежит популярный XMPP (Jabber) протокол для обмена сообщениями, которым часто пользуются в криминальных кругах для обеспечения конфиденциальности своих переписок.
🙂Каждый пользователь Anom в своем контакт-лист имел возможность связи с официальной поддержкой Anom (support), но вот что не прописывалось в пользовательском соглашении, так это скрытый 🤖"призрачный" бот-контакт от ФБР, работающий в фоновом режиме и собирающий копии всех сообщений пользователя. Он был невидимым для преступников.
🌎 Многие из перехваченных сообщений Anom содержали точное местоположение устройства по GPS на момент отправки сообщения.
"Основная часть кода для обработки сообщений, по-видимому, была скопирована из приложения для обмена сообщениями с открытым исходным кодом." - комментируют Motherboard
🙅♂️Motherboard отказались публиковать полный код Anom, так как он содержит информацию о том, кто работал над проектом и разрабатывал приложение для спецслужб.
🤔"Большинство людей, работавших над созданием приложения Anom не знали, что это тайный инструмент ФБР для слежки за организованной преступностью, и раскрытие кода может может подвергнуть разработчиков серьезному риску"
👆Купер Квинтин, старший технолог активистской организации Electronic Frontier Foundation (EFF) счел сумасшедшей идеей то, что ФБР использовало обычных разработчиков для этой правоохранительной операции.
https://www.vice.com/en/article/v7veg8/anom-app-source-code-operation-trojan-shield-an0m
Критически важные проекты в PyPI будут обязаны подключить 2FA, без которой сопровождающие ПО для Python не смогут публиковать, обновлять или изменять их.
Соответствующее требование Python Software Foundation уже начали внедрять.
PyPI содержит более 350 000 проектов, из которых более 3500 проектов отмечены как критические.
По словам сопровождающих репозитория, любой проект, на который приходится 1% лучших загрузок за предыдущие 6 месяцев, считается критическим, при этом показатель пересчитывается ежедневно.
При этом после включения в категорию, отметка сохранится на неопределенный срок, даже если число загрузок станет менее 1%.
Кроме того, разработчикам критически важных проектов на PyPi необходимо будет обзавестись аппаратными ключамт безопасности Google Open Source.
На такой шаг Python Software Foundation были вынуждены пойти после череды инцидентов, связанных с компрометацией цепочек поставок экосистемы Python в последние месяцы. Напоминать не будем, вы и сами все видели.
Соответствующее требование Python Software Foundation уже начали внедрять.
PyPI содержит более 350 000 проектов, из которых более 3500 проектов отмечены как критические.
По словам сопровождающих репозитория, любой проект, на который приходится 1% лучших загрузок за предыдущие 6 месяцев, считается критическим, при этом показатель пересчитывается ежедневно.
При этом после включения в категорию, отметка сохранится на неопределенный срок, даже если число загрузок станет менее 1%.
Кроме того, разработчикам критически важных проектов на PyPi необходимо будет обзавестись аппаратными ключамт безопасности Google Open Source.
На такой шаг Python Software Foundation были вынуждены пойти после череды инцидентов, связанных с компрометацией цепочек поставок экосистемы Python в последние месяцы. Напоминать не будем, вы и сами все видели.
Twitter
We’ve begun rolling out a 2FA requirement: soon, maintainers of critical projects must have 2FA enabled to publish, update, or modify them.
To ensure that these maintainers can use strong 2FA methods, we're also distributing 4000 hardware security keys!…
To ensure that these maintainers can use strong 2FA methods, we're also distributing 4000 hardware security keys!…
͏И, как обычно, ни дня без ransomware.
Достаточно грамотно оттачивают свою новую стратегию двойного вымогательства BlackCat, более жестко оказывая давление на своих жертв.
Для этого злоумышленники освоили и доводят до совершенства функцию поиска на сайте DLS, значительно упрощая обнаружение жертвами конкретных украденных данных, о чем они публично заявили на прошлой неделе, добавив поплыви и без того мощный арсенал: шифрование, кражу данных и отказ в обслуживании (DoS).
Хакеры проиндексировали все репозитории и добавили целый раздел Colections, позволяя находить утекшую информацию по имени файла или по содержимому, доступному в документах и изображениях.
Похоже, что часть украденных файлов все еще находится в индексации, но большая часть уже доступна для быстрой навигации. Выявлено более 2270 проиндексированных документов, содержащих учетные данные для доступа и информацию о паролях в виде открытого текста, и более 100 000 конфиденциальных документов, включая сообщения электронной почты и вложения.
BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях, а также дает все основания для подачи жертвами коллективных исков.
Ранее в июне этого года BlackCat запускали доступный для поиска сайт с данными, предположительно, украденными в результате атаки на отель и спа в Орегоне, который позволял клиентам компании и сотрудникам проверять, не была ли их личная информация украдена.
