Теперь хакеры могут проворачивать фокусы с пространственно-временным континуумом в системах видеонаблюдения Dahua.
Исследователи из индийской компании Redinent Innovations, занимающиеся кибербезопасностью CCTV и IoT обнаружили уязвимость, которую удаленные злоумышленники могут использовать для подделки временных меток видео, записанных камерами безопасности Dahua.
CVE-2022-30564 была обнаружена еще в прошлом году, но обнародована исследователями и поставщиком только на этой неделе. Баг может быть использован хакерами для изменения системного времени устройства, в результате отправки специально созданного пакета.
Redinent присвоил уязвимости «высокий» рейтинг серьезности, но Dahua посчитал для нее всего 5,3 балла CVSS, так как по словам китайского производителя оборудования, уязвимость затрагивает всего несколько типов используемых камер и видеомагнитофонов, включая продукты IPC, SD, NVR и XVR.
Исследователи же утверждают, что существуют тысячи открытых в Интернете камер, на которые хакеры могут нацеливаться напрямую, а также возможна эксплуатация из локальной сети. Однако Redinent отметила, что злоумышленнику необходимо знать параметры API, чтобы воспользоваться уязвимостью.
Специалисты пояснили, что злоумышленник может изменить временную метку видеопотока, что приведет к несогласованности даты и времени на записанном видео без авторизации на устройстве и окажет прямое влияние на цифровую криминалистику.
Уязвимости устройств Dahua могут стать мишенью для DDoS-ботнетов, но в случае с CVE-2022-30564 они, скорее всего, будут использоваться в целенаправленных атаках, целью которых является фальсификация улик, а не операции киберпреступников.
О проблеме было сообщено поставщику еще осенью 2022 года и Dahua выпустила исправления для каждого из затронутых устройств.
Исследователи из индийской компании Redinent Innovations, занимающиеся кибербезопасностью CCTV и IoT обнаружили уязвимость, которую удаленные злоумышленники могут использовать для подделки временных меток видео, записанных камерами безопасности Dahua.
CVE-2022-30564 была обнаружена еще в прошлом году, но обнародована исследователями и поставщиком только на этой неделе. Баг может быть использован хакерами для изменения системного времени устройства, в результате отправки специально созданного пакета.
Redinent присвоил уязвимости «высокий» рейтинг серьезности, но Dahua посчитал для нее всего 5,3 балла CVSS, так как по словам китайского производителя оборудования, уязвимость затрагивает всего несколько типов используемых камер и видеомагнитофонов, включая продукты IPC, SD, NVR и XVR.
Исследователи же утверждают, что существуют тысячи открытых в Интернете камер, на которые хакеры могут нацеливаться напрямую, а также возможна эксплуатация из локальной сети. Однако Redinent отметила, что злоумышленнику необходимо знать параметры API, чтобы воспользоваться уязвимостью.
Специалисты пояснили, что злоумышленник может изменить временную метку видеопотока, что приведет к несогласованности даты и времени на записанном видео без авторизации на устройстве и окажет прямое влияние на цифровую криминалистику.
Уязвимости устройств Dahua могут стать мишенью для DDoS-ботнетов, но в случае с CVE-2022-30564 они, скорее всего, будут использоваться в целенаправленных атаках, целью которых является фальсификация улик, а не операции киберпреступников.
О проблеме было сообщено поставщику еще осенью 2022 года и Dahua выпустила исправления для каждого из затронутых устройств.
Исследователи предупреждают о новых атаках ransomware ESXiArgs с обновленной версией, которая затрудняет восстановление виртуальных машин VMware ESXi.
Новый вариант был обнаружен менее чем через неделю после того, как CERT-FR и CISA выпустили предупреждения о масштабной вредоносной кампании с использованием ESXi, нацеленной на тысячи серверов VMware, уязвимых для критической CVE-2021-21974, которая была исправлена еще два года назад. Проблема связана с OpenSLP.
Тем не менее VMware не подтвердила эксплуатацию CVE-2021-21974, но заявила, что и 0-day не использовались.
В свою очередь, GreyNoise отмечают, что в последние годы в ESXi было обнаружено несколько связанных с OpenSLP уязвимостей, и любая из них могла быть использована в атаках ESXiArgs, включая CVE-2020-3992 и CVE-2019-5544.
Новый метод шифрования ESXiArgs разработчиками был реализован после того, как CISA выпустила инструмент, способный восстанавливать файлы без уплаты выкупа.
Все дело в том, что предыдущая версия ransomware, как заметили ресерчеры, была в основном нацелена на файлы конфигурации ВМ и не шифровала плоские файлы с данными.
Утилита позволяла восстанавливать зашифрованные файлы конфигурации на основе незашифрованных плоских файлов.
В образцах обновленного штамма size_step скрипта encrypt.sh имел значение 1, шифруя 1 МБ через пропуск 1 МБ данных.
Это изменение позволило программе-вымогателю зашифровать большие фрагменты данных в целевых файлах, что сделало невозможным их восстановление.
Особенностью последних инцидентов стала компрометация серверов даже с отключенными SLP. Также в зараженных системах отсутствовал ранее замеченный бэкдор vmtool.py.
Эксперты также заметили, что записка о выкупе ESXiArgs перестала включать адреса BTC. Жертвам предлагается связаться с операторами TOX, а сумма выкупа составляет 2 биткойна.
В целом имеющиеся на данный момент артефакт свидетельствуют о том, что вредоносное ПО для шифрования файлов основано на утекшем в 2021 году исходном коде Babuk.
Однако широкий таргетинг и низкая сумма выкупа дают основания полагать, что кампания не связана с известными бандами вымогателей.
Оставив в стороне вопросы атрибуции, исследователей Rapid7 больше волнует складывающаяся картина.
Согласно телеметрии Project Sonar, почти 19 000 серверов ESXi с выходом в Интернет по-прежнему уязвимы для CVE-2021-21974.
При том, что ресерчеры наблюдали и дополнительные инциденты, нацеленные на серверы ESXi, не связанные с кампанией ESXiArgs, которые также могут использовать CVE-2021-21974.
К их числу, например, относится новый вид программ-вымогателей RansomExx2, написанный на Rust.
Исследователи рекомендуют запретить по умолчанию доступ к серверам, кроме как из доверенного IP-пространства, следить за своевременным исправлением и использовать резервное копирование виртуальных машин.
Новый вариант был обнаружен менее чем через неделю после того, как CERT-FR и CISA выпустили предупреждения о масштабной вредоносной кампании с использованием ESXi, нацеленной на тысячи серверов VMware, уязвимых для критической CVE-2021-21974, которая была исправлена еще два года назад. Проблема связана с OpenSLP.
