Лютая боль всего Microsoft исследователь Джонас Л, который портил кровь мелкомягким не один раз, выходит на связь с новой силы разоблачением.
После обновления Visual Studio он обнаружил, что Live Share держит постоянный коннект с серверами Microsoft.
Мы, конечно, не гимназистки, нас таким не удивишь. Другие вендоры, например, Apple c Google, уже приучили нас, что постоянно что-то скидывать на родительские сервера это нормально. И тем не менее.
После обновления Visual Studio он обнаружил, что Live Share держит постоянный коннект с серверами Microsoft.
Мы, конечно, не гимназистки, нас таким не удивишь. Другие вендоры, например, Apple c Google, уже приучили нас, что постоянно что-то скидывать на родительские сервера это нормально. И тем не менее.
Twitter
Jonas L
the fuck? Updated my visual studio and now there is a constant "live sharing" process running with constant connection to MS. I know it dosnt mean I am sharing shit, but I am the type of guy that like software that dont make connections just because it can.
Хакерам FailOverFlow удалось заполучить корневые ключи игровой консоли Sony PS5, используя два эксплойта для уязвимостей ядра. FailOverFlow достаточно известны среди геймеров: в прошлом они уже публиковали несколько джейлбрейков для PlayStation.
Представленные эксплойты позволяют устанавливать пиратские игры и запускать эмуляторы для PS5. Участники хакерской группы утверждают, что ими получены все корневые ключи программного обеспечения Sony PS5, включая корневой ключ для каждой консоли.
Не остался в стороне и инженер по безопасности Google Энди Нгуен, также известный как @theflow0, который подлил «масла в огонь» и заявил о раскрытии еще одного эксплойта. Эксперт сообщил, что ему удалось получить доступ к настройкам отладки PlayStation 5 с помощью эксплойта ядра, однако публичить технические детали не планирует.
Дабы не быть голословным инженер, используя функциональные возможности консоли PS5Share, продемонстрировал снимок экрана PS5 с печально известным меню PlayStation «Настройки отладки», что подтверждает эксплуатацию уязвимости даже на самой свежей прошивке.
Веселого на самом деле мало: все это демонстрирует явную необходимость серьезных доработок безопасности в ПО популярной игровой консоли.
Представленные эксплойты позволяют устанавливать пиратские игры и запускать эмуляторы для PS5. Участники хакерской группы утверждают, что ими получены все корневые ключи программного обеспечения Sony PS5, включая корневой ключ для каждой консоли.
Не остался в стороне и инженер по безопасности Google Энди Нгуен, также известный как @theflow0, который подлил «масла в огонь» и заявил о раскрытии еще одного эксплойта. Эксперт сообщил, что ему удалось получить доступ к настройкам отладки PlayStation 5 с помощью эксплойта ядра, однако публичить технические детали не планирует.
Дабы не быть голословным инженер, используя функциональные возможности консоли PS5Share, продемонстрировал снимок экрана PS5 с печально известным меню PlayStation «Настройки отладки», что подтверждает эксплуатацию уязвимости даже на самой свежей прошивке.
Веселого на самом деле мало: все это демонстрирует явную необходимость серьезных доработок безопасности в ПО популярной игровой консоли.
Twitter
fail0verflow
Another one bites the dust 😎
Популярный протокол Data Distribution Service (DDS) в IoT-устройствах может быть использован хакерами для бокового перемещения и передачи данных между малварью и командным центром.
Поддерживаемый организацией по разработке стандартов Object Management Group (OMG), DDS - это протокол промежуточного программного обеспечения и стандарт API для подключения к данным. Протокол рекламируется вендером и презентуется, как идеальное решение для критически важных инфраструктур и бизнес-систем Интернета вещей.
DDS используется в таких секторах, как общественный транспорт, управление воздушным движением, аэрокосмическая промышленность, автономное вождение, промышленная робототехника, медицинские устройства, а также в системах военной отрасли. Например, DDS активно используется в NASA, Siemens, Volkswagen и в популярной операционной системе для роботов (ROS).
Специалисты по информационной безопасности из Trend Micro, TXOne Networks, Alias Robotics и ADLINK Technology проанализировали стандарт DDS, в том числе реализации с открытым и закрытым исходным кодом и обнаружили в общей сложности более десятка уязвимостей, позволяющих злоумышленникам выполнять произвольный код, получать информацию или создавать условия для отказа в обслуживании (DoS).
Детали уязвимостей пока не обнародованы, но некоторые ошибки упоминались на конференции по кибербезопасности Black Hat Europe 2021 на прошлой неделе. Исследовательский документ, в котором подробно описываются все недостатки протокола, планируют опубликовать в начале следующего года.
Однако исследователи отметили, что, поскольку DDS обычно разворачивается локально и глубоко в сети, маловероятно, что злоумышленники найдут системы, открытые для доступа в Интернет. Но, с другой стороны, если у них уже есть доступ к системам целевого объекта, то уязвимости позволяют обнаруживать другие хосты, осуществлять боковое перемещение и управление C&C.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) уже выпустило рекомендации по промышленным системам управления (ICS), связанные с исследованием. Ожидаем детали.
Поддерживаемый организацией по разработке стандартов Object Management Group (OMG), DDS - это протокол промежуточного программного обеспечения и стандарт API для подключения к данным. Протокол рекламируется вендером и презентуется, как идеальное решение для критически важных инфраструктур и бизнес-систем Интернета вещей.
DDS используется в таких секторах, как общественный транспорт, управление воздушным движением, аэрокосмическая промышленность, автономное вождение, промышленная робототехника, медицинские устройства, а также в системах военной отрасли. Например, DDS активно используется в NASA, Siemens, Volkswagen и в популярной операционной системе для роботов (ROS).
