​🔖 S.E. Заметка. Полезные шпаргалки для ИБ специалистов.

🖖🏻 Приветствую тебя user_name.

• Добро пожаловать в рубрику "добавь в избранное". Сегодня будет неплохая подборка подсказок (в картинках) для начинающих #ИБ специалистов.

• К слову, подсказки являются отличным помощником при работе с определенным софтом или системой. С их помощью, ты сможешь прокачать свои навыки в определенной сфере и сократить время на выполнение задач для получения нужного результата.

• Basic Active Directory Domain Enumeration Cheat Sheet;
• Basic Active Directory Domain Enumeration Cheat Sheet2;
• Best of PowerShell;
• BloodHound Cheat Sheet;
• Burp Suite Cheat Sheet;
• Burp Suite Cheat Sheet2;
• Hacking Tools Cheat Sheet;
• Hacking Tools Cheat Sheet2;
• IPv4 Cheat Sheet;
• IPv4 Subnets;
• Incident Response;
• Incident Response2;
• John The Ripper;
• Kali Linux Cheat Sheet;
• Linux Command Line Cheat Sheet;
• Linux Commands with Descriptions;
• Linux Terminal Cheat Sheet;
• Log Parsing Cheat Sheet;
• Metasploit Cheat Sheet;
• Nessus and Nmap Cheat Sheet;
• Netcat Cheat Sheet;
• Network Topologies;
• Nikto Cheat Sheet;
• Nmap Cheat Sheet;
• Nmap Cheat Sheet2;
• Nmap Commands Cheat Sheet;
• OSI Layer Cheat Sheet;
• OSI Model Cheat Sheet;
• OSI Model and Cyber Attacks;
• PowerShell Cheat Sheet;
• SQLMap;
• SSH Common Commands;
• SSL TLS Handshake;
• Social Engineering Red Flags;
• TCP IP Cheat Sheet;
• TCP and UDP Common Ports;
• Windows Command Line;
• Wireshark Cheat Sheet;
• computer networking cheat sheet;
• network ports cheat sheet;

@S.E. #CheatSheet #ИБ

Глобальная исследовательская и аналитическая группа GReAT Лаборатории Касперского уже более пяти лет публикует ежеквартальные отчеты об активности APT, которые считаются одними из самых авторитетных и емких в отрасли.

⚡️Последний отчет за третий квартал 2022 года теперь впервые также доступен и в формате видео 👇👇👇

Хакеры атаковали австралийскую военную коммуникационную платформу ForceNet, попытавшись ее зарансомить.

Власти страны утверждают, что в результате инцидента чувствительные данные не были скомпрометированы.

По словам помощника министра обороны Мэтт Тистлтуэйт, на данном этапе нет никаких доказательств того, что какой-либо набор данных был скомпрометирован, отрицая напрочь факт взлома.

Однако сотрудники компании все же были проинформированы об утечке и проинструктированы о смене паролей.

При этом Австралийская радиовещательная корпорация также сообщила, что хакеры могли украсть личную информацию, такую как даты рождения солдат и данные о зачислении.

Новая беспрецедентная атака на учреждение в Австралии последовала за несколькими другими крупными взломами, ключаря телеком-гиганта Optus, крупнейшего медстраховщика Medibank.

На прошлой неделе Cisco устранила ряд серьезных недостатков в приложениях для идентификации, электронной почты и веб-безопасности.

Самую серьезную уязвимость обнаружили и исправили в веб-интерфейсе управления Cisco Identity Services Engine (ISE).

ISE — это платформа управления политиками безопасности, которая обеспечивает безопасный доступ к сети для конечных пользователей и устройств.

Ошибка отслеживается как CVE-2022-20961, имеет оценку CVSS 8,8 и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, провести атаку с подделкой межсайтовых запросов (CSRF) с последующим выполнением произвольных команд на уязвимом устройстве.

Как пишут в рекомендациях, эта уязвимость связана с недостаточной защитой CSRF для веб-интерфейса управления уязвимого устройства. Злоумышленник может воспользоваться этой багой, убедив пользователя интерфейса перейти по вредоносной ссылке.