Тем не менее VMware не подтвердила эксплуатацию CVE-2021-21974, но заявила, что и 0-day не использовались.
В свою очередь, GreyNoise отмечают, что в последние годы в ESXi было обнаружено несколько связанных с OpenSLP уязвимостей, и любая из них могла быть использована в атаках ESXiArgs, включая CVE-2020-3992 и CVE-2019-5544.
Новый метод шифрования ESXiArgs разработчиками был реализован после того, как CISA выпустила инструмент, способный восстанавливать файлы без уплаты выкупа.
Все дело в том, что предыдущая версия ransomware, как заметили ресерчеры, была в основном нацелена на файлы конфигурации ВМ и не шифровала плоские файлы с данными.
Утилита позволяла восстанавливать зашифрованные файлы конфигурации на основе незашифрованных плоских файлов.
В образцах обновленного штамма size_step скрипта encrypt.sh имел значение 1, шифруя 1 МБ через пропуск 1 МБ данных.
Это изменение позволило программе-вымогателю зашифровать большие фрагменты данных в целевых файлах, что сделало невозможным их восстановление.
Особенностью последних инцидентов стала компрометация серверов даже с отключенными SLP. Также в зараженных системах отсутствовал ранее замеченный бэкдор vmtool.py.
Эксперты также заметили, что записка о выкупе ESXiArgs перестала включать адреса BTC. Жертвам предлагается связаться с операторами TOX, а сумма выкупа составляет 2 биткойна.
В целом имеющиеся на данный момент артефакт свидетельствуют о том, что вредоносное ПО для шифрования файлов основано на утекшем в 2021 году исходном коде Babuk.
Однако широкий таргетинг и низкая сумма выкупа дают основания полагать, что кампания не связана с известными бандами вымогателей.
Оставив в стороне вопросы атрибуции, исследователей Rapid7 больше волнует складывающаяся картина.
Согласно телеметрии Project Sonar, почти 19 000 серверов ESXi с выходом в Интернет по-прежнему уязвимы для CVE-2021-21974.
При том, что ресерчеры наблюдали и дополнительные инциденты, нацеленные на серверы ESXi, не связанные с кампанией ESXiArgs, которые также могут использовать CVE-2021-21974.
К их числу, например, относится новый вид программ-вымогателей RansomExx2, написанный на Rust.
Исследователи рекомендуют запретить по умолчанию доступ к серверам, кроме как из доверенного IP-пространства, следить за своевременным исправлением и использовать резервное копирование виртуальных машин.
www.greynoise.io
GreyNoise | Exploit Vector Analysis of Emerging ‘ESXiArgs’ Ransomware (a.k.a. Wow do I hate ESXi Threat Intel [right now])
GreyNoise researchers provide context around the mass confusion that is the state of ransomware campaigns against exposed VMWare ESXi hosts and bad attribution takes.
Ресерчеры CYFIRMA обнаружили новые активности APT Bahamut.
Как известно, Bahamut связана с Ираном и специализируется на нацеливании на людей с помощью стратегических атак социальной инженерии, известна проведением кибератак в ближневосточном регионе и регионе Южной Азии.
В ноябре 2022 года CYFIRMA обнаружила кибератаку на оперативников индийской разведки с помощью вредоносного ПО для Android и социальной инженерии для доставки и установки APK.
Войдя в доверие к своей цели, хакеры пытались предложить задействовать для обмена файлами в зашифрованном виде приложение для Android с именем Vault. APK при этом пересылала в переписке Telegram.
После установки приложение выводило фиктивную страницу регистрации, ввода ключа блокировки и входа в систему.
При запуске запрашивало разрешение на доступ. Анализ разрешений из файла манифеста указывают на то, что вредоносного APK был использован для получения максимальной информации с мобильного телефона жертвы.
Приложение Vault на начальном этапе собирало информацию о контактах устройства, SMS и журналах вызовов. Кроме того, имелись модули для получения точного местоположения взломанного пользователя и отслеживания нажатий клавиш, злоупотребляя доступом таких приложений, как Telegram, Signal, Viber, IMO и Conion.
Исследование показало, что за нападением стоит Bahamut. Ресерчеры обнаружили, что IOC, которые были извлечены из вредоносного пакета Android, ранее были связаны с АРТ.
Причем код в предыдущих вредоносных ПО Bahamut аналогичен обнаруженной в последней атаке APK. Ранее APK SecureVpn широко использовался для массовых атак на пользователей Android.
Тем не менее, исследователи впервые наблюдают, как Bahamut использует поддельное приложение для безопасного обмена файлами для атак на интеллектуальные активы.
Последние атаки показывают, насколько хорошо хакеры изучают свою цель и реализуют узкотаргетирвоанные атаки. Довольно интересен функционал марвари, нацеленный на Conion, которые представляет собой малоизвестный мессенджер на основе Tor, который в настоящее время считается альтернативой Signal.
Новая шпионская кампания Bahamut APT все еще активна и реализует функциональность, аналогичную предыдущим кампаниям, включая сбор данных для эксфильтрации в локальной базе данных перед их отправкой на С2 и другие, представленные в отчете.
Как известно, Bahamut связана с Ираном и специализируется на нацеливании на людей с помощью стратегических атак социальной инженерии, известна проведением кибератак в ближневосточном регионе и регионе Южной Азии.
В ноябре 2022 года CYFIRMA обнаружила кибератаку на оперативников индийской разведки с помощью вредоносного ПО для Android и социальной инженерии для доставки и установки APK.
Войдя в доверие к своей цели, хакеры пытались предложить задействовать для обмена файлами в зашифрованном виде приложение для Android с именем Vault. APK при этом пересылала в переписке Telegram.
После установки приложение выводило фиктивную страницу регистрации, ввода ключа блокировки и входа в систему.
При запуске запрашивало разрешение на доступ. Анализ разрешений из файла манифеста указывают на то, что вредоносного APK был использован для получения максимальной информации с мобильного телефона жертвы.
Приложение Vault на начальном этапе собирало информацию о контактах устройства, SMS и журналах вызовов. Кроме того, имелись модули для получения точного местоположения взломанного пользователя и отслеживания нажатий клавиш, злоупотребляя доступом таких приложений, как Telegram, Signal, Viber, IMO и Conion.
Исследование показало, что за нападением стоит Bahamut. Ресерчеры обнаружили, что IOC, которые были извлечены из вредоносного пакета Android, ранее были связаны с АРТ.
Причем код в предыдущих вредоносных ПО Bahamut аналогичен обнаруженной в последней атаке APK. Ранее APK SecureVpn широко использовался для массовых атак на пользователей Android.
