Исследователи из инфосек компании Vullnerability с помощью автоматизированной системы просканировали поддомены некоторых важных доменов Microsoft. В результате они выявили более 670 несуществующих поддоменов с некорректными настройками DNS.

Такие поддомены могут быть перехвачены злоумышленниками и в дальнейшем использованы для фишинга.

Исследователи сообщили в Microsoft о десятке подобных поддоменов, в частности таких как identityhelp . microsoft .com, mybrowser . microsoft . com, webeditor . visualstudio . com, data . teams . microsoft . com и sxt . cdn . skype . com.

Вместе с тем, полный список выявленных поддоменов не был передан Microsoft, поскольку софтверный гигант отказывается платить вознаграждения за такую информацию.

Согласно отчету компании Webroot, в прошлом году четверть фишинговых ресурсов были размещены на невредоносных доменах.

https://www.securityweek.com/over-600-microsoft-subdomains-can-be-hijacked-researchers

Если уж на то пошло - SecAtor написал про это еще 13 февраля.

По следам нашей вчерашней публикации, ссылку из которой Group-IB оперативно заабьюзили.

Нас тут обвиняют в том, что мы целенаправленно ГрИБов сливаем. Ничего подобного.

На самом деле, мы очень хорошо к ним относимся, они неплохие ребята, весьма профессиональные - и Илья Сачков, и Дима Волков, и Сережа Лупанин, и остальные. Им бы еще PR поменьше...

Но, товарищи, камон - нельзя же так косячить. Причем на публику. И обижаться на то, что другие это обсуждают, тоже не следует.

И тем не менее, еще раз - цели нагадить Group-IB мы не преследуем.

И еще, Сачков занес нам денег, поэтому вчерашний ролик никуда выкладывать не будем. Хотя мы-то его скачать успели, само собой. Шутка.

А вот по Кислицину у нас мнение отдельное и мы его чуть позже транслируем.

Вчера в отраслевых западных СМИ появилась информация об обвинительном заключении, которое в понедельник опубликовало Министерство юстиции США в отношении руководителя департамента сетевой безопасности Group-IB Никиты Кислицина.

Якобы, Кислицин причастен к перепродаже украденных в 2012 году данных компании Formspring.

В качестве основания - "в обнародованном во вторник судебном иске Никулин, Кислицын и двое предполагаемых киберпреступников-Олег Толстых и Александр Еременко-были признаны присутствовавшими на заседании 2012 года в одной из московских гостиниц, где участники якобы обсуждали открытие бизнеса интернет-кафе".

И вот все это происходящее нам решительно не нравится.

То, что Кислицин общался с андеграундом знали все. И это не было секретом. Равно как сотни и тысячи инфосек-ресерчеров по всему миру работают на форумах, добывают образцы вредоносов, ведут переговоры по выкупу похищенных данных.

И если за это нас начнут преследовать, то это будет концом эффективной исследовательской работы в области кибербезопасности. Потому что в условиях, когда грань между white hat и black hat очень зыбка, вся отрасль может работать только на основе негласного договора, допускающего как минимум общение между темной и светлой сторонами силы.

Forb'а законопатили свои. Не хотелось бы, чтобы Nikitoz'а приняли чужие.

Group IB выпустила официальное заявление, в котором сообщила, что будет поддерживать своего сотрудника, несмотря на риски для международного бизнеса.

По этому поводу можно сказать только одно - у Сачкова может быть иногда нет тормозов, но яйца у него определенно есть. В отличие от некоторых.

​​На днях мы уже упоминали хакерские инструменты из арсенала ЦРУ "Valve 7", информацию про которые слили Wikileaks.

В данный момент в США идет судебный процесс над бывшим сотрудником ЦРУ Джошуа Шульте, которого считают основным подозреваемым в хищении этой секретной информации у американских шпионских хакеров.

Так в ходе слушаний выясняются прекрасные подробности про то, какие "строгие" меры принимали сотрудники ЦРУ, чтобы уберечь свои кибертайны.

К примеру, пароль от виртуальной машины, под которой лежали хакерские инструменты - 123ABCdef. А рутовый логин от сервера DevLAN - myweetsummer.

Более того, эти пароли использовались совместно всей командой и были размещены в интранете.

У семи нянек, как известно, дитя без глаза.

https://www.theregister.co.uk/2020/03/05/cia_leak_trial/

Positive Technologies выявили уязвимость, являющуюся продолжением CVE-2019-0090, которая потенциально грозит компрометацией подавляющего большинства систем на процессорах Intel.