Успешная реализация такого сценария дает возможность злоумышленнику выполнять произвольные действия на уязвимом устройстве с привилегиями целевого пользователя.

Другая серьезная уязвимость CVE-2022-20956 (оценка CVSS 7,1) в том же ISE вызвана неправильным контролем доступа в веб-интерфейсе управления, где злоумышленник способен воспроизвести ошибку, отправив специально созданные HTTP-запросы на уязвимые устройства.

Успешная эксплуатация позволяет злоумышленнику получать список, загружать и удалять определенные файлы, к которым у него не должно быть доступа. Со слов Cisco PSIRT, в сети уже имеется экспериментальный кода эксплойта для этой уязвимости.

Также ИТ-гигант исправил уязвимость SQL Injection CVE-2022-20867 и уязвимость повышения привилегий CVE-2022-20868 в продуктах Cisco ESA, Cisco Secure Email и Web Manager Next Generation Management.

Помимо прочего Cisco пристально изучает потенциальное влияние пресловутых уязвимостей OpenSSL CVE-2022-3602 и CVE-2022-3786, о которых мы писали ранее.

LockBit продолжают знакомить крупные корпорации с ransomware.

В списке жертв 05 ноября оказалась ведущая консалтинговая компания Kearney & Company, предоставляющая аудиторские, консалтинговые и ИТ-услуги правительству США.

Вымогатели угрожают опубликовать украденные данные до 26 ноября 2022 года, если компания не заплатит выкуп. Опубликованный образец включает финансовые документы, контракты, аудиторские отчеты, платежные документы и многое другое.

LockBit требует 2 миллиона долларов за уничтожение украденных данных и 10 тысяч долларов за продление таймера еще на 24 часа.

Кроме того, банда взяла на себя ответственность за кибератаку на немецкий многонациональный автомобильный концерн Continental, которая имеет более 190 000 сотрудников в 58 странах и ежегодный объем продаж в 33,8 миллиарда евро.

До настоящего времени хакеры не предоставили подробностей инцидента и образцов эксфильтрованных в ходе взлома данных. Однако согласно пресс-релизу, Continental обнаружила вторжение в начале августа после того, как злоумышленники уже проникли в некоторые части ее ИТ-систем.

Руководство компании в лице вице-президента Кэтрин Блэквелл не подтверждает заявления LockBit и не комментируют инцидент, ссылаясь на продолжающееся расследование.

Тем временем в Дании в результате кибератаки на разработчика системы управления корпоративными активами железных дорог Supeo остановилось сообщение по всей стране.

По сообщению датской телекомпании DR, все поезда крупнейшей железнодорожной компании страны DSB в субботу утром остановились и не могли возобновить движение в течение нескольких часов. После отключения Supeo своих серверов часть ПО, используемого машинистами поездов, перестала работать.

Компания предоставляет мобильное приложение, которое машинисты поездов используют для доступа к критически важной оперативной информации, такой как ограничения скорости и информация о работе, выполняемой на железной дороге.

По всей видимости, Supeo подвергнулся атаке с использованием ransomware.

Компания не поделилась какой-либо информацией, но представитель DSB сообщил Reuters, что это «экономическое преступление», что указывает на предъявленные требования в рамках вымогательства.

Но будем посмотреть.

Ресерчеры Zscaler ThreatLabz сообщили о новой кампании пакистанской APT-36 (ака Transparent Tribe, Operation C-Major и Mythic Leopard), нацеленной на индийские правительственные организации.

Хакеры злоупотребляют рекламой Google с целью распространения бэкдор-версий MFA-приложений Kavach.

АРТ была также замечена в проведении ограниченных фишинговых атак, маскируясь под официальные веб-сайты правительства Индии.

Злоумышленник не в первый раз таргетируется под Kavach - двухфакторную аутентификацию, которая по требованию правительства Индии обязательна доступа к службам электронной почты в доменах @gov.in и @nic.in.

Ранее в марте этого года ресечеры Cisco Talos уже наблюдали поддельные установщики Windows для Kavach в качестве приманки для заражения правительственных служащих с помощью CrimsonRAT и других артефактов.

В новой кампании использовалась уже проверенная тактика.