Кстати, на днях группа опубликовала новых жертв — COUNT+CARE Gmbh (IT-компания из Германии), вслед за Dusit D2 Kenz Hotel в Дубае, Sinclair Wilson (компания по бухгалтерскому учету и управлению активами из Австралии) и американская Adler Display.
Безусловно, новые приемы порождают и новые расценки выкупа. Resecurity (США), имеющая в основном клиентов из числа списка Fortune 500, обнаружила значительное повышение суммы выкупа со стороны Blackcat.
Судя по недавним скомпрометированным жертвам в скандинавском регионе (которые еще не были раскрыты), сумма, подлежащая выплате, превысила 2 млн. долларов, а средняя такса за урегулирование инцидента составила 2,5 млн.
Ресерчеры прогнозируют, что к 2031 году общая активность ransomware достигнет планки в 265 млрд. долларов, а общий ущерб для предприятий во всем мире может составить 10,5 трлн.
Вслед за BlackCat аналогичную функцию разработали LockBit 3.0, предложив переработанную версию сайта утечки, которая позволяет искать компании-жертвы из списка. Правда, пока что поиск у них не такой продвинутый как ALPHV, но все же.
Сразу же за ними подтянулись и вымогатели Karakurt, которые также представили свой поисковый сайт, работающий раз через раз в текущем исполнении.
Трудно сказать, насколько эффективен новый метод вымогательства, однако точно, можно считать новым трендом, делая ransomware, как минимум, более технологичным киберпреступлением.
Достаточно грамотно оттачивают свою новую стратегию двойного вымогательства BlackCat, более жестко оказывая давление на своих жертв.
Для этого злоумышленники освоили и доводят до совершенства функцию поиска на сайте DLS, значительно упрощая обнаружение жертвами конкретных украденных данных, о чем они публично заявили на прошлой неделе, добавив поплыви и без того мощный арсенал: шифрование, кражу данных и отказ в обслуживании (DoS).
Хакеры проиндексировали все репозитории и добавили целый раздел Colections, позволяя находить утекшую информацию по имени файла или по содержимому, доступному в документах и изображениях.
Похоже, что часть украденных файлов все еще находится в индексации, но большая часть уже доступна для быстрой навигации. Выявлено более 2270 проиндексированных документов, содержащих учетные данные для доступа и информацию о паролях в виде открытого текста, и более 100 000 конфиденциальных документов, включая сообщения электронной почты и вложения.
BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях, а также дает все основания для подачи жертвами коллективных исков.
Ранее в июне этого года BlackCat запускали доступный для поиска сайт с данными, предположительно, украденными в результате атаки на отель и спа в Орегоне, который позволял клиентам компании и сотрудникам проверять, не была ли их личная информация украдена.
Кстати, на днях группа опубликовала новых жертв — COUNT+CARE Gmbh (IT-компания из Германии), вслед за Dusit D2 Kenz Hotel в Дубае, Sinclair Wilson (компания по бухгалтерскому учету и управлению активами из Австралии) и американская Adler Display.
Безусловно, новые приемы порождают и новые расценки выкупа. Resecurity (США), имеющая в основном клиентов из числа списка Fortune 500, обнаружила значительное повышение суммы выкупа со стороны Blackcat.
Судя по недавним скомпрометированным жертвам в скандинавском регионе (которые еще не были раскрыты), сумма, подлежащая выплате, превысила 2 млн. долларов, а средняя такса за урегулирование инцидента составила 2,5 млн.
Ресерчеры прогнозируют, что к 2031 году общая активность ransomware достигнет планки в 265 млрд. долларов, а общий ущерб для предприятий во всем мире может составить 10,5 трлн.
Вслед за BlackCat аналогичную функцию разработали LockBit 3.0, предложив переработанную версию сайта утечки, которая позволяет искать компании-жертвы из списка. Правда, пока что поиск у них не такой продвинутый как ALPHV, но все же.
Сразу же за ними подтянулись и вымогатели Karakurt, которые также представили свой поисковый сайт, работающий раз через раз в текущем исполнении.
Трудно сказать, насколько эффективен новый метод вымогательства, однако точно, можно считать новым трендом, делая ransomware, как минимум, более технологичным киберпреступлением.
Облачные сервисы все чаще и чаще становятся лакомым кусочком для злоумышленников, которые "оптимизируют" работу виртуальных сред для добычи цифрового золота.
Исследователи из Trend Micro провели анализ атак на облачные платформы GitHub Actions и Azure VM а также расчехлили стоящих за ними акторов.
GitHub Actions — это платформа для автоматизации конвейера сборки, тестирования и развертывания ПО, которую разработчики используют ее для создания рабочих процессов, ну а злоумышленники своими внедренными скриптами GHA YAML для добычи криптовалюты.
В Azure обычно размещаются исполняемые файлы на виртуальных машинах Standard_DS2_v2 с Linux и Windows.
Основная цель злоумышленников - майнинг криптовалюты, что, по мнению экспертов, оказывает негативное влияние на целевые организации с точки зрения потребления ресурсов и затрат.