Специалисты по информационной безопасности из Trend Micro, TXOne Networks, Alias Robotics и ADLINK Technology проанализировали стандарт DDS, в том числе реализации с открытым и закрытым исходным кодом и обнаружили в общей сложности более десятка уязвимостей, позволяющих злоумышленникам выполнять произвольный код, получать информацию или создавать условия для отказа в обслуживании (DoS).
Детали уязвимостей пока не обнародованы, но некоторые ошибки упоминались на конференции по кибербезопасности Black Hat Europe 2021 на прошлой неделе. Исследовательский документ, в котором подробно описываются все недостатки протокола, планируют опубликовать в начале следующего года.
Однако исследователи отметили, что, поскольку DDS обычно разворачивается локально и глубоко в сети, маловероятно, что злоумышленники найдут системы, открытые для доступа в Интернет. Но, с другой стороны, если у них уже есть доступ к системам целевого объекта, то уязвимости позволяют обнаруживать другие хосты, осуществлять боковое перемещение и управление C&C.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) уже выпустило рекомендации по промышленным системам управления (ICS), связанные с исследованием. Ожидаем детали.
Microsoft выпускает экстренные обновления для исправления проблем с аутентификацией Windows Server. Новая неожиданная проблема возникла после установки ноябрьских обновлений безопасности на контроллеры домена (DC), работающие под управлением Windows Server.
Ошибки возникают из-за сбоев проверки подлинности, связанных со сценариями делегирования Kerberos, влияющими на контроллеры домена (DC), работающие под управлением поддерживаемых версий Windows Server. Получается, что в уязвимых системах конечные пользователи не могут входить в службы или приложения с помощью единого входа (SSO) в локальной или гибридной среде Azure Active Directory.
Уязвимости затрагивают системы под управлением Windows Server 2019 и более ранних версий, включая Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 и Windows Server 2008 SP2.
При этом возможности автоматической установки экстренных обновлений на затронутых контроллерах домена, в том числе через Центр обновления Windows, отсутствуют. Для их инсталляции необходимо их предварительно отыскать в каталоге Центра обновления Microsoft и импортировать это обновление в службы Windows Server Update Services (WSUS) вручную, следуя инструкциям.
Мы вовсе не удивлены и более того ожидали чего-то подобного сразу после Patch Tuesday, иначе Microsoft, вероятно, утратили бы свою аутентичность.
Ошибки возникают из-за сбоев проверки подлинности, связанных со сценариями делегирования Kerberos, влияющими на контроллеры домена (DC), работающие под управлением поддерживаемых версий Windows Server. Получается, что в уязвимых системах конечные пользователи не могут входить в службы или приложения с помощью единого входа (SSO) в локальной или гибридной среде Azure Active Directory.
Уязвимости затрагивают системы под управлением Windows Server 2019 и более ранних версий, включая Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 и Windows Server 2008 SP2.
При этом возможности автоматической установки экстренных обновлений на затронутых контроллерах домена, в том числе через Центр обновления Windows, отсутствуют. Для их инсталляции необходимо их предварительно отыскать в каталоге Центра обновления Microsoft и импортировать это обновление в службы Windows Server Update Services (WSUS) вручную, следуя инструкциям.
Мы вовсе не удивлены и более того ожидали чего-то подобного сразу после Patch Tuesday, иначе Microsoft, вероятно, утратили бы свою аутентичность.
Docs
Windows 10, version 1809 and Windows Server 2019 known issues and notifications
View announcements and review known issues and fixes for Windows 10 version 1809 and Windows Server 2019
Forwarded from Positive Events
⚡️Итоги The Standoff
Первое место среди атакующих заняла команда Codeby&NitroTeam. На их счету реализация шести недопустимых событий🤘🏼
Второе место у True0x43.
Третье место досталось команде, которой удалось зарепортить больше всех уязвимостей и реализовать первое недопустимое событие в кибербитве - SpbCTF 💪🏽
Первое место среди атакующих заняла команда Codeby&NitroTeam. На их счету реализация шести недопустимых событий🤘🏼
Второе место у True0x43.
Третье место досталось команде, которой удалось зарепортить больше всех уязвимостей и реализовать первое недопустимое событие в кибербитве - SpbCTF 💪🏽
Intel выявила уязвимости CVE-2021-0157 и CVE-2021-0158 с высокой степенью серьезности, которые затрагивают широкий спектр семейств процессоров Intel, что позволяет злоумышленникам получать более высокие уровни привилегий на устройстве. В частности, под раздачу попали следующие семейства процессоров: Xeon E, Xeon E3 v6, Xeon W, Xeon 3-го поколения, Core 7-го, 10-го и 11-го поколений, Core серии X и N, Pentium Silver.
Первая ошибка касается недостаточного управления потоком управления в прошивке BIOS для некоторых процессоров Intel, а вторая полагается на неправильную проверку входных данных на том же компоненте. Уязвимости могут привести к повышению привилегий на машине, но только в том случае, если злоумышленник имеет физический доступ к уязвимым устройствам.
Intel не раскруывает технические подробности обнаруженных недостатков.
А вот спецам из Positive Technologies удалось расковырять в процессорах Intel еще одну багу CVE-2021-0146, которая позволяет активировать режимы тестирования или отладки в нескольких линейках процессоров Intel. Это может позволить неаутентифицированному пользователю, имеющему физический доступ, получить повышенные привилегии в системе.