Злоумышленник зарегистрировал несколько новых доменов для размещения веб-страниц, замаскированных под официальный портал Kavach, а также использовал Google Ads для их продвижения в топ выдачи поисковика среди пользователей Индии по ключевым словам.

В среднем злоумышленник продвигал каждый веб-сайт в течение одного месяца, прежде чем переходить к следующему.

Кроме того, с мая 2022 года Transparent Tribe распространяет ПО Kavach с бэкдором через подконтрольные маркетплейсы приложений.

Причем они также занимают первые строчки в результатах поиска Google. Одним из таких примеров является магазин acmarketsapp[.]com.

Этот магазин приложений используется в качестве шлюза для перенаправления пользователей на домены, зарегистрированные злоумышленниками, на которых размещены версии приложения Kavach с бэкдором.

Ресерчеры отметили, что начиная с августа 2022 года, APT-36 усовершенствовала свои TTP, включив новые методы распространения и новые инструменты.

Пополнением в арсенале стал ранее недокументированный инструмент для эксфильтрации данных LimePad. Он распространяется как приложение на основе Python, упакованное в файл VHDX.

Основная цель этого нового инструмента — постоянно загружать любой новый интересующий файл с машины жертвы на сервер злоумышленника.

Он синхронизирует эту операцию по краже файлов между компьютером жертвы и сервером злоумышленника, поддерживая локальную пользовательскую базу данных SQLite.

Использование рекламы Google и LimePad указывает на последовательные попытки злоумышленника развивать и совершенствовать свой функционал.

APT-36 продолжает оставаться одной из самых активных угроз, нацеленных на индийский сегмент.

Microsoft выкатился с новым 114-страничным отчетом о цифровой защите.

Технический гигант констатирует сокращение времени между объявлением об уязвимости и превращением ее в «товар», сетуя на всплеск атак с использованием 0-day со стороны криминальных киберструктур и АРТ для взлома целевых сред.

По мнению микромягких, виновниками такого положения дел следует считать Китай, принявший в 2021 году новое положение об отчетности об уязвимостях.

Оно определяет приоритет в информировании об ошибках госрегулятора до того, как они были переданы разработчикам продукта, что приведет к более широкому задействованию 0-day в шпионаже.

Перечитав отчет дважды, так и не нашли ничего про упоминание утечки Lost in Translation, в ходе которой была слита куча данных американской хакерской группы Equation, работающей под АНБ США, включая и эксплойты, а Microsoft молча устраняла уязвимости, не присваивая плашки CVE.

А что нашли - так это одни двойные стандарты.

В США раскрыли личность хакера-миллиардер, укравшего 50 000 биткойнов с Silk Road, действовавшей в период с с 2011 по 2013 год и насчитывавшей более 100 000 участников.

Минюст штатов объявил об осуждении хакера Джеймса Чжуна, который посредством обнаружения и эксплуатации ошибки обработки вывода в системе транзакций в сентябре 2012 смог вывести внушительную сумму крипты с даркнет-площадки.

Чжун профинансировал девять разных счетов с первоначальным депозитом от 200 до 2000 биткойнов, а затем быстро инициировал 140 транзакций снятия средств. Хакер воспользовался задержкой в системе транзакций на рынке, что позволило кому-то несколько раз вывести свое условное депонирование.

Таким образом, Чжун обманом заставил систему выпустить 50 000 биткойнов, которые он затем перевел на разные кошельки, чтобы скрыть следы.

В ходе расследования хакер признал себя виновным в преступлениях по отмыванию денег, что и легко в основу обвинения, а силовикам удалось изъять 51 351,9 биткойнов на сумму более 3,3 миллиарда долларов в ноябре 2021 года.

В течение почти десяти лет таинственное исчезновение криптоактивов оставалось загадкой, но благодаря современным методам отслеживания криптовалюты в совокупности с хорошей оперской работой правоохранителям удалось найти все ответы и самого виновника.

Вооружившись ордером на обыск, силовики 9 ноября 2021 года обнаружили в доме Чжуна:

- 50 491 биткойн, спрятанный в сейфе на подземном этаже и на одноплатном компьютере, погруженном под одеяла в жестяную банку для попкорна в туалете;
- 11.12 биткойн;
- 661 900 долларов наличными;
- 25 монет Casascius стоимостью 174 биткойна;
- 4 серебряных слитка по 1 унции;
- 4 серебряных слитка по 10 унций;
- 3 золотых слитка по 1 унции;
- 1 золотую монету.