Дабы продемонстрировать последствия атак, исследователи Trend Micro развернули майнер XMRig на одной из своих систем и наблюдали увеличение коэффициента использования ЦП в среднем с 13% до 100%.
Стоимость электроэнергии для целевой организации подскочила с 20 до 130 долларов США в месяц, что почти +600% лишь для одного облачного хоста.
При этом производительность зараженной инфраструктуры существенно замедляется и может привести к сбоям в работе онлайн-сервисов, что также скажется на общей производительности и репутации организации.
Магии во внедрении майнеров в облачные среды никакой нет и как правило это делается с помощью традиционных методов, например, путем использования уязвимостей безопасности целевых систем, слабых учетных данных или неправильно настроенной облачной реализации.
Некоторые группировки, например Outlaw используют брутфорс и SSH-эксплойт (Shellshock Flaw и уязвимость Drupalgeddon2) для получения удаленного доступа к целевым системам, включая серверные и IoT-устройства.
Другая группа TeamTNT пытается скомпрометировать хосты, используя уязвимое ПО, крадет учетные данные для других сервисов для перемещения уже на другие хосты. В общем кто, на что горазд.
В ходе анализа Trend Micro обнаружила на одном только GitHub более 1000 репозиториев и 550 скриптов, которые используются для майнинга. Что сказать: стабильно и сытно.
Рекомендации и индикаторы компрометации для известных кампаний по добыче крипты специалисты опубликовали в своем отчете.
Исследователи из Trend Micro провели анализ атак на облачные платформы GitHub Actions и Azure VM а также расчехлили стоящих за ними акторов.
GitHub Actions — это платформа для автоматизации конвейера сборки, тестирования и развертывания ПО, которую разработчики используют ее для создания рабочих процессов, ну а злоумышленники своими внедренными скриптами GHA YAML для добычи криптовалюты.
В Azure обычно размещаются исполняемые файлы на виртуальных машинах Standard_DS2_v2 с Linux и Windows.
Основная цель злоумышленников - майнинг криптовалюты, что, по мнению экспертов, оказывает негативное влияние на целевые организации с точки зрения потребления ресурсов и затрат.
Дабы продемонстрировать последствия атак, исследователи Trend Micro развернули майнер XMRig на одной из своих систем и наблюдали увеличение коэффициента использования ЦП в среднем с 13% до 100%.
Стоимость электроэнергии для целевой организации подскочила с 20 до 130 долларов США в месяц, что почти +600% лишь для одного облачного хоста.
При этом производительность зараженной инфраструктуры существенно замедляется и может привести к сбоям в работе онлайн-сервисов, что также скажется на общей производительности и репутации организации.
Магии во внедрении майнеров в облачные среды никакой нет и как правило это делается с помощью традиционных методов, например, путем использования уязвимостей безопасности целевых систем, слабых учетных данных или неправильно настроенной облачной реализации.
Некоторые группировки, например Outlaw используют брутфорс и SSH-эксплойт (Shellshock Flaw и уязвимость Drupalgeddon2) для получения удаленного доступа к целевым системам, включая серверные и IoT-устройства.
Другая группа TeamTNT пытается скомпрометировать хосты, используя уязвимое ПО, крадет учетные данные для других сервисов для перемещения уже на другие хосты. В общем кто, на что горазд.
В ходе анализа Trend Micro обнаружила на одном только GitHub более 1000 репозиториев и 550 скриптов, которые используются для майнинга. Что сказать: стабильно и сытно.
Рекомендации и индикаторы компрометации для известных кампаний по добыче крипты специалисты опубликовали в своем отчете.
Trend Micro
Unpacking Cloud-Based Cryptocurrency Miners That Abuse GitHub Actions and Azure Virtual Machines
We investigate cloud-based cryptocurrency miners that leverage GitHub Actions and Azure virtual machines, including the cloud infrastructure and vulnerabilities that malicious actors exploit for easy monetary gain.
Немного подумав, Microsoft решили откатить свое решение, которое откатывало предыдущее.
Речь идет о автоматической блокировке макросов VBA в загруженных документах Office, которую разработчики реализовали в рамках развертывания в период с апреля по июнь.
Но к всеобщему удивлению, блокировка была на прошлой отменена, о чем Microsoft никак не уведомил пользователей Windows и Microsoft Office, которые вновь оказались уязвимыми для атак посредством документов со встроенными вредоносными макросами.
Традиционно после «пинка», Microsoft выкатили свои compliance, заявив: «Это временное изменение, и мы полностью привержены внесению изменений по умолчанию для всех пользователей. Мы предоставим дополнительную информацию о сроках в ближайшие недели».
Правда доходчиво, не объяснив, что же конкретно они готовы предложить.
Не будем повторяться - но мы уже в 100500 раз пытались понять причины и мотивы таких неоднозначных решений.
Речь идет о автоматической блокировке макросов VBA в загруженных документах Office, которую разработчики реализовали в рамках развертывания в период с апреля по июнь.