Тем не менее, исследователи впервые наблюдают, как Bahamut использует поддельное приложение для безопасного обмена файлами для атак на интеллектуальные активы.
Последние атаки показывают, насколько хорошо хакеры изучают свою цель и реализуют узкотаргетирвоанные атаки. Довольно интересен функционал марвари, нацеленный на Conion, которые представляет собой малоизвестный мессенджер на основе Tor, который в настоящее время считается альтернативой Signal.
Новая шпионская кампания Bahamut APT все еще активна и реализует функциональность, аналогичную предыдущим кампаниям, включая сбор данных для эксфильтрации в локальной базе данных перед их отправкой на С2 и другие, представленные в отчете.
CYFIRMA
Advanced Social Engineering Attacks Deconstructed - CYFIRMA
Explore the world of advanced social engineering attacks with Cyfirma's Out-of-Band article. Explore now
Известная китайская АРТ Tonto Team всерьез взялась за Group-IB.
Исследователи сообщили об очередной безуспешной атаке APT, которая была предпринята в июне 2022 года.
Компания обнаружила и заблокировала вредоносные фишинговые электронные письма в адрес ее сотрудников. Первые аналогичные случае фиксировались еще в марте 2021 года.
Впрочем, ничего удивительного, ведь сингапурская инфосек компания входит в орбиту интересов Tonto Team.
АРТ (также известная как Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda и UAC-0018) активна с 2009 года и связана с атаками на широкий круг организаций в Азии и Восточной Европе.
Согласно имеющимся данным, группа связана с подразделением 65016 НОАК, или как его называют третьим отделом (3PLA).
Цепочки атак включают фишинговые приманки с вредоносными вложениями, созданные с использованием Royal Road Rich Text Format (RTF) для сброса бэкдоров Bisonal, Dexbia и ShadowPad.
По данным Trend Micro, в 2020 году было замечено, что АРТ переключилась на взломанную корпоративную почту для рассылки фишинга другим пользователям.
Позже в марте 2021 года Tonto Team активно отрабатывали уязвимости ProxyLogon в Microsoft Exchange Server в атаках на компаний в Восточной Европе.
Под прицел хакеров попадали и российские научно-технические и государственные учреждения, которые были атакованы с помощью вредоносного ПО Bisonal.
Выявленные Group-IB попытки атак не отличались от характерных АРТ TTPs и включали фишинг с использованием вредоносных документов Microsoft Office, созданных с помощь Royal Road, для развертывания Bisonal.
Вместе с тем, замечен и ранее недокументированный загрузчик QuickMute, который отвечает за извлечение вредоносного ПО следующей стадии с удаленного сервера.
Как полагают исследователи, несомненно, Tonto Team продолжит атаковать IT и ИБ компании целевым фишингом для доставки вредоносных документов с использованием уязвимостей со специально подготовленными приманками.
Исследователи сообщили об очередной безуспешной атаке APT, которая была предпринята в июне 2022 года.
Компания обнаружила и заблокировала вредоносные фишинговые электронные письма в адрес ее сотрудников. Первые аналогичные случае фиксировались еще в марте 2021 года.
Впрочем, ничего удивительного, ведь сингапурская инфосек компания входит в орбиту интересов Tonto Team.
АРТ (также известная как Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda и UAC-0018) активна с 2009 года и связана с атаками на широкий круг организаций в Азии и Восточной Европе.
Согласно имеющимся данным, группа связана с подразделением 65016 НОАК, или как его называют третьим отделом (3PLA).
Цепочки атак включают фишинговые приманки с вредоносными вложениями, созданные с использованием Royal Road Rich Text Format (RTF) для сброса бэкдоров Bisonal, Dexbia и ShadowPad.
По данным Trend Micro, в 2020 году было замечено, что АРТ переключилась на взломанную корпоративную почту для рассылки фишинга другим пользователям.
Позже в марте 2021 года Tonto Team активно отрабатывали уязвимости ProxyLogon в Microsoft Exchange Server в атаках на компаний в Восточной Европе.
Под прицел хакеров попадали и российские научно-технические и государственные учреждения, которые были атакованы с помощью вредоносного ПО Bisonal.
Выявленные Group-IB попытки атак не отличались от характерных АРТ TTPs и включали фишинг с использованием вредоносных документов Microsoft Office, созданных с помощь Royal Road, для развертывания Bisonal.
Вместе с тем, замечен и ранее недокументированный загрузчик QuickMute, который отвечает за извлечение вредоносного ПО следующей стадии с удаленного сервера.
Как полагают исследователи, несомненно, Tonto Team продолжит атаковать IT и ИБ компании целевым фишингом для доставки вредоносных документов с использованием уязвимостей со специально подготовленными приманками.
Group-IB
Nice Try Tonto Team
An in-depth look at the attempted attack on Group-IB by a nation-state Advanced Persistent Threat actor (APT) Tonto Team
Forwarded from SecurityLab.ru
Злые КИТАЙСКИЕ КОММУНИСТЫ | Слили данные – МЕНЯЙ ПАСПОРТ | Атака на ПИВАСИК | Огонь и люди |89| 12+
Смотрите восемьдесят девятый выпуск «Security-новостей» и узнайте о самых важных и интересных событиях в мире кибербезопасности.
Смотрите восемьдесят девятый выпуск «Security-новостей» и узнайте о самых важных и интересных событиях в мире кибербезопасности.
YouTube
Злые КИТАЙСКИЕ КОММУНИСТЫ | Слили данные – МЕНЯЙ ПАСПОРТ | Атака на ПИВАСИК | Огонь и люди |89| 12+
Стань контент-мейкером в команде Standoff! Чтобы поучаствовать в кастинге, до 21 февраля заполни короткую гугл-форму (https://forms.gle/oyCKi5n6D9UHoRZZ9). Победитель получит постоянную работу в команде, максимальный простор для творческой самореализации…
Порой хакеры, как террористы, берут на себя ответственность за те или иные инциденты, то ли жажда славы, то ли желание поднять репутацию в среде, не понятно.
Так или иначе, но вымогатели Clop решили обозначиться и признались в недавних атаках с использованием 0-day в GoAnywhere MFT.
Как утверждают злоумышленники, они в течение 10 дней смогли украсть данные более 130 организаций, нацелившись на RCE-уязвимость CVE-2023-0669 в неисправленных экземплярах GoAnywhere MFT с открытой в сеть административной консолью.
Более того, Clop благодаря 0-day могли перемещаться по сетям жертв и разворачивать ransomware, но почему-то отказались от этого и ограничились только кражей документов, хранящихся на скомпрометированных серверах GoAnywhere MFT.
Правда, без демонстрации каких-либо доказательств.