Кроме того, у хакера конфисковали почти все имущество, в том числе вложения в недвижимость и дополнительные цифровые активы, не связанные с уголовным производством.

В марте 2022 года Чжун добровольно сдал властям еще 825,4 биткойна, а в мае 2022 года — еще 35,5.

Приговор хакеру-миллиардеру будет оглашен 22 февраля 2023 года, при этом за мошенничество с использованием электронных средств ему грозит до 20 лет тюремного заключения.

Мяса в Канаде не будет. По крайней мере в ближайшей перспективе.

В воскресенье у Maple Leaf Foods произошел сбой после кибератаки на выходных.

Maple Leaf Foods — крупнейший в Канаде производитель мясных полуфабрикатов и продуктов из птицы, располагающий 21 производственным предприятием, на котором работает 14 000 человек. В 2021 году объем продаж фирмы составил 3,3 миллиарда долларов.

Компания подтвердила киберинцидент, который привел к сбоям в работе предприятий. В настоящее время специалисты работают с экспертами по кибербезопасности и восстановлению, чтобы разрешить ситуацию как можно скорее, но им еще только предстоит определить все обстоятельства случившегося.

Maple Leaf Foods выполняет свои планы обеспечения непрерывности бизнеса, работая над восстановлением пострадавших систем, однако ожидается, что на полное устранение последствий инцидента потребуется время, что приведет к проблемам с поставками и обслуживанием клиентов.

Компания заявляет, что продолжит работу с клиентами и партнерами, чтобы свести к минимуму перебои с поставками продуктов питания на канадском рынке.

По всей видимости, компания стала жертвой ransomware, однако ни одна из групп еще не заявила о причастности к атаке.

Будем посмотреть.

Разгорается новый шпионский скандал с участием бывших оперативников ЦРУ.

Согласно сообщениям швейцарских СМИ, официальные лица Катара организовали крупномасштабную и длительную разведывательную операцию в отношении официальных лиц FIFA, задействовав для этого бывших оперативников ЦРУ в преддверии FIFA 2022.

При этом в кибершпионаж были вовлечены высшие эшелоны правительства Катара, а сама кампания была нацелена на критиков как внутри FIFA, так и за ее пределами.

Масштабы шпионской деятельности были значительны. Только одно из мероприятий включало развертывание не менее 66 оперативников в течение девяти лет. Бюджет составил 387 миллионов долларов, а география атак охватывала пять континентов.

На прошлой неделе ФБР инициировало расследование в отношении Кевина Чалкера, бывшего агента ЦРУ, основателя и генерального директора Global Risk Advisors, компании, которая помогла правительству Катара проводить эту операцию.

Тем временем в Греции шпионские баталии все никак не прекращаются.

В воскресенье греческая газета
Согласно сообщопубликовала список из 33 имен, которые, по их утверждению, были атакованы и заражены шпионским ПО Predator в рамках незаконного наблюдения, проводимого по заказу правительства Греции во главе с премьер-министром Кириакосом Мицотакисом.

В список вошли государственные чиновники, журналисты и местные бизнесмены, а также четыре уже известных человека. Самый топ в списке — Никос Дендиас, нынешний министр иностранных дел Греции и член правящей партии «Новая демократия».

Рынок коммерческого кибершпионажа переживает глобальный передел.

Ресерчеры Sentinel Labs сообщают о начавшемся с середины 2022 года значительном диверсификации и расширении инфраструктуры SocGholish для размещения вредоносного ПО.

SocGholish — это платформа на основе JavaScript, которую злоумышленники используют для получения первоначального доступа к системам, начиная с 2017 года.

Операторы SocGholish реализуют социальную инженерию для заражения систем, обманом заставляя пользователей запускать вредоносную полезную нагрузку JavaScript, которая маскируется под обновление системы или ПО, например критическое обновление браузера.