Но к всеобщему удивлению, блокировка была на прошлой отменена, о чем Microsoft никак не уведомил пользователей Windows и Microsoft Office, которые вновь оказались уязвимыми для атак посредством документов со встроенными вредоносными макросами.
Традиционно после «пинка», Microsoft выкатили свои compliance, заявив: «Это временное изменение, и мы полностью привержены внесению изменений по умолчанию для всех пользователей. Мы предоставим дополнительную информацию о сроках в ближайшие недели».
Правда доходчиво, не объяснив, что же конкретно они готовы предложить.
Не будем повторяться - но мы уже в 100500 раз пытались понять причины и мотивы таких неоднозначных решений.
TECHCOMMUNITY.MICROSOFT.COM
Helping users stay safe: Blocking internet macros by default in Office
To protect our customers, users will no longer be able to enable macros obtained from the internet.
В России и мире постоянно происходят утечки персональных данных. Миллионы записей из различных баз данных всплывают на теневых форумах и площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
͏Microsoft выпустили июльский PatchTuesday 2022, исправив 0-day и ещё 84 баги.
Среди исправленных уязвимостей 4 классифицированы как критические и приводят к RCE.
В целом, закрыты 52 ошибки повышения
привилегий, 4 - обхода функции безопасности, 12 - RCE, 11 - раскрытия информации и 5 - отказа в обслуживании, а также ещё две ранее исправленные уязвимости в Microsoft Edge.
Пропатченный Microsoft в этом месяце 0-day отслеживается как CVE-2022-22047 или Windows CSRSS Elevation of Privilege Vulnerability.
Злоумышленник в случае успешной эксплуатации уязвимости может получить привилегии SYSTEM в скомпрометированной системе.
Ошибка затрагивает Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).
Полный список устраненных уязвимостей и выпущенных рекомендаций в рамках патча доступен в полном отчете.
Среди исправленных уязвимостей 4 классифицированы как критические и приводят к RCE.
В целом, закрыты 52 ошибки повышения
привилегий, 4 - обхода функции безопасности, 12 - RCE, 11 - раскрытия информации и 5 - отказа в обслуживании, а также ещё две ранее исправленные уязвимости в Microsoft Edge.
Пропатченный Microsoft в этом месяце 0-day отслеживается как CVE-2022-22047 или Windows CSRSS Elevation of Privilege Vulnerability.
Злоумышленник в случае успешной эксплуатации уязвимости может получить привилегии SYSTEM в скомпрометированной системе.
Ошибка затрагивает Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).
Полный список устраненных уязвимостей и выпущенных рекомендаций в рамках патча доступен в полном отчете.
Президент Европейского центрального банка Кристин Лагард попала под прицел хакеров, став объектом таргетированной кибератаки.
В ЕЦБ подтвердили инцидент, но подробности расследования не раскрывают.
По данным Business Insider, злоумышленники пытались хакнуть мобильное устройство Лагард, отправив ей SMS-сообщение с номера мобильного телефона бывшего канцлера Германии Ангелы Меркель.
Представившийся Меркель злоумышленник предложил Лагард пообщаться по WhatsApp, который, по мнению собеседника был более безопасным каналам связи.
По информации СМИ, попытку взлома удалось оперативно пресечь, и никакая информация не была скомпрометирована.
На самом деле Лагард не повелась на уловку хакеров, связавшись с Меркель по телефону, которая опровергла какие-либо контакты с ее стороны.
А недавно похожий инцидент произошел с Йоргом Кукисом, советником нынешнего канцлера ФРГ Олафа Шольца.
Теперь осталось только выяснить, с кем «Меркель» уже удалось пообщаться. А это при том, что еще почту не смотрели.
Кстати, самой Меркель тоже когда-то «писали», как потом выяснилось из Америки.
В ЕЦБ подтвердили инцидент, но подробности расследования не раскрывают.
По данным Business Insider, злоумышленники пытались хакнуть мобильное устройство Лагард, отправив ей SMS-сообщение с номера мобильного телефона бывшего канцлера Германии Ангелы Меркель.
Представившийся Меркель злоумышленник предложил Лагард пообщаться по WhatsApp, который, по мнению собеседника был более безопасным каналам связи.
По информации СМИ, попытку взлома удалось оперативно пресечь, и никакая информация не была скомпрометирована.
На самом деле Лагард не повелась на уловку хакеров, связавшись с Меркель по телефону, которая опровергла какие-либо контакты с ее стороны.
А недавно похожий инцидент произошел с Йоргом Кукисом, советником нынешнего канцлера ФРГ Олафа Шольца.
Теперь осталось только выяснить, с кем «Меркель» уже удалось пообщаться. А это при том, что еще почту не смотрели.
Кстати, самой Меркель тоже когда-то «писали», как потом выяснилось из Америки.
AP News
European Central Bank head targeted in hacking attempt
The European Central Bank says its president, Christine Lagarde, was targeted in a hacking attempt but no information was compromised.