Уязвимость касается ПЗУ Intel Converged Security and Management Engine (CSME) и актуальна для всех доступных на сегодняшний день чипсетов Intel, кроме 10 поколения.

Исследователи Positive заявляют, что ошибка может быть использована для восстановления корневого криптографического ключа чипсета, который может предоставить злоумышленнику доступ ко всему содержимому ПК, вплоть до раскрытия данных с зашифрованных жестких дисков.

Основная проблема - принципиально уязвимость не может быть устранена без замены процессора. Положительным моментом является то, что уязвимость может эксплуатироваться только при наличии физического доступа к компьютеру.

http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html

Вчера мы разметили публикацию про неустранимую уязвимость в процессорах Intel, сегодня же очередь их конкурентов.

Команда из шести ученых Технологического университета Граца (Австрия) и Университета Ренна (Франция) обнаружили уязвимость в процессорах AMD, которая актуальная для моделей 2011-2019 годов выпуска.

Уязвимость эксплуатирует недокументированную производителем хэш-функцию µTag кэша L1D, что позволяет реализовать две новых атаки, которые исследователи назвали Collide + Probe attack и Load+Reload. С их помощью ученым удалось запустить на процессоре вредоносный код, с помощью которого они смогли украсть данные другого запущенного процесса. Кроме того, они смогли взломать Adress Space Layout Randomization (ASLR), механизм безопасности, используемый для рандомизации и маскировки мест в памяти процессора, где выполняется код.

И как в новости с Intel есть два положительных момента - хороший и плохой. И они прямо противоположны Intel'овским. Момент хороший - уязвимость устранима, плохой - атака реализуется удаленно, в частности с помощью JavaScript.

Правда, в отличие от интеловцев, AMD не сильно спешит закрыть выявленные дырки. По словам исследователей. об уязвимостях они проинформировали производителя еще в августе 2019 года, но по настоящий момент обновлений микрокода не выпущено.

https://www.zdnet.com/article/amd-processors-from-2011-to-2019-vulnerable-to-two-new-attacks/

​​Утром в газете - вечером в куплете.

Буквально пару дней назад мы писали, что новая тактика владельцев ransomware по публикации данных компаний, отказавшихся платить выкуп, может угрожать "безопасности" их черной бухгалтерии.

Так не мы одни такие умные.

Группа Sodinokibi, запустившая в конце февраля специальный ресурс для этих целей, публично обещает проводить среди скомпрометированных данных поиск в целях нахождения черной бухгалтерии.

Отказаться от выплаты хакерам денег теперь будет намного сложнее. Если вам есть что скрывать от государства, само собой.

https://www.bleepingcomputer.com/news/security/ransomware-threatens-to-reveal-companys-dirty-secrets/

Поздравляем всех девушек из инфосек, которых, на самом деле, не мало, с Международным Женским Днем!!!

Желаем нас радовать, инциденты расследовать, уютную рабочую атмосферу создавать!

Ура, товарищи!

​​Две недели назад мы писали про выявленный образец трояна Cerberus, который предназначался для обхода 2FA аутентификации на устройствах Android путем кражи пароля OTP, сгенерированного специализированным приложением Google Authenticator.

Данный функционал мог использоваться вредоносом для осуществления несанкционированных пользователем банковских транзакций из под Android.

Теперь появились подробности эксплуатируемой Cerberus уязвимости и они весьма пикантны.

Во-первых, троян крадет OTP-пароль просто запустив с помощью своего RAT функционала Google Authenticator и сделав оттуда элементарный скриншот (!).

Во-вторых, как выяснили Nightwatch Cybersecurity , возможность сделать скриншот из Google Authenticator у трояна есть только потому, что кто-то не очень способный не добавил специальный флажок FLAG_SECURE в его конфигурацию.

И, так сказать, компот - впервые в Google узнали об этой уязвимости еще в октябре 2014 года от кого-то из GitHub. Впоследствии Nightwatch Cybersecurity проинформировали компанию еще раз в 2017 году. Но воз и поныне там.

В связи с изложенным напоминаем еще раз - использовать банковские приложения на Android это моветон.

https://www.zdnet.com/article/google-could-have-fixed-2fa-code-stealing-flaw-in-authenticator-app-years-ago

​​Reddit, как всегда, на острие

​​Проект Folding@Home вступил в борьбу с коронавирусом!