Проблема обнаружена в процессорах Pentium, Celeron и Atom платформ Apollo Lake, Gemini Lake и Gemini Lake Refresh. Угроза касается широкого спектра ультрамобильных нетбуков и значительной части систем интернета вещей (IoT) на базе процессоров Intel — от бытовой техники и систем умного дома до автомобилей (в том числе даже Tesla в Model 3) и медицинского оборудования.
Всем, кому повезет с обновлениями BIOS, настоятельно рекомендуем их накатить. В остальных случаях с дела исправлением дыр будут обстоять неважно.
Прежде всего, потому что производители материнских плат зачастую не заморачиваются с поддержкой своих продуктов обновлениями безопасности в течение длительного времени.
Так, учитывая, что процессоры Intel Core 7-го поколения вышли пять лет назад, достаточно сомнительно, что производители MB все еще выпускают для них обновления безопасности BIOS. При этом мы даже не упоминаем про клиентов Tesla, владельцев умных домов или прочих девайсов.
Таким образом, значительному числу пользователей придется рассчитывать не на техподдержку, а на удачу, полагаясь лишь на надежный пароль для доступа к BIOS.
Первая ошибка касается недостаточного управления потоком управления в прошивке BIOS для некоторых процессоров Intel, а вторая полагается на неправильную проверку входных данных на том же компоненте. Уязвимости могут привести к повышению привилегий на машине, но только в том случае, если злоумышленник имеет физический доступ к уязвимым устройствам.
Intel не раскруывает технические подробности обнаруженных недостатков.
А вот спецам из Positive Technologies удалось расковырять в процессорах Intel еще одну багу CVE-2021-0146, которая позволяет активировать режимы тестирования или отладки в нескольких линейках процессоров Intel. Это может позволить неаутентифицированному пользователю, имеющему физический доступ, получить повышенные привилегии в системе.
Проблема обнаружена в процессорах Pentium, Celeron и Atom платформ Apollo Lake, Gemini Lake и Gemini Lake Refresh. Угроза касается широкого спектра ультрамобильных нетбуков и значительной части систем интернета вещей (IoT) на базе процессоров Intel — от бытовой техники и систем умного дома до автомобилей (в том числе даже Tesla в Model 3) и медицинского оборудования.
Всем, кому повезет с обновлениями BIOS, настоятельно рекомендуем их накатить. В остальных случаях с дела исправлением дыр будут обстоять неважно.
Прежде всего, потому что производители материнских плат зачастую не заморачиваются с поддержкой своих продуктов обновлениями безопасности в течение длительного времени.
Так, учитывая, что процессоры Intel Core 7-го поколения вышли пять лет назад, достаточно сомнительно, что производители MB все еще выпускают для них обновления безопасности BIOS. При этом мы даже не упоминаем про клиентов Tesla, владельцев умных домов или прочих девайсов.
Таким образом, значительному числу пользователей придется рассчитывать не на техподдержку, а на удачу, полагаясь лишь на надежный пароль для доступа к BIOS.
Intel
INTEL-SA-00562
Forwarded from SecurityLab.ru
17 стран объединились против киберпреступников, новый ИБ «единорог». Security-новости #39.
https://www.youtube.com/watch?v=3A7QQg6NSOY
https://www.youtube.com/watch?v=3A7QQg6NSOY
YouTube
17 стран объединились против киберпреступников, новый ИБ «единорог». Security-новости #39 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://xn--r1a.website/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
Слышите страшный шум? То треск порванных шаблонов "инфосек экспертов" и "инфосек журналистов", которые переживают за тему APT Ghostwriter.
Нет, не слышите... И мы не слышим. Потому что им всем уже глубоко наплевать что писать и какие заключения делать с важным хлебалом. Сегодня они говорят, что кошка белая, а завтра они называют эту же кошку черной. И их не смущает абсолютно ничего. Абсолютно.
Началось все еще весной, когда немецкие журнализды заявили, что русские хакеры из APT Ghostwriter проводят фишинг против немецких парламентариев. Мы еще тогда написали, что Ghostwriter это вообще-то не хакерская группа, а описанная в 2020 году FireEye Mandiant дезинформационная кампания, направленная на страны Прибалтики и Восточной Европы. При этом американцы не заявляли напрямую, что за этой кампанией стоит Россия, хотя прозрачно на это намекали.
Но всем было поровну и по инфосек изданиям понеслась страшная весть о новых набегах русских хакеров на Европу. Дальше - больше.
В июле FireEye уже официально говорят, что за Ghostwriter стоит Россия. При этом так толком и непонятно - Ghostwriter это APT или все-таки дезинформационная кампания.
А уже в сентябре официальные представители Евросоюза заявляют, что Ghostwriter - это русские хакеры и они ответственны за многочисленные кибератаки на европейских чиновников и политиков, а также на представителей прессы и гражданского общества.
И вот НЕОЖИДАННО оказалось, что Ghostwriter - это проделки Батьки, то есть Президента Белоруссии Лукашенко. По крайней мере так теперь считают Mandiant, которые за прошедшее время стали вновь независимы от FireEye.
И все опять радостно побежали вопить - Ghostwriter это белорусы, страшное грядет, Европа опасносте! И никто из официальных лиц, экспертов или журналистов не извинился за тот поток сознания, который он несет без какой-либо малейшей обработки в своем межушном ганглии.
И мы снова не про то, что Батька белый и красивый. Да он хоть котят на завтрак ест - это совсем не означает, что он неудержимый хакер. Всему должны быть доказательства (хотя белорусы креативить могут, ага, чего одна история про AS стоит).
Короче, теперь вы понимаете чем медийная составляющая современного инфосека отличается от блядкого цирка? Правильно - только отсутствием шапито.
Где TTPs, Билли? Нам нужны наши TTPs!