Сложно обойти и не сказать об Adobe, который выпустил крупное обновление безопасности для своих флагманских продуктов Acrobat и Reader, где исправлено не менее 22 задокументированных уязвимостей, ряд из которых имеет критический уровень серьезности и позволяет провести RCE-атаки.
Патчи для Windows и macOS вышли во вторник и также включают исправления критических ошибок в продуктах Adobe Photoshop, Adobe RoboHelp и Adobe Character Animator.
Согласно бюллетеню Adobe, обновление Acrobat/Reader устраняет несколько критических уязвимостей, которые подвергают пользователей атакам с выполнением произвольного кода и утечкой памяти.
Причем о большинстве ошибок, связанных с проблемами безопасности памяти, таких как «использование после освобождения» и «чтение за пределами границ», сообщалось в Adobe в рамках программы Bug Bounty.
Рекомендуем не затягивать с обновлениями, так как уязвимостям подвержены версии продуктов Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat 2017 и Acrobat Reader 2017.
Кроме того, патч включает исправления RCE-ошибки в RoboHelp, пару аналогичных проблем с выполнением кода и утечкой памяти в Photoshop (Windows и macOS), а также две критические ошибки в Adobe Character Animator для Windows и macOS.
Патчи для Windows и macOS вышли во вторник и также включают исправления критических ошибок в продуктах Adobe Photoshop, Adobe RoboHelp и Adobe Character Animator.
Согласно бюллетеню Adobe, обновление Acrobat/Reader устраняет несколько критических уязвимостей, которые подвергают пользователей атакам с выполнением произвольного кода и утечкой памяти.
Причем о большинстве ошибок, связанных с проблемами безопасности памяти, таких как «использование после освобождения» и «чтение за пределами границ», сообщалось в Adobe в рамках программы Bug Bounty.
Рекомендуем не затягивать с обновлениями, так как уязвимостям подвержены версии продуктов Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat 2017 и Acrobat Reader 2017.
Кроме того, патч включает исправления RCE-ошибки в RoboHelp, пару аналогичных проблем с выполнением кода и утечкой памяти в Photoshop (Windows и macOS), а также две критические ошибки в Adobe Character Animator для Windows и macOS.
Adobe
Adobe Security Bulletin
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB22-16
Целых восемь месяцев ушло у VMware на исправление обнаруженной в ноябре серьезной уязвитмости vCenter Server.
Ошибка связана с повышением привилегий, затрагивает механизм IWA (встроенная проверка подлинности Windows) vCenter Server и отслеживаемая как CVE-2021-22048. Она также влияет на развертывание гибридной облачной платформы VMware Cloud Foundation.
Об уязвимости сообщили Ярон Зинар и Саги Шейнфельд из CrowdStrike.
По мнению ресерчеров, успешная эксплуатация позволяет злоумышленникам с неадминистративным доступом к неисправленным vCenter Server повышать привилегии до группы с более высоким уровнем привилегий, что приводит к полной компрометации конфиденциальности и/или целостности пользовательских данных и ресурсов.
VMware отмечают, что ошибку можно использовать только из той же физической или логической сети, в которой расположен целевой сервер, в ходе атак высокой сложности, требующих низких привилегий и без взаимодействия с пользователем.
Вместе с тем, согласно NIST NVD багу можно использовать удаленно в атаках низкой сложности. Впрочем и VMware оценили ее как «важную».
И за восемь месяцев разработчик подготовил патч vCenter Server 7.0 Update 3f лишь для последней доступной версии vCenter Server, хотя CVE-2021-22048 затрагивает и версии 6.5, 6.7 и 7.0.
Но, к счастью, VMware обещает выпустить исправления и для других уязвимых версий, предлагая обходной путь для устранения вектора атаки, который, правда, не обновлялся с ноября 2021 года.
Ошибка связана с повышением привилегий, затрагивает механизм IWA (встроенная проверка подлинности Windows) vCenter Server и отслеживаемая как CVE-2021-22048. Она также влияет на развертывание гибридной облачной платформы VMware Cloud Foundation.
Об уязвимости сообщили Ярон Зинар и Саги Шейнфельд из CrowdStrike.
По мнению ресерчеров, успешная эксплуатация позволяет злоумышленникам с неадминистративным доступом к неисправленным vCenter Server повышать привилегии до группы с более высоким уровнем привилегий, что приводит к полной компрометации конфиденциальности и/или целостности пользовательских данных и ресурсов.
VMware отмечают, что ошибку можно использовать только из той же физической или логической сети, в которой расположен целевой сервер, в ходе атак высокой сложности, требующих низких привилегий и без взаимодействия с пользователем.
Вместе с тем, согласно NIST NVD багу можно использовать удаленно в атаках низкой сложности. Впрочем и VMware оценили ее как «важную».