Fortra, разработчик GoAnywhere MFT, также отказалась комментировать заявления банды относительно CVE-2023-0669.
Специалисты связывают атаки GoAnywhere MFT с TA505, связанной с Clop и TrueBot.
Предполагаемая эксплуатация Clop уязвимости GoAnywhere MFT похожа на то, как в декабре 2020 года ими была использована 0-day в Accellion FTA для кражи данных у более чем 100 компаний.
Тогда потерпевшие компании получали электронные письма с требованием выплатить выкуп в размере 10 млн. дол., дабы избежать утечки информации.
Приличный ценник, но и организации, сервера которых были скомпрометированы, не менее серьезные.
Среди них, к примеру, были Shell, Kroger и даже Qualys, не считая ряд известных по всему миру университетов.
Основываясь на наблюдаемых действиях и предыдущих отчетах, специалисты склонны считать, что активность была направлена все же для развертывания ransomware.
Но будем посмотреть.
Так или иначе, но вымогатели Clop решили обозначиться и признались в недавних атаках с использованием 0-day в GoAnywhere MFT.
Как утверждают злоумышленники, они в течение 10 дней смогли украсть данные более 130 организаций, нацелившись на RCE-уязвимость CVE-2023-0669 в неисправленных экземплярах GoAnywhere MFT с открытой в сеть административной консолью.
Более того, Clop благодаря 0-day могли перемещаться по сетям жертв и разворачивать ransomware, но почему-то отказались от этого и ограничились только кражей документов, хранящихся на скомпрометированных серверах GoAnywhere MFT.
Правда, без демонстрации каких-либо доказательств.
Fortra, разработчик GoAnywhere MFT, также отказалась комментировать заявления банды относительно CVE-2023-0669.
Специалисты связывают атаки GoAnywhere MFT с TA505, связанной с Clop и TrueBot.
Предполагаемая эксплуатация Clop уязвимости GoAnywhere MFT похожа на то, как в декабре 2020 года ими была использована 0-day в Accellion FTA для кражи данных у более чем 100 компаний.
Тогда потерпевшие компании получали электронные письма с требованием выплатить выкуп в размере 10 млн. дол., дабы избежать утечки информации.
Приличный ценник, но и организации, сервера которых были скомпрометированы, не менее серьезные.
Среди них, к примеру, были Shell, Kroger и даже Qualys, не считая ряд известных по всему миру университетов.
Основываясь на наблюдаемых действиях и предыдущих отчетах, специалисты склонны считать, что активность была направлена все же для развертывания ransomware.
Но будем посмотреть.
YouTube
Clop ransomware claims it breached 130 orgs using GoAnywhere zero-day #shorts
The Clop ransomware gang claims to be behind recent attacks that exploited a zero-day vulnerability in the GoAnywhere MFT secure file transfer tool, saying t...
Apple выпустила экстренные обновления безопасности (1, 2) для устранения 0-day, используемой в атаках для взлома iPhone, iPad и Mac.
CVE-2023-23529 представляет собой проблему путаницы WebKit и затрагивает широкий перечень устройств:
- iPhone 8 и новее,
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее,
- компьютеры Mac под управлением macOS Ventura.
Успешная эксплуатация позволяет злоумышленникам выполнять произвольный код на уязвимых устройствах с iOS, iPadOS и macOS после открытия вредоносной веб-страницы (баг также затрагивает Safari 16.3.1 на macOS Big Sur и Monterey).
Apple устранила CVE-2023-23529, улучшив проверки в iOS 16.3.1, iPadOS 16.3.1 и macOS Ventura 13.2.1. Компания также признала использование ошибки в реальных атаках.
Помимо названной проблемы Apple также исправила другую RCE-уязвимость CVE-2023-23514 в Mac и iPhone, связанную с проблемой использования ядра, о которой сообщили Ксинру Чи из Pangu Lab и Нед Уильямсон из Google Project Zero.
Несмотря на то, что компания сообщила о своей осведомленности в эксплуатации уязвимостей в дикой природе, подробности инцидентов не разглашаются.
Исследователи полагают, что атаки носили преимущественно целевой характер.
Владельцам техники Apple настоятельно рекомендуется как можно скорее установить экстренные обновления и устранить риск потенциальных попыток атак.
CVE-2023-23529 представляет собой проблему путаницы WebKit и затрагивает широкий перечень устройств:
- iPhone 8 и новее,
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее,
- компьютеры Mac под управлением macOS Ventura.
Успешная эксплуатация позволяет злоумышленникам выполнять произвольный код на уязвимых устройствах с iOS, iPadOS и macOS после открытия вредоносной веб-страницы (баг также затрагивает Safari 16.3.1 на macOS Big Sur и Monterey).
Apple устранила CVE-2023-23529, улучшив проверки в iOS 16.3.1, iPadOS 16.3.1 и macOS Ventura 13.2.1. Компания также признала использование ошибки в реальных атаках.
Помимо названной проблемы Apple также исправила другую RCE-уязвимость CVE-2023-23514 в Mac и iPhone, связанную с проблемой использования ядра, о которой сообщили Ксинру Чи из Pangu Lab и Нед Уильямсон из Google Project Zero.
Несмотря на то, что компания сообщила о своей осведомленности в эксплуатации уязвимостей в дикой природе, подробности инцидентов не разглашаются.
Исследователи полагают, что атаки носили преимущественно целевой характер.
Владельцам техники Apple настоятельно рекомендуется как можно скорее установить экстренные обновления и устранить риск потенциальных попыток атак.
Apple Support
About the security content of iOS 16.3.1 and iPadOS 16.3.1
This document describes the security content of iOS 16.3.1 and iPadOS 16.3.1.
🔥Предлагаем ознакомиться с самыми интересными Telegram-каналами в сфере информационной безопасности, OSINT и IT:
▶️ Russian OSINT — авторский новостной канал о кибербезопасности и IT.
▶️ Сводки частной разведки — канал российских osint-гуру, humint-инженеров и infopsy-технологов.
▶️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
▶️ Mycroft Intelligence — реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.
▶️ Поисковик ЗВИ — наш источник в оценке военного потенциала зарубежных стран.
▶️ Масалович и партнеры: OSINT — Канал КиберДеда, также известного как "Любимый OSINTер Кремля", он же "Леший".
▶️ Inside — уникальный контент на тему информационной безопасности от эксперта - авторские статьи, образовательные материалы и многое другое.
▶️ Russian OSINT — авторский новостной канал о кибербезопасности и IT.
▶️ Сводки частной разведки — канал российских osint-гуру, humint-инженеров и infopsy-технологов.
▶️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
▶️ Mycroft Intelligence — реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.