Нет, не слышите... И мы не слышим. Потому что им всем уже глубоко наплевать что писать и какие заключения делать с важным хлебалом. Сегодня они говорят, что кошка белая, а завтра они называют эту же кошку черной. И их не смущает абсолютно ничего. Абсолютно.
Началось все еще весной, когда немецкие журнализды заявили, что русские хакеры из APT Ghostwriter проводят фишинг против немецких парламентариев. Мы еще тогда написали, что Ghostwriter это вообще-то не хакерская группа, а описанная в 2020 году FireEye Mandiant дезинформационная кампания, направленная на страны Прибалтики и Восточной Европы. При этом американцы не заявляли напрямую, что за этой кампанией стоит Россия, хотя прозрачно на это намекали.
Но всем было поровну и по инфосек изданиям понеслась страшная весть о новых набегах русских хакеров на Европу. Дальше - больше.
В июле FireEye уже официально говорят, что за Ghostwriter стоит Россия. При этом так толком и непонятно - Ghostwriter это APT или все-таки дезинформационная кампания.
А уже в сентябре официальные представители Евросоюза заявляют, что Ghostwriter - это русские хакеры и они ответственны за многочисленные кибератаки на европейских чиновников и политиков, а также на представителей прессы и гражданского общества.
И вот НЕОЖИДАННО оказалось, что Ghostwriter - это проделки Батьки, то есть Президента Белоруссии Лукашенко. По крайней мере так теперь считают Mandiant, которые за прошедшее время стали вновь независимы от FireEye.
И все опять радостно побежали вопить - Ghostwriter это белорусы, страшное грядет, Европа опасносте! И никто из официальных лиц, экспертов или журналистов не извинился за тот поток сознания, который он несет без какой-либо малейшей обработки в своем межушном ганглии.
И мы снова не про то, что Батька белый и красивый. Да он хоть котят на завтрак ест - это совсем не означает, что он неудержимый хакер. Всему должны быть доказательства (хотя белорусы креативить могут, ага, чего одна история про AS стоит).
Короче, теперь вы понимаете чем медийная составляющая современного инфосека отличается от блядкого цирка? Правильно - только отсутствием шапито.
Где TTPs, Билли? Нам нужны наши TTPs!
На этой неделе Google объявил об обновлении браузера Chrome 96, в котором исправили 25 ошибок безопасности, 18 из которых были обнаружены внешними исследователи, в том числе 7 ошибок относились к категории критических.
И снова Google порадовал экспертов-энтузиастов приятными финансовыми бонусами. Интернет-гигант заявил, что выплатил около 60 000 долларов за обнаружение ошибок исследователям, которые сообщили об уязвимостях.
Но самое интересное, что согласно сообщениям некоторых пользователей, новая версия браузера стала причиной странной работы Twitter, Discord и Instagram. Также есть информация о багах при рендеринге видео. Например, пользователи заметили, что раздел уведомлений в Twitter не загружается и соцсеть сообщает об ошибке.
На посвящённом багам форуме Google появились соответствующие сообщения, на которые уже обратили внимания разработчики. В настоящее время специалисты исследуют причины появления багов и вероятно скоро выйдет еще одна версия стабильного Chrome 96.
И снова Google порадовал экспертов-энтузиастов приятными финансовыми бонусами. Интернет-гигант заявил, что выплатил около 60 000 долларов за обнаружение ошибок исследователям, которые сообщили об уязвимостях.
Но самое интересное, что согласно сообщениям некоторых пользователей, новая версия браузера стала причиной странной работы Twitter, Discord и Instagram. Также есть информация о багах при рендеринге видео. Например, пользователи заметили, что раздел уведомлений в Twitter не загружается и соцсеть сообщает об ошибке.
На посвящённом багам форуме Google появились соответствующие сообщения, на которые уже обратили внимания разработчики. В настоящее время специалисты исследуют причины появления багов и вероятно скоро выйдет еще одна версия стабильного Chrome 96.
Данные клиентов и моделей с популярного веб-сайта для взрослых StripChat просочились в сеть. Кластер базы данных ElasticSearch был доступен в сети без аутентификации.
Утечка была обнаружена Бобом Дьяченко 5 ноября, а ранее 4 ноября база данных попала в индексы поисковых систем. Обнаруженная база содержит множество ссылок на Stripchat и состоит из почти 200 миллионов записей.
Достоянием общественности стали такие сведения, как:
⁃ 65 миллионов записей пользователей ресурса (имя, адрес электронной почты, IP-адрес, данные интернет-провайдера, баланс, дата создания учетной записи, дата последнего входа в систему, статус учетной записи);
⁃ 421 тысяча записей (имя пользователя, пол, идентификатор студии, статус, прайс за раздевание);
⁃ 719 тысяч сообщений чата модерации, отправленных моделям, включая как личные, так и общедоступные сообщения (каждая из записей при этом содержит идентификатор пользователя зрителя, отправившего сообщение);
⁃ 134 миллионов записей транзакций с информацией о токенах и гонорарах, выплачиваемых моделям, включая частные платежи.
Эксперт неоднократно сигнализировал админам сайта о нарушениях безопасности, но закрыть проблему удалось лишь после публичной огласки инцидента. При этом StripChat до сих пор не сознается в том, что допустили утечку, как бы не заметили.
Зато можем быть точно уверены, что утечку StripChat заметили другие и для каждой записи в базе найдут достойное применение.
Утечка была обнаружена Бобом Дьяченко 5 ноября, а ранее 4 ноября база данных попала в индексы поисковых систем. Обнаруженная база содержит множество ссылок на Stripchat и состоит из почти 200 миллионов записей.