И за восемь месяцев разработчик подготовил патч vCenter Server 7.0 Update 3f лишь для последней доступной версии vCenter Server, хотя CVE-2021-22048 затрагивает и версии 6.5, 6.7 и 7.0.
Но, к счастью, VMware обещает выпустить исправления и для других уязвимых версий, предлагая обходной путь для устранения вектора атаки, который, правда, не обновлялся с ноября 2021 года.
Forwarded from SecurityLab.ru
Security-новости от Александра Антипова (securitylab.ru). Выпуск #67
Алгоритм ИИ предсказывает преступления на неделю вперед с точностью 90%, в США представили инструменты шифрования для защиты от квантовых компьютеров, криптомошенники взломали аккаунты британской армии в Twitter и Youtube, а Google и Mozilla опасаются глобальной слежки за пользователями.
Google защитит данные жертв домашнего насилия и клиенток абортариев, ИИ быстро усваивает расовые и сексистские стереотипы из соцсетей, а пользователи приложения для создания ИИ-ботов начинают верить в разум своих виртуальных ассистентов. В Китае кодекс поведения для стримеров запретит показ 31 категории контента, а в России доля поставляемых ноутбуков без ОС к осени может вырасти до 80–90%.
В шестьдесят седьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю:
https://www.youtube.com/watch?v=gp8F_lnG3ik
Алгоритм ИИ предсказывает преступления на неделю вперед с точностью 90%, в США представили инструменты шифрования для защиты от квантовых компьютеров, криптомошенники взломали аккаунты британской армии в Twitter и Youtube, а Google и Mozilla опасаются глобальной слежки за пользователями.
Google защитит данные жертв домашнего насилия и клиенток абортариев, ИИ быстро усваивает расовые и сексистские стереотипы из соцсетей, а пользователи приложения для создания ИИ-ботов начинают верить в разум своих виртуальных ассистентов. В Китае кодекс поведения для стримеров запретит показ 31 категории контента, а в России доля поставляемых ноутбуков без ОС к осени может вырасти до 80–90%.
В шестьдесят седьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю:
https://www.youtube.com/watch?v=gp8F_lnG3ik
YouTube
DID — новый этап в эволюции интернета, крупнейшая утечка в истории Китая. Security-новости #67 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
1:05 Разработан ИИ способный предсказывать преступления на неделю вперед - https://www.securitylab.ru/news/532604.php…
0:00 Security-новости
1:05 Разработан ИИ способный предсказывать преступления на неделю вперед - https://www.securitylab.ru/news/532604.php…
Ежемесячные обновления представили гиганты в области ICS Siemens и Schneider Electric.
Siemens выпустила 19 новых бюллетеней с описанием 46 уязвимостей, две из которых «критические» с оценкой CVSS 10 из 10.
Один из бюллетеней описывает критические и серьезные уязвимости в коммуникационном процессоре SIMATIC CP 1543-1. RCE-уязвимости могут быть проэксплуатированы только в том случае, если используется функция VPN Remote Connect Server (SRCS), которая выключена по умолчанию.
Другие критические и серьезные уязвимости исправлены в цифровом помощнике SIMATIC eaSie. Ошибки можно использовать удаленно путем отправки произвольных запросов в систему для вызова состояние DoS.
Еще одна исправленная Siemens критическая уязвимость, связанная с DHCP, затрагивает старые приводы SINAMICS Perfect Harmony GH180 и позволяет получить доступ к его внутренней сети.
Закрыта критическая уязвимость обхода аутентификации в системе управления качеством Opcenter Quality, а также несколько критических и серьезных уязвимостей в коммутаторах SCALANCE X, которые могут быть использованы для DoS или BruteForce, а также привести к перехвату сеанса.
Десять бюллетеней описывают уязвимости высокой степени серьезности. При этом 20 ошибок в продукте компании PADS Viewer можно использовать для RCE, обманом заставив целевого пользователя открыть специально созданный файл.
Для некоторых продуктов Siemens не представил исправлений, рекомендовав меры по смягчению последствий и обходные пути.
Schneider Electric выпустила четыре новых бюллетеня, описывающих 13 уязвимостей. В одном из них описывается серьезная проблема внедрения команд ОС в SpaceLogic C-Bus Home Controller.
Некоторые коммуникационных модулей OPC UA и X80 Advanced RTU подвержены трем уязвимостям высокой степени серьезности, которые могут быть использованы для DoS, а также 4 - средней степени серьезности, позволяющим загрузить несанкционированный образ прошивки.
Компания также выпустила рекомендации по уязвимостям высокой и средней степени серьезности в реле защиты Easergy P5, которые могут позволить злоумышленнику вызвать состояние DoS, получить учетные данные устройства или получить полный контроль над ним.
Уязвимость средней степени серьезности, позволяющую получить доступ к другим устройствам в сети, была обнаружена в Acti9 PowerTag Link C.
Поставщик выпустил все необходимые исправления и меры по устранению уязвимостей.
Siemens выпустила 19 новых бюллетеней с описанием 46 уязвимостей, две из которых «критические» с оценкой CVSS 10 из 10.