В недавних кампаниях операторы SocGholish заражали законные веб-сайты, внедряя механизм «драйв-загрузка», который запускает полезную нагрузку через сервер второго уровня.

Последним ярким примером является заражение веб-ресурсов медиакомпании, используемых несколькими крупными новостными агентствами.

Причем операторы SocGholish заражают сайты для установления первоначальных точек контакта с жертвами почти в «промышленных» объемах: с начала года сообщается о более чем 25000 новых зараженных веб-сайтов.

После получения доступа через SocGholish злоумышленники проводят: разведку систем и сети, установление постоянства и развертывание дополнительных инструментов и вредоносных ПО, включяя инструменты для удаленного доступа Cobalt Strike и NetSupport, ransomware, такие как WastedLocker, которые приписываются EvilCorp.

В ходе недавних атак операторы SocGholish заражали законные веб-сайты, внедряя в них вредоносный код JavaScript, который загружает другой скрипт с сервера второго уровня, запускающий загрузку полезной нагрузки SocGholish, которая, в свою очередь, маскируется под обновление.

Ресерчеры заметили, что с середины 2022 года операторы SocGholish начали вводить новые серверы второго уровня с гораздо большей скоростью, чем раньше — в среднем 18 серверов в месяц, показав увеличение на 334% по сравнению с первым полугодием.

Большинство новых серверов были расположены в Европе, причем Нидерланды, Великобритания и Франция возглавляют список, а 28 из 73 серверов размещены в Нидерландах.

Новые сервера серьезно усиливают возможности SocGholish по противодействию защитным решениям, прежде всего в плане обхода черных списков.

При этом многие из серверов размещены в теневых поддоменах, созданных посредством теневого копирования, что позволяет операторам SocGholish злоупотреблять репутацией скомпрометированных доменов и затруднять их обнаружение.

SocGholish становится все более серьезной угрозой, что подчеркивает важность регулярного аудита состояния безопасности и целостности серверов, веб-сайтов и записей DNS для обнаружения и защиты от заражения и теневого копирования.

Хакеры, называющие себя Justice Blade или если переводить дословно - Клинок правосудия взяли на себя ответственность за взлом крупного ИТ-вендора Smart Link BPO Solutions.

Как известно, Smart Link BPO Solutions оказывает услуги ИТ-аутсорсинга, то есть занимается обслуживанием ИТ-инфраструктуры для ряда крупных корпораций и государственных учреждений в Королевстве Саудовская Аравия и некоторых других странах Персидского залива.

Компания является бизнес-подразделением Al Khaleej Training and Education Group, которая в 2012 году была включена в список Forbes Middle East 2012, как одна из 100 самых влиятельных компаний в регионе.

По заявлению хакеров, они украли большой объем данных, включая записи CRM, личную информацию, сообщения электронной почты, контракты и учетные данные. Как известно, Justice Blade создали канал в Telegram, где публикуют информацию об утечке.

Судя по опубликованным злоумышленником скриншотам и видео, инцидент мог произойти в результате целенаправленного вторжения в сеть, затрагивающего Active Directory и внутренние приложения и службы.

Также хакеры вложили скриншоты активных сеансов RDP и Office 365 между компаниями, а также список пользователей, которые могут быть связаны с FlyNas (авиакомпаниями) и SAMACares (финансовая служба, управляемая Центральным банком Саудовской Аравии), где насчитывается более 100 тысяч записей.

По мнению специалистов из Resecurity, Inc. (США), которая обеспечивает безопасность крупных компании из списка Fortune 500, утечка может стать одним из наиболее серьезных инцидентов, связанных с цепочкой поставок, в Саудовской Аравии из-за агрегации между корпоративным и государственным секторами.

Злоумышленники могут использовать украденные данные для нападения на компании и других заинтересованных лиц.

Также эксперты упомянули, что несколько утекших учеток Smart Link BPO Solutions ранее были обнаружены в даркнете и на различных теневых площадках в TOR, что возможно помогло Justice Blade в проведении успешной кибератаки.

Объявление об атаке началось с уничтожения веб-сайта компании 2 ноября, но ранее, 30 октября, жертва якобы обнаружила активность Metasploit Framework, который был развернут злоумышленником после взлома.