Достоянием общественности стали такие сведения, как:
⁃ 65 миллионов записей пользователей ресурса (имя, адрес электронной почты, IP-адрес, данные интернет-провайдера, баланс, дата создания учетной записи, дата последнего входа в систему, статус учетной записи);
⁃ 421 тысяча записей (имя пользователя, пол, идентификатор студии, статус, прайс за раздевание);
⁃ 719 тысяч сообщений чата модерации, отправленных моделям, включая как личные, так и общедоступные сообщения (каждая из записей при этом содержит идентификатор пользователя зрителя, отправившего сообщение);
⁃ 134 миллионов записей транзакций с информацией о токенах и гонорарах, выплачиваемых моделям, включая частные платежи.
Эксперт неоднократно сигнализировал админам сайта о нарушениях безопасности, но закрыть проблему удалось лишь после публичной огласки инцидента. При этом StripChat до сих пор не сознается в том, что допустили утечку, как бы не заметили.
Зато можем быть точно уверены, что утечку StripChat заметили другие и для каждой записи в базе найдут достойное применение.
mr.d0x в Twitter пишет, что если переименовать procdump в dump64 и закинуть в папку Visual Studio, то можно преспокойно сдампить LSASS мимо Microsoft Defender.
NTLM-хэши ннада?
Вывода ровно два:
1. Смешно.
2. Не пользуйтесь Defender. Это кака.
NTLM-хэши ннада?
Вывода ровно два:
1. Смешно.
2. Не пользуйтесь Defender. Это кака.
X (formerly Twitter)
mr.d0x (@mrd0x) on X
If you rename procdump.exe to dump64.exe and place it in the "C:\Program Files (x86)\Microsoft Visual Studio\*" folder, you can bypass Defender and dump LSASS.
Forwarded from Эксплойт | Live
Мониторинговая группа NewsGuard выяснила, что Facebook и Instagram не препятствовали распространению дезинформации и скептических взглядов на Covid-19 и вакцинацию.
Сообщения публиковались в 20 страницах и группах, которые набрали почти 400 тысяч подписчиков.
Управляющий директор NewsGuard в Великобритании Алекс Кардиер считает, что Facebook и Instagram не смогли защитить своих пользователей от дезинформации о вакцинах, несмотря на "неоднократные" предупреждения.
"Вирусные и вызывающие разногласия источники дезинформации продолжают развиваться и расти, несмотря на наши предупреждения и очевидную опасность для пользователей", — отметил он.
Сообщения публиковались в 20 страницах и группах, которые набрали почти 400 тысяч подписчиков.
Управляющий директор NewsGuard в Великобритании Алекс Кардиер считает, что Facebook и Instagram не смогли защитить своих пользователей от дезинформации о вакцинах, несмотря на "неоднократные" предупреждения.
"Вирусные и вызывающие разногласия источники дезинформации продолжают развиваться и расти, несмотря на наши предупреждения и очевидную опасность для пользователей", — отметил он.
В мае мы писали о том, как Google удалось реализовать новый вектор атаки под названием Half-Double.
Речь шла о Rowhammer, который изначально был разработан учеными в 2014 году как некая теория. Смысл ее заключался в том, что при современной плотности ячеек памяти электрические помехи могут передаваться между ячейками. Производя серию быстрых циклов записи строки памяти можно изменять информацию, содержащуюся в соседних ячейках, а также эксфильтрировать ее. Впоследствии было разработано множество реализаций Rowhammer, в том числе удаленных, как для ПК, так и для мобильных устройств.
Усилия же производителей по защите модулей памяти привели к тому, что был создан комплекс аппаратных и программных мер по противодействию Rowhammer, который получил название Target Row Refresh (TRR).
Тогда исследователи пришли к выводу о том, что исходя из увеличившейся за последние годы плотности размещения ячеек памяти, новый вид атаки способен достигать ячеек, которые находятся на расстоянии двух строк.
Их исследование стало продолжением работы команды ученых из Университета Амстердама, Швейцарской высшей технической школы и компании Qualcomm, которые за год до этого разработали инструмент под названием TRRespass и подтвердили, что TRR, предназначенный для защиты соседних ячеек, не работает.
Принципиально новым вариантом реализации Rowhammer стал Blacksmith, который обходит все существующие TRR в динамических чипах памяти с произвольным доступом (DRAM), используя неоднородные частотные шаблоны доступа. При том, что ячейки на чипах DRAM меньше и ближе друг к другу, что затрудняет предотвращение электрического взаимодействия между ними.
Экспериментируя на 40 модулях DDR4 DIMM производителей Samsung, Micron и SK Hynix, исследователи смогли обойти TRR на всех чипах, запустив в среднем в 87 раз больше битовых переворачиваний в DRAM благодаря генерации шаблонов доступа, которые забивают целевые строки с различными фазами, частотами и амплитудами. Результаты экспериментов исследователи представили в демонстрационном ролике.
Наше мнение относительно Rowhammer остается неизменным: несмотря на то, что атака является чисто теоретической, нельзя исключать появления ее практической реализации со стороны коммерческих хакеров или, что более вероятно, прогосударственных APT, что особенно подчеркивает настоятельную необходимость поиска принципиально новых подходов к TRR.
Речь шла о Rowhammer, который изначально был разработан учеными в 2014 году как некая теория. Смысл ее заключался в том, что при современной плотности ячеек памяти электрические помехи могут передаваться между ячейками. Производя серию быстрых циклов записи строки памяти можно изменять информацию, содержащуюся в соседних ячейках, а также эксфильтрировать ее. Впоследствии было разработано множество реализаций Rowhammer, в том числе удаленных, как для ПК, так и для мобильных устройств.