Один из бюллетеней описывает критические и серьезные уязвимости в коммуникационном процессоре SIMATIC CP 1543-1. RCE-уязвимости могут быть проэксплуатированы только в том случае, если используется функция VPN Remote Connect Server (SRCS), которая выключена по умолчанию.
Другие критические и серьезные уязвимости исправлены в цифровом помощнике SIMATIC eaSie. Ошибки можно использовать удаленно путем отправки произвольных запросов в систему для вызова состояние DoS.
Еще одна исправленная Siemens критическая уязвимость, связанная с DHCP, затрагивает старые приводы SINAMICS Perfect Harmony GH180 и позволяет получить доступ к его внутренней сети.
Закрыта критическая уязвимость обхода аутентификации в системе управления качеством Opcenter Quality, а также несколько критических и серьезных уязвимостей в коммутаторах SCALANCE X, которые могут быть использованы для DoS или BruteForce, а также привести к перехвату сеанса.
Десять бюллетеней описывают уязвимости высокой степени серьезности. При этом 20 ошибок в продукте компании PADS Viewer можно использовать для RCE, обманом заставив целевого пользователя открыть специально созданный файл.
Для некоторых продуктов Siemens не представил исправлений, рекомендовав меры по смягчению последствий и обходные пути.
Schneider Electric выпустила четыре новых бюллетеня, описывающих 13 уязвимостей. В одном из них описывается серьезная проблема внедрения команд ОС в SpaceLogic C-Bus Home Controller.
Некоторые коммуникационных модулей OPC UA и X80 Advanced RTU подвержены трем уязвимостям высокой степени серьезности, которые могут быть использованы для DoS, а также 4 - средней степени серьезности, позволяющим загрузить несанкционированный образ прошивки.
Компания также выпустила рекомендации по уязвимостям высокой и средней степени серьезности в реле защиты Easergy P5, которые могут позволить злоумышленнику вызвать состояние DoS, получить учетные данные устройства или получить полный контроль над ним.
Уязвимость средней степени серьезности, позволяющую получить доступ к другим устройствам в сети, была обнаружена в Acti9 PowerTag Link C.
Поставщик выпустил все необходимые исправления и меры по устранению уязвимостей.
siemens.com Global Website
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Ученые из ETH Zurich опубликовали исследование Retbleed с подробностями новой атаки по побочным каналам, которая затрагивает современные процессоры Intel и AMD, влияющей на спекулятивное выполнение.
После обнаружения Meltdown и Spectre в 2018 году, изменивших взгляды всех крупных производителей микросхем на конструкцию ЦП и безопасность данных, была разработана защитная технология Reptoline, в основе которой реализована замена инструкций перехода и вызова в ЦП инструкциями возврата, которые считались более безопасными.
ETH Zurich удалось провести атаку по побочному каналу на AMD Zen 1, Zen 1+, Zen 2 и Intel Core поколения 6–8 с помощью инструкций возврата, вызвав утечку памяти ядра, содержащую хэши паролей из систем Linux.
При этом теоретически все семейства процессоров AMD 0x15–0x17 и Intel Core поколения 6–8 также уязвимы. Таким образом, можно полагать, что все процессоры Intel возрастом от 3 до 6 лет и процессоры AMD возрастом от 1 до 11 лет могут быть затронуты уязвимостью.
Хорошей новостью является то, что исправления для Retbleed уже выпущены в рамках ежемесячных обновлений как ОС, так и облачной инфраструктуры от всех основных поставщиков.
Повторные исправления для процессоров AMD отслеживаются как CVE-2022-29900, для Intel - CVE-2022-29901, а дополнительная информация по смягчению последствий также доступна в блоге производителя.
Исследователи ETH отметили, что установка исправлений повлияет на показатели производительности ЦП в диапазоне от 14% до 39%. При этом другая обнаруженная в процессорах AMD проблема под название Phantom JMP (CVE-2022-23825), может на 209% повлиять на производительность.
По мнению исследователей, перед пользователями встанет выбор: либо защищать свою систему от подобных «экзотических» атак, но жертвуя производительностью, либо игнорировать исправление, полагаясь на то, что подобные атаки не фиксировались в дикой природе и реальная угроза их совершения близка к нулю.
В любом случае, у производителя выбора нет - задача доработки современной архитектуры и решений по безопасности ЦП безальтернативна и как никогда актуальна.
После обнаружения Meltdown и Spectre в 2018 году, изменивших взгляды всех крупных производителей микросхем на конструкцию ЦП и безопасность данных, была разработана защитная технология Reptoline, в основе которой реализована замена инструкций перехода и вызова в ЦП инструкциями возврата, которые считались более безопасными.
ETH Zurich удалось провести атаку по побочному каналу на AMD Zen 1, Zen 1+, Zen 2 и Intel Core поколения 6–8 с помощью инструкций возврата, вызвав утечку памяти ядра, содержащую хэши паролей из систем Linux.