По имеющимся данным, скомпрометированная учетная запись принадлежала сотруднику и, вероятно, использовалась для проведения атаки.

Доказательств того, что нападение было финансово мотивировано, нет, так как требования выкупа не последовало.

Эксперты считают, что Justice Blade являются идеологически мотивированной хакерской группой, нацеленной на Саудовскую Аравию, так как она ранее уже публиковала на своем веб-сайте фотографии чиновников и утечки данных.

Правоохранительные органы уже расследуют инцидент и пытаются определить весь масштаб инцидента и его последствий.

͏Google выпустила ноябрьские обновления безопасности для Android с исправлением более 40 уязвимостей, в том числе связанных с повышением привилегий высокой степени серьезности.

Первый уровень обновлений включает исправления для 17 ошибок, 12 из которых могут привести к эскалации привилегий (EoP), 3 — к отказу в обслуживании (DoS) и 2 - к раскрытию информации.

Все уязвимости имеют высокую степень серьезности и затрагивают Android 10 и более новые версии. За исключением одной ошибки, все они также влияют на Android 13.

Согласно бюллетеню Google, наиболее серьезной из этих проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение.

Интернет-гигант также упоминает две дополнительные баги, которые устраняются в рамках обновлений системы Google Play, а именно CVE-2022-2209 (влияет на компоненты Media Framework) и CVE-2022-20463 (влияет на Wi-Fi).

Вторая часть обновления Android устраняет 26 других проблем (1 - критическая и 25 - серьезных) в компонентах Imagination Technologies, MediaTek, Unisoc и Qualcomm.

Дополнительный патч для пяти уязвимостей за ноябрь 2022 года предназначается для устройств Pixel. К ним относятся две ошибки высокой степени серьезности в чипе Titan M и три ошибки средней степени серьезности в компонентах Qualcomm с закрытым исходным кодом.

Citrix предупреждает клиентов об установке последних обновлений безопасности для устранения критических уязвимостей в Citrix ADC и Citrix Gateway.

Оба продукта широко используются организациями по всему миру. Уязвимости страгивают текущую и предыдущие версии Gateway и ADC.

Citrix Gateway — это служба SSL VPN, обеспечивающая удаленный доступ с возможностями управления идентификацией и доступом, развернутая в облаке или на локальных серверах, а ADC — это решение для балансировки нагрузки для облачных приложений, обеспечивающее непрерывную доступность и оптимальную производительность.

В бюллетене Citrix указано, что проблемам подвержены только работающие в качестве шлюза (использующие функции SSL VPN или развернутые в качестве прокси-сервера ICA с включенной аутентификацией) устройства.

Уязвимости могут позволить злоумышленникам получить несанкционированный доступ к устройству, выполнить захват удаленного рабочего стола или обойти защиту от грубой силы входа в систему.

Среди них следующие:

- CVE-2022-27510: ошибка обхода проверки подлинности критической серьезности с использованием альтернативного пути или канала, может быть использована только в том случае, если устройство настроено как VPN (шлюз).

- CVE-2022-27513: недостаточная проверка подлинности данных, позволяющая получить доступ к удаленному рабочему столу с помощью фишинга. Уязвимость можно использовать только в том случае, если устройство настроено как VPN (шлюз) и настроена функция прокси-сервера RDP.

- CVE-2022-27516: сбой механизма защиты от брута при входе в систему, что позволяет обойти его. Эту уязвимость можно использовать только в том случае, если устройство настроено как VPN (шлюз) или виртуальный сервер AAA с конфигурацией максимального количества попыток входа.

Пользователям, самостоятельно управляющим устройствами Citrix, необходимо как можно скорее выполнить обновление до последней доступной версии.

Клиентам, использующим Citrix для облачных служб управления, не нужно предпринимать никаких действий, поскольку поставщик уже применил обновления.

Обратите внимание, что информация о версиях продуктов до 12.1, срок службы которых истек, недоступна, поэтому клиентам, все еще использующим эти версии, рекомендуется предварительно выполнить обновление до поддерживаемого выпуска.

VMware исправила три критические ошибки обхода аутентификации в инструменте удаленного доступа Workspace ONE Assist.