Усилия же производителей по защите модулей памяти привели к тому, что был создан комплекс аппаратных и программных мер по противодействию Rowhammer, который получил название Target Row Refresh (TRR).
Тогда исследователи пришли к выводу о том, что исходя из увеличившейся за последние годы плотности размещения ячеек памяти, новый вид атаки способен достигать ячеек, которые находятся на расстоянии двух строк.
Их исследование стало продолжением работы команды ученых из Университета Амстердама, Швейцарской высшей технической школы и компании Qualcomm, которые за год до этого разработали инструмент под названием TRRespass и подтвердили, что TRR, предназначенный для защиты соседних ячеек, не работает.
Принципиально новым вариантом реализации Rowhammer стал Blacksmith, который обходит все существующие TRR в динамических чипах памяти с произвольным доступом (DRAM), используя неоднородные частотные шаблоны доступа. При том, что ячейки на чипах DRAM меньше и ближе друг к другу, что затрудняет предотвращение электрического взаимодействия между ними.
Экспериментируя на 40 модулях DDR4 DIMM производителей Samsung, Micron и SK Hynix, исследователи смогли обойти TRR на всех чипах, запустив в среднем в 87 раз больше битовых переворачиваний в DRAM благодаря генерации шаблонов доступа, которые забивают целевые строки с различными фазами, частотами и амплитудами. Результаты экспериментов исследователи представили в демонстрационном ролике.
Наше мнение относительно Rowhammer остается неизменным: несмотря на то, что атака является чисто теоретической, нельзя исключать появления ее практической реализации со стороны коммерческих хакеров или, что более вероятно, прогосударственных APT, что особенно подчеркивает настоятельную необходимость поиска принципиально новых подходов к TRR.
YouTube
Blacksmith Demo
Demo of the Rowhammer fuzzer "Blacksmith" presented 2021 in our work "Blacksmith: Compromising Target Row Refresh by Rowhammering in the Frequency Domain."
Netgear устранила уязвимость CVE-2021-34991 в своих устройствах для малого или домашнего офиса (SOHO). Проблема была связана с переполнением буфера перед аутентификацией, которая могла быть использованы злоумышленником в локальной сети (LAN) для удаленного выполнения кода с привилегиями root.
Проблема крылась в функциях демона upnpd, связанных с обработкой неаутентифицированных запросов HTTP SUBSCRIBE и UNSUBSCRIBE от клиентов, которые хотят получать обновления при изменении конфигурации сети UPnP.
Об уязвимости предупредили исследователи GRIMM, которым удалось разработать PoC, способный взломать даже полностью пропатченные устройства с установленными конфигурациями по умолчанию.
Под угрозой эксплуатации данной уязвимости находятся маршрутизаторы, модемы и расширители диапазона WiFi. Подробный технический анализ ошибки и список уязвимых устройств опубликован специалистами на гитхаб
Netgear уже объявила о доступности патчей, устраняющих обнаруженную уязвимость и призывает пользователей как можно скорее загрузить и установить исправления.
Проблема крылась в функциях демона upnpd, связанных с обработкой неаутентифицированных запросов HTTP SUBSCRIBE и UNSUBSCRIBE от клиентов, которые хотят получать обновления при изменении конфигурации сети UPnP.
Об уязвимости предупредили исследователи GRIMM, которым удалось разработать PoC, способный взломать даже полностью пропатченные устройства с установленными конфигурациями по умолчанию.
Под угрозой эксплуатации данной уязвимости находятся маршрутизаторы, модемы и расширители диапазона WiFi. Подробный технический анализ ошибки и список уязвимых устройств опубликован специалистами на гитхаб
Netgear уже объявила о доступности патчей, устраняющих обнаруженную уязвимость и призывает пользователей как можно скорее загрузить и установить исправления.
GitHub
NotQuite0DayFriday/2021.11.16-netgear-upnp at trunk · grimm-co/NotQuite0DayFriday
This is a repo which documents real bugs in real software to illustrate trends, learn how to prevent or find them more quickly. - grimm-co/NotQuite0DayFriday
Обнаружена 0-day уязвимость в FatPipe VPN. Найденная бага стала результатом расследования ФБР США, в рамках которого сотрудники ведомства выяснили, что как минимум с мая 2021 года дыра в течение шести месяцев эксплуатировалась неназванной APT.
Уязвимость использовалась как способ взломать компании и получить доступ к их внутренним сетям и позволила хакерской группе использовать функцию загрузки файлов в прошивке устройств FatPipe MPVPN и установить веб-оболочку с корневым доступом. Кроме того, ФБР пришли к выводу, что ошибка также затрагивает и другие продукты, такие как IPVPN и WARP.
Все они представляют собой разные типы серверов виртуальной частной сети (VPN), которые компании традиционно устанавливают по периметру своих корпоративных сетей для предоставления сотрудникам удаленного доступа к внутренним приложениям через Интернет, выступая как гибрид между сетевыми шлюзами и межсетевыми экранами.
Теперь и FatPipe стал частью длинного списка производителей сетевого оборудования, чьи системы использовались для кибер-вторжений, потеснив в нем Cisco, Microsoft, Oracle, F5 Networks, Palo Alto Networks, Fortinet и Citrix.
Впрочем, в атаках на FatPipe нет ничего удивительного, ведь атаки на межсетевые экраны, VPN-серверы, сетевые шлюзы и балансировщики нагрузки стали достаточно популярны среди АРТ в условиях ограничений, введенных из-за пандемии COVID-19 для персонала госсектора и частных компаний.