При этом теоретически все семейства процессоров AMD 0x15–0x17 и Intel Core поколения 6–8 также уязвимы. Таким образом, можно полагать, что все процессоры Intel возрастом от 3 до 6 лет и процессоры AMD возрастом от 1 до 11 лет могут быть затронуты уязвимостью.
Хорошей новостью является то, что исправления для Retbleed уже выпущены в рамках ежемесячных обновлений как ОС, так и облачной инфраструктуры от всех основных поставщиков.
Повторные исправления для процессоров AMD отслеживаются как CVE-2022-29900, для Intel - CVE-2022-29901, а дополнительная информация по смягчению последствий также доступна в блоге производителя.
Исследователи ETH отметили, что установка исправлений повлияет на показатели производительности ЦП в диапазоне от 14% до 39%. При этом другая обнаруженная в процессорах AMD проблема под название Phantom JMP (CVE-2022-23825), может на 209% повлиять на производительность.
По мнению исследователей, перед пользователями встанет выбор: либо защищать свою систему от подобных «экзотических» атак, но жертвуя производительностью, либо игнорировать исправление, полагаясь на то, что подобные атаки не фиксировались в дикой природе и реальная угроза их совершения близка к нулю.
В любом случае, у производителя выбора нет - задача доработки современной архитектуры и решений по безопасности ЦП безальтернативна и как никогда актуальна.
ETH Zurich
Speculative calculations open a backdoor to information theft
ETH Zurich researchers have discovered a serious security vulnerability in computer hardware. The vulnerability, called
Три уязвимости переполнения буфера в прошивке UEFI затрагивают более 70 моделей ноутбуков Lenovo.
Обнаруженные ошибки CVE-2022-1890, CVE-2022-1891 и CVE-2022-1892 средней степени серьезности могут позволить злоумышленникам перехватить запуск установки Windows.
Если первая из них связана с драйвером ReadyBootDxe лишь в некоторых ноутбуках, то две последние - с драйвером SystemLoadDefaultDxe, который используется в линейках Lenovo Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145, S540, S940 и в совокупности затрагивает более 70 отдельных моделей.
Уязвимости обнаружили ресерчеры ESET, которые заключили, что злоумышленник может использовать их для захвата потока выполнения ОС и последующего отключения функций безопасности.
Cама проблема вызвана недостаточной проверкой параметра DataSize, переданного функции GetVariable служб выполнения UEFI. Злоумышленник может создать специально созданную переменную NVRAM, что вызовет переполнение буфера данных во втором вызове GetVariable.
Атаки на UEFI чрезвычайно опасны, поскольку они позволяют злоумышленникам запускать вредоносное ПО на ранних этапах процесса загрузки ОС, до активации встроенных средств защиты Windows, что позволяет им обходить или отключать средства защиты на уровне ОС, избегать обнаружения и сохраняться даже после форматирования диска.
Во избежание подобных атак пользователям уязвимых устройств рекомендуется загрузить последнюю доступную версию драйвера для своих продуктов Lenovo.
Кроме того, производитель представил
информацию о затронутых моделях в таблице влияния вместе с рекомендациями по безопасности.
В свою очередь, ESET разработала улучшения кода для анализатора прошивки UEFI от Binarly efiXplorer, который находится в свободном доступе на GitHub.
Обнаруженные ошибки CVE-2022-1890, CVE-2022-1891 и CVE-2022-1892 средней степени серьезности могут позволить злоумышленникам перехватить запуск установки Windows.
Если первая из них связана с драйвером ReadyBootDxe лишь в некоторых ноутбуках, то две последние - с драйвером SystemLoadDefaultDxe, который используется в линейках Lenovo Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145, S540, S940 и в совокупности затрагивает более 70 отдельных моделей.
Уязвимости обнаружили ресерчеры ESET, которые заключили, что злоумышленник может использовать их для захвата потока выполнения ОС и последующего отключения функций безопасности.
Cама проблема вызвана недостаточной проверкой параметра DataSize, переданного функции GetVariable служб выполнения UEFI. Злоумышленник может создать специально созданную переменную NVRAM, что вызовет переполнение буфера данных во втором вызове GetVariable.
Атаки на UEFI чрезвычайно опасны, поскольку они позволяют злоумышленникам запускать вредоносное ПО на ранних этапах процесса загрузки ОС, до активации встроенных средств защиты Windows, что позволяет им обходить или отключать средства защиты на уровне ОС, избегать обнаружения и сохраняться даже после форматирования диска.
Во избежание подобных атак пользователям уязвимых устройств рекомендуется загрузить последнюю доступную версию драйвера для своих продуктов Lenovo.
Кроме того, производитель представил
информацию о затронутых моделях в таблице влияния вместе с рекомендациями по безопасности.
В свою очередь, ESET разработала улучшения кода для анализатора прошивки UEFI от Binarly efiXplorer, который находится в свободном доступе на GitHub.