Folding@Home - это проект по реализации распределённых вычислений с помощью сотен тысяч пользовательских компьютеров по всему миру. Основная цель - с помощью моделирования процессов свёртывания/развёртывания белков понять причины возникновения заболеваний, вызываемых дефектными белками, таких как болезнь Альцгеймера, Паркинсона, диабет 2 типа, различных форм онкологических заболеваний и т.д. Проект был запущен 1 октября 2000 года учёными из Стэнфордского университета.

На сентябрь 2019 года суммарная вычислительная мощность Folding@Home составила 98.7 петафлопс, в результате чего он занял третью строчку мирового рейтинга самых мощных систем распределённых вычислений.

27 февраля Folding@Home объявил о начале моделирования структуры спайкового белка (того самого "шипа") - белка на поверхности вируса, который связывается с рецепторным белком на легочной клетке, в результате чего вирус поражает легкие заболевшего. Создание модели спайкового белка позволит создать терапевтические антитела для COVID-19.

Каждый из нас может присоединиться к вычислениям и, таким образом, помочь в скорейшем создании эффективного лекарства против китайского коронавируса!

Более подробная информация, а также ссылка на ПО Folding@Home, - здесь.

#коронавирус

Facebook'у может поплохеть.

Австралийское правительство собирается подать на социальную сеть в австралийский же суд за разглашение данных, соответственно, австралийских пользователей в 2018 году. Коих пострадавших насчитали аж 300 тыс. человек.

Этот скандал с Cambridge Analytica широко освещался в отраслевой прессе и подробно рассматривать его мы не будем.

Facebook уже успел выхватить штрафы в 500 тыс. фунтов в Британии и 5 млрд. долларов в США. Однако, австралийский кейс может с лихвой их переплюнуть.

Федеральный суд Австралии может наложить штраф в размере 1,7 млн долларов за каждое серьезное нарушение частной жизни. А таковых пользователей, напомним, - потенциально 300 тыс. человек.

Сколько из них будет признано серьезно пострадавшими мы спрогнозировать не можем, но верхняя планка штрафа в полтриллиона (!) долларов впечатляет.

https://www.bbc.com/news/technology-51799738

Слишком много новостей про коронавирус, но что поделать - им сейчас вся инфосек лента забита.

Итак, последняя новость - болгары объявили на правительственном совещании, что ими разработана молекула против всех типов коронавирусов.

Якобы, компания Микар-21 вела исследования 4 года и последние испытания дали положительный результат.

Болгары собираются завершить проверку в течение 2 месяцев после чего могут поставить производство лекарства на поток.

Насколько новость достоверна - нам не ведомо. Мы и в болгарском не рубим (Google-переводчиком пользовались) и их инфополе не знаем. Судите сами.

#коронавирус

https://m.24chasa.bg/novini/article/8281978

​​А вот и новости про нашу среду обитания - дорогой Telegram - подвезли.

По наводке итальянского ресерчера Андреа Фортуна нам попалось на глаза исследование проекта HackerFactor, основной целью которого было выяснить является ли Telegram безопасным и приватным мессенджером. Исследователи говорят, что нет.

Мы решили разобраться в чем дело. Впечатления неоднозначные, если честно.

Во-первых, HackerFactor говорят, что обнаружить трафик Telegram, равно как и заблокировать доступ, нетрудно. Ха! Пойдите расскажите это Жарову.

Другое дело, что, по словам исследователей, в момент паузы при наборе текста Telegram демонстрирует некую сетевую активность. То ли передает черновик текста на сервер, то ли пересылает флажок "набирает текст", точно неизвестно. Если первое - то это не есть good.
Опять же, не до конца ясно, - происходит ли это в открытом канале или в секьюр чате.

А вот то, что при наборе URL Telegram начинает его подгружать, свидетельствует, что как минимум ссылки мессенджер расшифровывает и в таком виде их видит сервер. При этом сервер делает запрос GET к целевому ресурсу. Это не по фэншую.

Более того, в ходе исследования выяснилось, что сервер Telegram кэширует ссылки (как минимум) и хранит их в дальнейшем, поскольку перезапуск клиента кэш не очищает.

Ну и плюс локальный кэш, который можно расшифровать при наличии доступа к локальным файлам.

Кто-нибудь, передайте Дурову, что это зашквар.

https://www.hackerfactor.com/blog/index.php?/archives/872-Not-So-Secret-Messages.html

Google удалили из Play Store иранское приложение для выявления симптомов коронавируса.