Workspace ONE Assist обеспечивает дистанционное управление, совместное использование экрана, управление файловой системой и удаленное выполнение команд из консоли.

Проблемы отслеживаются как CVE-2022-31685 (обход аутентификации), CVE-2022-31686 (неверный метод аутентификации) и CVE-2022-31687 (неверный контроль аутентификации) и получили базовые оценки CVSSv3 9,8/10.

Злоумышленники, не прошедшие проверку подлинности, могут использовать их в несложных атаках, не требующих взаимодействия с пользователем для повышения привилегий.

Таким образом, пользователь с сетевым доступом к Workspace ONE Assist может получить административный доступ без необходимости аутентификации в приложении.

Кроме того, VMware устранила и другую XSS-уязвимость CVE-2022-31688, которая позволяет злоумышленникам внедрять код javascript в окно целевого пользователя, а также уязвимость фиксации сеанса (CVE-2022-31689), позволяющую пройти аутентификацию после получения действительный токен сеанса.

Все ошибки были обнаружены и переданы в VMware Джаспером Вестерманом, Яном ван дер Путом, Яником де Патером и Хармом Бланкерсом из REQON IT-Security.

Все проблемы затрагивают версии 21.x и 22.x VMware Workspace ONE Assist и были устранены в версии 22.10.

Компания также заявила, что не существует обходных путей, устраняющих недостатки.

Ноябрьский Patch Tuesday от Microsoft исправляет 68 уязвимостей в Windows, в том числе и 6 активно эксплуатируемых 0-day.

Среди исправленных: 12 классифицируются как критические, 2 -с серьезные и 55 - важные.

По категориям: 27 - повышение привилегий, 4 - обход функций безопасности, 16 - RCE, 11 - раскрытие информации, 6 - DoS, 3 - спуфинг.

Главная изюминка патча - исправления для двух CVE нулевого дня в Exchange Server, также известных как ProxyNotShell.

В целом же, список активно эксплуатируемых 0-day выглядит следующим образом:

- CVE-2022-41128: уязвимость удаленного выполнения кода в языках сценариев Windows, обнаружена Клементом Лесинем из группы анализа угроз Google. Бага требует, чтобы пользователь с уязвимой версией Windows получил доступ к вредоносному серверу.

- CVE-2022-41091: уязвимость Windows Mark of the Web Security Bypass. Злоумышленник может создать вредоносный файл, который сможет обойти защиту MOTW, что приведет к ограничению работы защищенного просмотра в Microsoft Office. Обновление исправляет два обхода Mark of the Web, также обнаруженных Уиллом Дорманном, который продемонстрировал, как можно создать специально созданный Zip-файл для блокировки функции безопасности Windows.

- CVE-2022-41073: уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав, обнаружена центром Microsoft Threat Intelligence Center (MSTIC). Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.

- CVE-2022-41125: уязвимость службы изоляции ключей Windows CNG, связанная с повышением привилегий, обнаружена Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).

- CVE-2022-41040: уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Привилегии, полученные злоумышленником, будут заключаться в возможности запускать PowerShell в контексте системы.

- CVE-2022-41082: уязвимость, связанная с удаленным выполнением кода сервера Microsoft Exchange, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Злоумышленник, использующий эту уязвимость, может атаковать учетные записи сервера с помощью произвольного или удаленного выполнения кода.

Среди других критических уязвимостей в ноябрьском патче, на которые стоит обратить внимание, — это уязвимости повышения привилегий в Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) и Microsoft Exchange Server (CVE-2022-41080) и отказ в обслуживании, затрагивающий Windows Hyper-V (CVE-2022-38015).

В дополнение к этим проблемам, исправление во вторник также устраняет ряд недостатков удаленного выполнения кода в протоколе туннелирования точка-точка (PPTP), Microsoft Excel, Word, драйвере ODBC, Office Graphics, SharePoint Server, JScript9, Chakra и Visual Studio, а также ряд ошибок повышения привилегий в Win32k, Overlay Filter и Group Policy.

Полный список устраненных уязвимостей и выпущенных рекомендаций в Patch Tuesday доступен здесь.