Но этот случай заметно выделяется в призме прошлых инцидентов прежде всего тем, что обнаруженный 0-day до сих пор не собственного идентификатора CVE, а лишь фигурирует во внутренней рекомендации по безопасности как FPSA006.
Более того, для ошибки 16 ноября выпущены соответствующие исправления, включая индикаторы взлома (IOC) и подписи YARA, а также предупреждения спецслужбы.
Это конечно полезно знать, но в России продукция FatPipe практически не используется.
Уязвимость использовалась как способ взломать компании и получить доступ к их внутренним сетям и позволила хакерской группе использовать функцию загрузки файлов в прошивке устройств FatPipe MPVPN и установить веб-оболочку с корневым доступом. Кроме того, ФБР пришли к выводу, что ошибка также затрагивает и другие продукты, такие как IPVPN и WARP.
Все они представляют собой разные типы серверов виртуальной частной сети (VPN), которые компании традиционно устанавливают по периметру своих корпоративных сетей для предоставления сотрудникам удаленного доступа к внутренним приложениям через Интернет, выступая как гибрид между сетевыми шлюзами и межсетевыми экранами.
Теперь и FatPipe стал частью длинного списка производителей сетевого оборудования, чьи системы использовались для кибер-вторжений, потеснив в нем Cisco, Microsoft, Oracle, F5 Networks, Palo Alto Networks, Fortinet и Citrix.
Впрочем, в атаках на FatPipe нет ничего удивительного, ведь атаки на межсетевые экраны, VPN-серверы, сетевые шлюзы и балансировщики нагрузки стали достаточно популярны среди АРТ в условиях ограничений, введенных из-за пандемии COVID-19 для персонала госсектора и частных компаний.
Но этот случай заметно выделяется в призме прошлых инцидентов прежде всего тем, что обнаруженный 0-day до сих пор не собственного идентификатора CVE, а лишь фигурирует во внутренней рекомендации по безопасности как FPSA006.
Более того, для ошибки 16 ноября выпущены соответствующие исправления, включая индикаторы взлома (IOC) и подписи YARA, а также предупреждения спецслужбы.
Это конечно полезно знать, но в России продукция FatPipe практически не используется.
Похоже, что скандал с израильскими частными разведывательными компаниями продолжается, а точнее обрастает новыми подробностями.
Если ранее медиафокус был направлен на NSO Group, то на этот раз под раздачу попал еще один попавший под американские санкции поставщик шпионского ПО Candiru. Как выяснили ESET, все дело в том, что Candiru были причастны к атакам Watering Hole в отношении ряда высокопоставленных лиц в Великобритании и на Ближнем Востоке.
Для атак на водопой использовались веб-сайты ведущих СМИ, правительственных структур, операторов связи в Великобритании, Йемене и Саудовской Аравии, а также компаниям, занимающимся аэрокосмическими и военными технологиями в Италии и Южной Африке.
Взломы ресурсов проводились последовательно в две волны: первая состоялась в период с марта по август 2020 года, вторая продолжалась в январе - августе 2021 года, после чего вредоносные скрипты были удалены с целевых веб-сайтов.
В рамках первой волны цепочки атак включали внедрение злоумышленником кода JavaScript на веб-сайты с удаленного домена, который предназначен для сбора информации машине-жертве (в том числе его геолокации, сетевых адресах, ОС и другой системной информации), при этом обходя мобильные устройства. Затем использовались уязвимости удаленного выполнения кода браузера, которая позволила злоумышленникам захватить контроль над машинами.
Вторая волна характеризовалась большей скрытностью, поскольку изменения JavaScript вносились в легитимные сценарии WordPress (wp-embed.min.js), вместо добавления вредоносного кода прямо на главную HTML-страницу, используя метод загрузки скрипта с сервера, находящегося под контролем злоумышленника. Помимо снятия фингерпринта злоумышленник вел сбор системных метаданных (в том числе языка по умолчанию, списка шрифтов, поддерживаемых браузером, часовой пояс и список плагинов браузера).
Изучая ТТП APT в ходе второй волны, словацкая инфосек компания связала активность с Karkadann, которая достаточно четко описана специалистами Лаборатории Касперского. Злоумышленник также нацелен на госорганы и новостные агентства на Ближнем Востоке как минимум с октября 2020 года и использовал специально разработанные вредоносные документы со встроенными макросами, которые запускают цепочку заражения, открывая URL-адрес в Internet Explorer, реализуя в конечном счете уязвимость повышения привилегий. ЛК, в свою очередь, обнаружили свойство с кампанией Piwiks.
Вместе с тем, обнаружить точный эксплойт и окончательную полезную нагрузку, и до конца расчехлить Candiru спецам ESET не удалось. Элементами атрибуции стали сведения о том, что некоторые из командно-управляющие сервера имели схожие домены, которые использовались израильтянами. Но в качестве главного аргумента представлен арсенал Candiru, включающий возможности удаленного выполнения кода на основе браузера.
Ну и вряд ли можно назвать совпадением то, что кампания прекратилась в конце июля 2021 года, что совпало с публикациями об причастности Candiru к атакам на жертв в Армении, в ходе которых использовались 0-day уязвимости в браузере Chrome.
При этом ESET полагают, что несмотря на все обвинения Candiru разрабатываются новые инфраструктурные и тактические решения под дальнейшие кампании.
Если ранее медиафокус был направлен на NSO Group, то на этот раз под раздачу попал еще один попавший под американские санкции поставщик шпионского ПО Candiru. Как выяснили ESET, все дело в том, что Candiru были причастны к атакам Watering Hole в отношении ряда высокопоставленных лиц в Великобритании и на Ближнем Востоке.