▶️ Поисковик ЗВИ — наш источник в оценке военного потенциала зарубежных стран.
▶️ Масалович и партнеры: OSINT — Канал КиберДеда, также известного как "Любимый OSINTер Кремля", он же "Леший".
▶️ Inside — уникальный контент на тему информационной безопасности от эксперта - авторские статьи, образовательные материалы и многое другое.
͏Пользователи Windows начали массово сообщать о проблемах при попытке установить или обновить приложения через пакетный менеджер WinGet.
Как оказалось, в работе Windows Package Manage возникли проблемы с установкой или обновлением пакетов из-за истечения срока действия сертификата SSL/TLS WinGet CDN. Разработчики Microsoft просто не продлили вовремя SSL-сертификат для этого проекта.
При переходе по URL-адресу CDN https://cdn.winget.microsoft.com будет выведена ошибка с датой истечения срока действия сертификата, а именно 12 февраля.
WinGet на самом деле отличный инструмент позволяет быстро и эффективно управлять приложениями благодаря интуитивно понятному интерфейсу командной строки, поддержке файлов MSI и ссылок из Windows Store.
Пока Microsoft не обновила SSL-сертификат, пользователи WinGet проявили смекалку и начали использовать обходной путь для решения этой проблемы.
Вместо того, чтобы полагаться на cdn.winget.microsoft.com, нужно добавить URL-адрес https://winget.azureedge.net/cache в список источников WinGet для получения пакетов.
Пожалуй, самое время открыть рубрику «худшие практики на канале Secator»
Как оказалось, в работе Windows Package Manage возникли проблемы с установкой или обновлением пакетов из-за истечения срока действия сертификата SSL/TLS WinGet CDN. Разработчики Microsoft просто не продлили вовремя SSL-сертификат для этого проекта.
При переходе по URL-адресу CDN https://cdn.winget.microsoft.com будет выведена ошибка с датой истечения срока действия сертификата, а именно 12 февраля.
WinGet на самом деле отличный инструмент позволяет быстро и эффективно управлять приложениями благодаря интуитивно понятному интерфейсу командной строки, поддержке файлов MSI и ссылок из Windows Store.
Пока Microsoft не обновила SSL-сертификат, пользователи WinGet проявили смекалку и начали использовать обходной путь для решения этой проблемы.
Вместо того, чтобы полагаться на cdn.winget.microsoft.com, нужно добавить URL-адрес https://winget.azureedge.net/cache в список источников WinGet для получения пакетов.
Пожалуй, самое время открыть рубрику «худшие практики на канале Secator»
Нарастает эскалация кампании с распространением вредоносного ПО Clipper, которая принимает новый оборот и создает угрозу для разработчиков на Python.
Специализирующаяся на безопасности цепочек поставок ПО компания Phylum обнаружила более 450 вредоносных пакетов в официальном репозитории Python Package Index (PyPI), которые пытаются заразить системы разработчиков вредоносной программой Clipper.
Первоначальный вектор предполагает использование типосквоттинга (регистрации адресов похожих на URL целевого сайта) с целью имитации популярных пакетов, таких как beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana и tensorflow.
После установки такого пакета вредоносный JavaScript начинает выполняется в фоновом режиме любого сеанса просмотра веб-страницы и в случае если пользователь скопирует адрес криптовалютного кошелька в буфере обмена произойдет замена на адрес злоумышленника.
Сценарий реализуется путем создания расширения веб-браузера Chromium в папке Windows AppData и записи в него вредоносного Javascript с файлом manifest.json, который в свою очередь запрашивает разрешения пользователей на доступ и изменение буфера обмена.
Вредоносная кампания нацелена по большей части на невнимательность и содержит от 13 до 38 сценариев опечатки при вводе названий популярных пакетов.
Первые инциденты обнаружены в конце 2022 года и конечной целью атак было и остается перехват криптовалютных транзакций. С тех пор злоумышленники обновили набор вредоносных пакетов и добавили запутанный метод, используемый для сокрытия кода JavaScript.
Как отмечают специалисты, хакеры значительно увеличили свое присутствие в PyPI и такое наводнение вредоносными пакетами будет только продолжаться.
Причем их выводы совпадают с отчетом исследователей из Sonatype, которые только за январь 2023 года обнаружили 691 вредоносный пакет в реестре NPM и 49 вредоносных пакетов в PyPI.
Специализирующаяся на безопасности цепочек поставок ПО компания Phylum обнаружила более 450 вредоносных пакетов в официальном репозитории Python Package Index (PyPI), которые пытаются заразить системы разработчиков вредоносной программой Clipper.
Первоначальный вектор предполагает использование типосквоттинга (регистрации адресов похожих на URL целевого сайта) с целью имитации популярных пакетов, таких как beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana и tensorflow.
После установки такого пакета вредоносный JavaScript начинает выполняется в фоновом режиме любого сеанса просмотра веб-страницы и в случае если пользователь скопирует адрес криптовалютного кошелька в буфере обмена произойдет замена на адрес злоумышленника.
Сценарий реализуется путем создания расширения веб-браузера Chromium в папке Windows AppData и записи в него вредоносного Javascript с файлом manifest.json, который в свою очередь запрашивает разрешения пользователей на доступ и изменение буфера обмена.
Вредоносная кампания нацелена по большей части на невнимательность и содержит от 13 до 38 сценариев опечатки при вводе названий популярных пакетов.
Первые инциденты обнаружены в конце 2022 года и конечной целью атак было и остается перехват криптовалютных транзакций. С тех пор злоумышленники обновили набор вредоносных пакетов и добавили запутанный метод, используемый для сокрытия кода JavaScript.
Как отмечают специалисты, хакеры значительно увеличили свое присутствие в PyPI и такое наводнение вредоносными пакетами будет только продолжаться.
Причем их выводы совпадают с отчетом исследователей из Sonatype, которые только за январь 2023 года обнаружили 691 вредоносный пакет в реестре NPM и 49 вредоносных пакетов в PyPI.
Phylum Research | Software Supply Chain Security
Phylum Discovers Revived Crypto Wallet Address Replacement Attack
Phylum discovers over 451 unique malicious packages targeting popular PyPI packages like Selenium.
Microsoft докатилась до того, что уже атрибутирует угрозы серией постов в Twitter.
Именно таким образом микромягкие представили анализ последней шпионской активности DEV-0147, связанной с атаками на южноамериканские дипломатические учреждения.
Аналитики приписывают кампанию китайской АРТ, которая была нацелена на правительственные учреждения и аналитические центры в Азии и Европе и использовала известные хакерские инструменты для проникновения в цели и поддержания постоянного доступа.