͏Австралийская медицинская страховая компания Medibank пошла на принцип и отказалась от выплаты выкупа вымогателям, в результате чего личные данные 9,7 миллионов ее нынешних и бывших клиентов утекли в сеть.

Ставшая одной из крупнейших по объему утечка включает полные установочные и контактные данные, а также медицинская информация, включающая коды диагнозов и перечни выполненных услуг.

Так, например слиты и записи с кодом: p_diag: F122, которые соответствует «зависимости от каннабиса» по международной классификации болезней ВОЗ.

При этом финансовая информация и сведения об удостоверяющих личность документах остались не тронутыми.

Пикантности инциденту придает и наличие в утечке вип-персон и международных клиентов: в числе клиентов Medibank был и премьер-министр Энтони Альбанезе.

Он уже высказал беспокойство, что часть этой информации была опубликована, а сам инцидент является «тревожным звонком» для корпоративного сектора Австралии.

Кроме того, обиженные неконструктивной позицией жертвы хакеры за 24 часа до публикации данных призвали акционеров избавляться от акции Medibank.

В итоге нарушение продавило рыночную стоимость Medibank на сотни миллионов долларов, а цена акций компании упала более чем на 20 процентов, с момента когда впервые появились новости об утечке.

Сумму выкупа публично не озвучена, как и ответственная за взлом группа. Однако утекшие данные были размещены на теневом портале, связанным с REvil, которая как известно возобновила свою деятельность с мая этого года.

Теперь же австралийцы достаточно серьезны озабочены проблемами защиты персональных данных и намерены кратно повысить санкции за нарушения со стороны ответственных за их безопасность операторов.

Штраф за "крупный инцидент" теперь может составлять не 1,4 млн. долларов США, а 32 миллиона этих же долларов либо сумму до 30% от дохода за определенный период.

А в России тем временем, как сообщают наши авторитетные коллеги из Утечки информации, вчера злоумышленник, причастный к ранним резонансным «сливам» Tele2, Почты России, GeekBrains, Delivery Club, Tutu и др., выложил в открытый доступ данные пользователей сервиса коротких видео Yappy.media.

В общем-то, все что, нужно знать о защите персданных в отечественных компаниях - читатели канала уже и так уже знают, повторяться не будем 👇

Siemens и Schneider Electric выпустили бюллетени исправлений за ноябрь 2022 года.

При этом Siemens выпустила 9 новых бюллетеней по безопасности, охватывающих в общей сложности 30 уязвимостей, а Schneider опубликовала только один новый бюллетень.

Из девяти бюллетеней Siemens три описывают критические уязвимости. В устройствах измерения мощности Sicam Q100 были обнаружены четыре уязвимости — одна с высокой степенью серьезности и три критические. Они могут позволить злоумышленнику перехватить пользовательские сеансы, вывести устройство из строя или RCE.

Устройства Scalance W1750D имеют более дюжины уязвимостей, в том числе многие из них имеют рейтинг «критических», которые могут позволить злоумышленнику RCE или вызвать состояние DoS.

Исправления недоступны, но поставщик предоставил некоторые средства для устранения. Компания указала, что точка доступа представляет собой фирменное устройство производства Aruba Networks, которая объявила о выпуске исправлений еще в конце сентября.

В последнем бюллетене Siemens, касающемся критической уязвимости, описывается слабая защита ключа в продуктах Sinumerik.

Уязвимости высокой степени серьезности также были исправлены в продуктах Teamcenter Visualization и JT2Go (RCE и DoS), Parasolid (RCE) и QMS Automotive (раскрытие учетных данных).

В устройствах Ruggedcom ROS, промышленных контроллерах и системе управления сетью Sinec были обнаружены недостатки средней степени серьезности.

Кроме того, между этим и предыдущим вторником исправлений Siemens опубликовала бюллетень, описывающий критическую уязвимость обхода аутентификации, затрагивающую мобильные серверы Siveillance Video.

Schneider Electric опубликована только один новый бюллетень.

Он охватывает три уязвимости, из-за которых мониторы безопасности и среды NetBotz подвергаются атакам межсайтового скриптинга (XSS), захвату учетных записей и кликджекингу.

Французский промышленный гигант выпустил патчи.