Как известно, в Иране ситуация с коронавирусом аховая. Не такая как в Италии, но все же.

Приложение AC19 было выпущено иранцами на прошлой неделе и представляло собой экспертную программу, с помощью которой пользователь мог пройти опрос на наличие симптомов COVID-19. При регистрации AC19 запрашивало телефон пользователя и его согласие на обработку геоданных с целью их загрузки на сервер.

Это выглядит совершенно логично, ибо в случае высокой вероятности заболевания гражданина Ирана коронавирусом правительство должно, по здравому размышлению, знать его телефон и местонахождение.

После выпуска AC19 Министерство здравоохранения Ирана разослало всем иранцам SMS-сообщения с призывом установить приложение для проверки потенциальных симптомов.

Но не так все просто в империи всемирного добра и среди пользователей Play Store тут же нашлись доброхоты, которые обвинили приложение AC19 в кибершпионаже, а также в нагнетании паники. Особо усердствовали иранские диссиденты.

И хотя, со слов антивирусных экспертов из ESET никакого вредоносного функционала AC19 не содержит, Google, не долго думая, вчера удалили приложение из магазина. Комментарии от них по настоящее время не получены.

"...- Почему же они протестуют?
- ...ляди, сэр!"

#коронавирус

https://www.zdnet.com/article/spying-concerns-raised-over-irans-official-covid-19-detection-app/

Как сообщает ZeroDay, команда ученых из Университета Амстердама, Швейцарской высшей технической школы и компании Qualcomm опубликовала сегодня результаты исследования, которые опровергли безопасность модулей памяти с защитой Target Row Refresh (TRR) перед атакой Rowhammer.

Сама атака Rowhammer изначально была разработана учеными в 2014 году как теоретическая. Смысл ее заключается в том, что при современной плотности ячеек памяти электрические помехи могут передаваться между ячейками. Производя серию быстрых циклов записи строки памяти можно изменять информацию, содержащуюся в соседних ячейках.

Впоследствии было разработано множество реализаций Rowhammer, в том числе удаленных, как для ПК, так и для мобильных устройств. Усилия же производителей по защите модулей памяти привели к тому, что был разработан комплекс аппаратных и программных мер по противодействию Rowhammer, который получил название Target Row Refresh (TRR). До последнего времени считалось, что TRR достаточно для надежной защиты памяти.

Однако последнее исследование показывает, что это не так - ученые разработали инструмент под названием TRRespass, который позволяет реализовывать Rowhammer на модулях с TRR.

Из 43 видов протестированных модулей DIMM уязвимыми оказались 13 DIMM от трех крупных производителей (Samsung, Hynix и Micron).

Кроме того, модули памяти LPDDR4, используемые в смартфонах Google, LG, OnePlus и Samsung, также уязвимы перед связкой TRRespass-Rowhammer.

https://download.vusec.net/papers/trrespass_sp20.pdf

Вчера появилась информация о новой уязвимости протокола SMBv3, которая получила название CVE-2020-0796.

Что интересно, сама Microsoft никаких данных в отношении новой дырки не предоставила, однако сведения от корпорации получили ряд поставщиков решений безопасности, которые транслировали их широкой публике.

CVE-2020-0796 позволяет исполнять удаленно вредоносный код на атакованном хосте. Уязвимы Windows 10 v.1903, Windows Server v.1903, Windows 10 v.1909 и Windows Server v.1909, хотя по мнению Fortinet, следует считать уязвимыми также Windows 8 и Windows Server 2012.

Прослеживается очевидная параллель с EternalBlue, NotPetya и WannaCry.

И хотя рабочих эксплойтов пока никто не видел, Cisco Talos полагает, что необходимы отключение сжатия SMBv3 и блокировка порта TCP 445.

Вспоминая масштабность WannaCry рекомендуем всем администраторам озаботится превентивными мерами защиты и ждать патчей от Microsoft.

https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/

​​BREACKING NEWS!

Коронавирус атакует!

У двух сотрудников Exabeam, посещавших конференцию RSA в Сан-Франциско, выявлен коронавирус.

В твиттере появилась схема размещения участников конференции, на которой видно сотрудники каких компаний находились рядом с больными. Среди потенциально зараженных - ESET и Recorded Future

Видимо, IBM что-то знали, когда отказывались от участия в конференции...

#коронавирус

https://twitter.com/SushiDude/status/1237491816146100225