Это все та же заезженная пластинка про ShadowPad (также называемый PoisonPlug), который является преемником PlugX и широко использовался в свое время китайскими группами, тесно связанными с МГБ и НОАК, согласно Secureworks.
Одним из других вредоносных инструментов DEV-0147 был также загрузчик веб-пакетов QuasarLoader, который позволяет развертывать дополнительные полезные нагрузки в скомпрометированных средах.
Редмонд не стал раскрывать метод получения DEV-0147 первоначального доступа к целевой среде. Но не трудно догадаться, что наиболее вероятным вектором мог стать фишинг и произвольная эксплуатация известных непропатченных дыр.
Microsoft также описывает действия после эксплуатации, включающие злоупотребление локальной инфраструктурой идентификации для разведки и бокового перемещения, а также применение Cobalt Strike для управления и кражи данных.
Ресерчеры утверждают, что многие китайские АРТ помимо DEV-0147 продолжают использовать ShadowPad, несмотря на то, что он был детально задокументирован на протяжении многих лет, в силу своей эффективности в реализации национальных стратегических интересов.
Видать, в Twitter такие исследования прокатывают.
Именно таким образом микромягкие представили анализ последней шпионской активности DEV-0147, связанной с атаками на южноамериканские дипломатические учреждения.
Аналитики приписывают кампанию китайской АРТ, которая была нацелена на правительственные учреждения и аналитические центры в Азии и Европе и использовала известные хакерские инструменты для проникновения в цели и поддержания постоянного доступа.
Это все та же заезженная пластинка про ShadowPad (также называемый PoisonPlug), который является преемником PlugX и широко использовался в свое время китайскими группами, тесно связанными с МГБ и НОАК, согласно Secureworks.
Одним из других вредоносных инструментов DEV-0147 был также загрузчик веб-пакетов QuasarLoader, который позволяет развертывать дополнительные полезные нагрузки в скомпрометированных средах.
Редмонд не стал раскрывать метод получения DEV-0147 первоначального доступа к целевой среде. Но не трудно догадаться, что наиболее вероятным вектором мог стать фишинг и произвольная эксплуатация известных непропатченных дыр.
Microsoft также описывает действия после эксплуатации, включающие злоупотребление локальной инфраструктурой идентификации для разведки и бокового перемещения, а также применение Cobalt Strike для управления и кражи данных.
Ресерчеры утверждают, что многие китайские АРТ помимо DEV-0147 продолжают использовать ShadowPad, несмотря на то, что он был детально задокументирован на протяжении многих лет, в силу своей эффективности в реализации национальных стратегических интересов.
Видать, в Twitter такие исследования прокатывают.
В новом отчете исследователи AhnLab Security (ASEC) сообщают о новом штамме вредоносного ПО под названием M2RAT и стеганографии, которые теперь задействуются северокорейской APT37 (RedEyes или ScarCruft), чтобы нацеливаться на отдельных лиц для сбора разведданных.
В 2022 году хакерская группа использовала 0-day в Internet Explorer и распространяла широкий спектр вредоносных ПО в отношении целевых организаций и отдельных лиц.
Если ЕС атаковали с помощью новой версии мобильного бэкдора Dolphin, разворачивая специальный RAT Konni, то в отношении американских журналистов применялся Goldbackdoor.
Новое вредоносное ПО использует раздел общей памяти для команд и кражи данных с Windows и телефонов, практически не оставляя операционных следов на зараженной машине.
Последние наблюдаемые ASEC атаки начались в январе 2023 года с отправки целям фишинговых электронных писем, содержащих вредоносное вложение, посредством которого происходит эксплуатация старой уязвимости EPS (CVE-2017-8291) в текстовом процессоре Hangul, используемом повсеместно в Южной Корее.
Эксплойт вызывает запуск шелл-кода на компьютере жертвы, который загружает и запускает вредоносное ПО, хранящееся в изображении JPEG.
Файл использует стеганографию, скрывая код внутри, чтобы незаметно ввести исполняемый файл M2RAT (lskdjfei.exe) в систему и внедрить в explorer.exe.
Для сохранения в системе вредоносное ПО добавляет новое значение (RyPO) в ключ реестра «выполнить» с командами для выполнения сценария PowerShell через cmd.exe.
Последняя интеграция ранее попадала в поле зрения Лаборатории Касперского и фигурировала в отчете в 2021 году.
Бэкдор M2RAT действует как обычный RAT, реализуя кейлогинг, кражу данных, выполнение команд и создание скриншотов рабочего стола (причем эта функция активируется периодически и работает автономно).
Вредоносная программа собирают информацию с зараженного устройства, а затем отправляет ее на C2.
Особенно интересен функционал вредоносной ПО, позволяющий сканировать портативные устройства, подключенные к компьютеру с Windows, в частности, смартфоны или планшеты.
При подключении M2RAT сканирует содержимое устройства на наличие документов и файлов с записью голоса и, в случае обнаружения, скопирует их на ПК для передачи на C2.
Перед эксфильтрацией украденные данные сжимаются в защищенный паролем RAR-архив, после чего локальная копия стирается из памяти.
Другая особенность M2RAT заключается в том, что он использует секцию общей памяти для управления и контроля, кражи данных и прямой передачи украденных данных на C2 без сохранения их в скомпрометированной системе. Все это значительно усложняет анализ.
Таким образом, APT37 продолжает совершенствовать свой набор инструментов, отдавая предпочтение сложно отлеживаемым программным средствам.
В 2022 году хакерская группа использовала 0-day в Internet Explorer и распространяла широкий спектр вредоносных ПО в отношении целевых организаций и отдельных лиц.
Если ЕС атаковали с помощью новой версии мобильного бэкдора Dolphin, разворачивая специальный RAT Konni, то в отношении американских журналистов применялся Goldbackdoor.
Новое вредоносное ПО использует раздел общей памяти для команд и кражи данных с Windows и телефонов, практически не оставляя операционных следов на зараженной машине.
Последние наблюдаемые ASEC атаки начались в январе 2023 года с отправки целям фишинговых электронных писем, содержащих вредоносное вложение, посредством которого происходит эксплуатация старой уязвимости EPS (CVE-2017-8291) в текстовом процессоре Hangul, используемом повсеместно в Южной Корее.
Эксплойт вызывает запуск шелл-кода на компьютере жертвы, который загружает и запускает вредоносное ПО, хранящееся в изображении JPEG.
Файл использует стеганографию, скрывая код внутри, чтобы незаметно ввести исполняемый файл M2RAT (lskdjfei.exe) в систему и внедрить в explorer.exe.