Для атак на водопой использовались веб-сайты ведущих СМИ, правительственных структур, операторов связи в Великобритании, Йемене и Саудовской Аравии, а также компаниям, занимающимся аэрокосмическими и военными технологиями в Италии и Южной Африке.
Взломы ресурсов проводились последовательно в две волны: первая состоялась в период с марта по август 2020 года, вторая продолжалась в январе - августе 2021 года, после чего вредоносные скрипты были удалены с целевых веб-сайтов.
В рамках первой волны цепочки атак включали внедрение злоумышленником кода JavaScript на веб-сайты с удаленного домена, который предназначен для сбора информации машине-жертве (в том числе его геолокации, сетевых адресах, ОС и другой системной информации), при этом обходя мобильные устройства. Затем использовались уязвимости удаленного выполнения кода браузера, которая позволила злоумышленникам захватить контроль над машинами.
Вторая волна характеризовалась большей скрытностью, поскольку изменения JavaScript вносились в легитимные сценарии WordPress (wp-embed.min.js), вместо добавления вредоносного кода прямо на главную HTML-страницу, используя метод загрузки скрипта с сервера, находящегося под контролем злоумышленника. Помимо снятия фингерпринта злоумышленник вел сбор системных метаданных (в том числе языка по умолчанию, списка шрифтов, поддерживаемых браузером, часовой пояс и список плагинов браузера).
Изучая ТТП APT в ходе второй волны, словацкая инфосек компания связала активность с Karkadann, которая достаточно четко описана специалистами Лаборатории Касперского. Злоумышленник также нацелен на госорганы и новостные агентства на Ближнем Востоке как минимум с октября 2020 года и использовал специально разработанные вредоносные документы со встроенными макросами, которые запускают цепочку заражения, открывая URL-адрес в Internet Explorer, реализуя в конечном счете уязвимость повышения привилегий. ЛК, в свою очередь, обнаружили свойство с кампанией Piwiks.
Вместе с тем, обнаружить точный эксплойт и окончательную полезную нагрузку, и до конца расчехлить Candiru спецам ESET не удалось. Элементами атрибуции стали сведения о том, что некоторые из командно-управляющие сервера имели схожие домены, которые использовались израильтянами. Но в качестве главного аргумента представлен арсенал Candiru, включающий возможности удаленного выполнения кода на основе браузера.
Ну и вряд ли можно назвать совпадением то, что кампания прекратилась в конце июля 2021 года, что совпало с публикациями об причастности Candiru к атакам на жертв в Армении, в ходе которых использовались 0-day уязвимости в браузере Chrome.
При этом ESET полагают, что несмотря на все обвинения Candiru разрабатываются новые инфраструктурные и тактические решения под дальнейшие кампании.
WeLiveSecurity
Strategic web compromises in the Middle East with a pinch of Candiru
ESET researchers uncover strategic web compromise (aka watering hole) attacks against high-profile websites in the Middle East.
Банды вымогателей в последнее время совсем разбушевались.
Под удар вымогателей Lockbit попала криптовалютная биржа BTC-Alpha. Платформа украинского предпринимателя Виталия Боднара, торгующая с 2016 году и занимающая 14 место в рейтинге по безопасности, оказалась не такой уж и безопасной.
В этом случае Lockbit определенно сыграли на руку своим американским оппонентам, которые рассматривают крипту главным экономическим злом в вопросах организации экономики ransomware.
А вот в руки Everest залетела Police Brazil, именно так хакеры анонсировали свою успешную атаку. Но круче них на этой неделе оказались Moses Staff, которым удалось взломать Unit 8200, элитное подразделение радиоэлектронной разведки Армии обороны Израиля.
Под удар вымогателей Lockbit попала криптовалютная биржа BTC-Alpha. Платформа украинского предпринимателя Виталия Боднара, торгующая с 2016 году и занимающая 14 место в рейтинге по безопасности, оказалась не такой уж и безопасной.
В этом случае Lockbit определенно сыграли на руку своим американским оппонентам, которые рассматривают крипту главным экономическим злом в вопросах организации экономики ransomware.
А вот в руки Everest залетела Police Brazil, именно так хакеры анонсировали свою успешную атаку. Но круче них на этой неделе оказались Moses Staff, которым удалось взломать Unit 8200, элитное подразделение радиоэлектронной разведки Армии обороны Израиля.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Everest ransomware gang has announced "Police Brazil" on the victim list.
Forwarded from Social Engineering
🔖 S.E. Заметка. #OSINT коллекция от Cyber Detective.
• Коллекция инструментов: https://github.com/cipher387/osint_stuff_tool_collection
• Блог автора в Twitter: @cyb_detective
• Блог в Telegram: @cybdetective
‼️ За 3 года существования S.E., я собрал огромное количество материала на тему #OSINT, так как навыки искать необходимую информацию о цели, очень важны и являются ключевыми при проведении атак с использованием #СИ. Дополнительный материал, ты можешь найти по хештегам в заметке. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Продолжаем пополнять нашу коллекцию #OSINT ресурсов и инструментов. На этот раз, я поделюсь с тобой не только отличным и сочным репозиторием, но и отличным блогом, в котором ты найдешь много полезной информации. Автор является значимой фигурой в OSINT-сообществе.• Коллекция инструментов: https://github.com/cipher387/osint_stuff_tool_collection
• Блог автора в Twitter: @cyb_detective
• Блог в Telegram: @cybdetective
‼️ За 3 года существования S.E., я собрал огромное количество материала на тему #OSINT, так как навыки искать необходимую информацию о цели, очень важны и являются ключевыми при проведении атак с использованием #СИ. Дополнительный материал, ты можешь найти по хештегам в заметке. Твой S.E.