Для сохранения в системе вредоносное ПО добавляет новое значение (RyPO) в ключ реестра «выполнить» с командами для выполнения сценария PowerShell через cmd.exe.
Последняя интеграция ранее попадала в поле зрения Лаборатории Касперского и фигурировала в отчете в 2021 году.
Бэкдор M2RAT действует как обычный RAT, реализуя кейлогинг, кражу данных, выполнение команд и создание скриншотов рабочего стола (причем эта функция активируется периодически и работает автономно).
Вредоносная программа собирают информацию с зараженного устройства, а затем отправляет ее на C2.
Особенно интересен функционал вредоносной ПО, позволяющий сканировать портативные устройства, подключенные к компьютеру с Windows, в частности, смартфоны или планшеты.
При подключении M2RAT сканирует содержимое устройства на наличие документов и файлов с записью голоса и, в случае обнаружения, скопирует их на ПК для передачи на C2.
Перед эксфильтрацией украденные данные сжимаются в защищенный паролем RAR-архив, после чего локальная копия стирается из памяти.
Другая особенность M2RAT заключается в том, что он использует секцию общей памяти для управления и контроля, кражи данных и прямой передачи украденных данных на C2 без сохранения их в скомпрометированной системе. Все это значительно усложняет анализ.
Таким образом, APT37 продолжает совершенствовать свой набор инструментов, отдавая предпочтение сложно отлеживаемым программным средствам.
ASEC
스테가노그래피 기법 사용한 한글(HWP) 악성코드 : RedEyes(ScarCruft) - ASEC
ASEC(AhnLab Security Emergengy response Center) 분석팀은 지난 1월 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 한글 EPS(Encapulated PostScript) 취약점(CVE-2017-8291)을 통해 악성코드를 유포하는 정황을 확인하였다. 본 보고서에서는 RedEyes 그룹의 최신 국내 활동에 대해 공유한다. 1. 개요 RedEyes 그룹은 기업이 아닌 특정 개인을 대상으로…
А вот и продолжение истории со взломом электронной почты члена британского парламента от шотландской партии SNP Стюарта Макдональда, который сразу же приписали российским и иранским АРТ.
Как выясняется, вся электронная переписка оказалась в руках бывшего британского дипломата Крейга Мюррея, который сам признался в этом, заявив о приобретении архива через доверенных лиц.
При этом он категорически отрицает свое участие в первоначальном взломе.
Мюррей пообещал журналистам Би-би-си публикации представляющих общественный интерес материалов, которые он считает служебными и не относящимися к личной жизни парламентария.
Кроме того, касающиеся избирателей сведения также не будут преданы огласке.
Сам Мюррей является давним критиком руководства SNP, а его бэкграунд связан с серьезными политическими скандалами.
В мае 2021 года экс-посол даже попадал за решетку на восемь месяцев за серию статей о судебном процессе над бывшим первым министром Алексом Салмондом в 2020 году.
Набирающий обороты новый скандал вокруг утечки будет включать переписку парламентария по вопросам взаимодействия с НАТО, минобороны, парламентскими комитетами, спецслужбами и иностранными державами.
Похоже, что в очередной раз англосаксы пытаются использовать образ суровых русских хакеров в своих внутриполитических играх.
Про атрибуцию все уже давно забыли или забили. Но будем следить за ситуацией.
Как выясняется, вся электронная переписка оказалась в руках бывшего британского дипломата Крейга Мюррея, который сам признался в этом, заявив о приобретении архива через доверенных лиц.
При этом он категорически отрицает свое участие в первоначальном взломе.
Мюррей пообещал журналистам Би-би-си публикации представляющих общественный интерес материалов, которые он считает служебными и не относящимися к личной жизни парламентария.
Кроме того, касающиеся избирателей сведения также не будут преданы огласке.
Сам Мюррей является давним критиком руководства SNP, а его бэкграунд связан с серьезными политическими скандалами.
В мае 2021 года экс-посол даже попадал за решетку на восемь месяцев за серию статей о судебном процессе над бывшим первым министром Алексом Салмондом в 2020 году.
Набирающий обороты новый скандал вокруг утечки будет включать переписку парламентария по вопросам взаимодействия с НАТО, минобороны, парламентскими комитетами, спецслужбами и иностранными державами.
Похоже, что в очередной раз англосаксы пытаются использовать образ суровых русских хакеров в своих внутриполитических играх.
Про атрибуцию все уже давно забыли или забили. Но будем следить за ситуацией.
BBC News
Former diplomat claims to have SNP MP's hacked emails
Police are assessing Craig Murray's blog claims over SNP MP Stewart McDonald's missing emails.
День святого Валентина навсегда останется в сердцах шведов, которых хакеры одарили букетом атак и инцидентов.
Особенно яркие признания в любви получила авиакомпания Scandinavian Airlines (SAS). В результате атаки лег сайт и отключилось мобильное приложение. Не обошлось и без утечки данных клиентов.
Причем накат продолжается по сей день, а представители компании призывают пользователей воздержаться от использования официальных ресурсов, пока SAS не локализует угрозу.
Журналисты шведского издания TT отмечают, что попытки входа в приложение SAS приводили к авторизации в чужих учетных записях и давали доступ к данным других людей.
Позже норвежская газета Verdens Gang также подтвердила аналогичные инциденты и с норвежскими клиентами.
Под раздачу в день влюбленных попала также национальная общественная телекомпания Швеции SVT, которая стала временно недоступна.
Причем на прошлой неделе было взломано еще несколько шведских организации в сфере здравоохранения, ответственность за которые также взяла на себя Anonymous Sudan.
В телекомпании сообщили, что ответственность за атаку взяла на себя группа под названием Anonymous Sudan, опубликовав в Telegram соответствующее предупреждение и угрожая другим шведским СМИ местью из-за скандала с сожжением Корана, но полагают, что последняя атака может оказаться кампанией под чужим флагом.
Все дело в том, что тележурналисты SVT также пообщались с экспертами, которые, использовав передовые принципы атрибуции, разработанные нашим каналом, заявили, что кибератака без сомнения осуществлена тысячами русских хакеров (хотя и под чужим флагом).
Особенно яркие признания в любви получила авиакомпания Scandinavian Airlines (SAS). В результате атаки лег сайт и отключилось мобильное приложение. Не обошлось и без утечки данных клиентов.
Причем накат продолжается по сей день, а представители компании призывают пользователей воздержаться от использования официальных ресурсов, пока SAS не локализует угрозу.
Журналисты шведского издания TT отмечают, что попытки входа в приложение SAS приводили к авторизации в чужих учетных записях и давали доступ к данным других людей.
Позже норвежская газета Verdens Gang также подтвердила аналогичные инциденты и с норвежскими клиентами.
Под раздачу в день влюбленных попала также национальная общественная телекомпания Швеции SVT, которая стала временно недоступна.
Причем на прошлой неделе было взломано еще несколько шведских организации в сфере здравоохранения, ответственность за которые также взяла на себя Anonymous Sudan.
В телекомпании сообщили, что ответственность за атаку взяла на себя группа под названием Anonymous Sudan, опубликовав в Telegram соответствующее предупреждение и угрожая другим шведским СМИ местью из-за скандала с сожжением Корана, но полагают, что последняя атака может оказаться кампанией под чужим флагом.
Все дело в том, что тележурналисты SVT также пообщались с экспертами, которые, использовав передовые принципы атрибуции, разработанные нашим каналом, заявили, что кибератака без сомнения осуществлена тысячами русских хакеров (хотя и под чужим флагом).
Telegram
SecAtor
Microsoft DTAC пора бы давать объявления "Проводим атрибуцию. Недорого. Правда хреново".
Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).…
Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).…
Forwarded from Social Engineering
⚙️ Топ 100 опенсорс проектов в сфере кибербезопасности.
• В удобной таблице можно найти ссылку на проект, кол-во звезд, краткое описание инструмента, автора, кол-во форков и другую полезную информацию.
• И не забывайте про хештег #tools, по нему можно найти огромное количество ресурсов и материала с различными инструментами.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Полезный и нужный рейтинг из 100 самых популярных инструментов с открытым исходным кодом для #ИБ специалистов и пентестеров: https://opensourcesecurityindex.io• В удобной таблице можно найти ссылку на проект, кол-во звезд, краткое описание инструмента, автора, кол-во форков и другую полезную информацию.
• И не забывайте про хештег #tools, по нему можно найти огромное количество ресурсов и материала с различными инструментами.
S.E. ▪️ S.E.Relax ▪️ infosec.work
Microsoft выпустила обновления, устраняющие 75 уязвимостей в своей линейке продуктов и это паровозом к 22 недостаткам, которые за последний месяц производитель исправил в браузере Edge.
Из обилия уязвимостей 9 оцениваются как критические, где 3 недостатка вовсе являются 0-day, которые активно используются в реальных условиях и были устранены в апреле и сентябре 2022 года.
Среди них:
- CVE-2023-21715 (оценка CVSS: 7,3): обход функций безопасности Microsoft Office;
- CVE-2023-21823 (оценка CVSS: 7,8): ошибка получения прав в графическом компоненте Windows;
- CVE-2023-23376 (оценка CVSS: 7,8): ошибка получения прав в драйвере Windows Common Log File System (CLFS).
В первом случае атака осуществляется локально пользователем с аутентификацией в целевой системе.
Эксплуатация реализуется с помощью социальной инженерии и специально созданным файлом, что приводит к локальной атаке на компьютер жертвы.
При этом совокупное использование проблем может позволить злоумышленнику обойти макрополитики Office, используемые для блокировки ненадежных или вредоносных файлов, а также получить системные привилегии.
Последний из трех недостатков затрагивает CLFS, достаточно важный компонент ОС Windows, управляющий высокопроизводительной файловой системой журналов на основе транзакций, ошибки которого могут иметь серьезные последствия для безопасности и надежности системы.
Отдельно отметим, что Microsoft OneNote для Android уязвим для CVE-2023-21823, а, поскольку теперь служба создания заметок все чаще становится каналом для доставки вредоносных программ, крайне важно применить исправления как можно скорее.
В последние годы серверы Exchange оказались важными целями, поскольку они могут обеспечивать доступ к конфиденциальной информации или способствовать атакам с компрометацией электронной почты.
Видимо, не зря три недостатка в Exchange Server классифицируются компанией как эксплуатирующиеся с большей вероятностью. Хоть и для успешной реализации потребуется прохождение аутентификации.
Из обилия уязвимостей 9 оцениваются как критические, где 3 недостатка вовсе являются 0-day, которые активно используются в реальных условиях и были устранены в апреле и сентябре 2022 года.
Среди них:
- CVE-2023-21715 (оценка CVSS: 7,3): обход функций безопасности Microsoft Office;
- CVE-2023-21823 (оценка CVSS: 7,8): ошибка получения прав в графическом компоненте Windows;
- CVE-2023-23376 (оценка CVSS: 7,8): ошибка получения прав в драйвере Windows Common Log File System (CLFS).
В первом случае атака осуществляется локально пользователем с аутентификацией в целевой системе.
Эксплуатация реализуется с помощью социальной инженерии и специально созданным файлом, что приводит к локальной атаке на компьютер жертвы.
При этом совокупное использование проблем может позволить злоумышленнику обойти макрополитики Office, используемые для блокировки ненадежных или вредоносных файлов, а также получить системные привилегии.
Последний из трех недостатков затрагивает CLFS, достаточно важный компонент ОС Windows, управляющий высокопроизводительной файловой системой журналов на основе транзакций, ошибки которого могут иметь серьезные последствия для безопасности и надежности системы.
Отдельно отметим, что Microsoft OneNote для Android уязвим для CVE-2023-21823, а, поскольку теперь служба создания заметок все чаще становится каналом для доставки вредоносных программ, крайне важно применить исправления как можно скорее.
В последние годы серверы Exchange оказались важными целями, поскольку они могут обеспечивать доступ к конфиденциальной информации или способствовать атакам с компрометацией электронной почты.
Видимо, не зря три недостатка в Exchange Server классифицируются компанией как эксплуатирующиеся с большей вероятностью. Хоть и для успешной реализации потребуется прохождение аутентификации.
͏Эксперты Лаборатории Касперского оценили возможность использования ChatGPT в процессе выявления угроз ИБ.
Splunk анонсировала обновления Splunk Enterprise, устраняющие несколько уязвимостей высокой степени серьезности, включая дефекты безопасности, влияющие на сторонние пакеты.
Наиболее серьезными являются CVE-2023-22939 и CVE-2023-22935 с оценкой CVSS 8,1. Обе затрагивают экземпляры с включенным Splunk Web и могут привести к обходу средств защиты языка обработки поиска (SPL) для рискованных команд. Для эксплуатации требуются запросы в браузере пользователем с высокими привилегиями.
CVE-2023-22934 связана с еще одним обходом защиты SPL в Splunk Enterprise и требует, чтобы аутентифицированный пользователь создал сохраненное задание, прежде чем запрос будет сделан в браузере.
Splunk также выпустила исправления для двух XSS-уязвимостей высокой степени серьезности (CVE-2023-22932 и CVE-2023-22933) и представила ресурсы для поиска признаков злонамеренной эксплуатации.
Другие исправления закрывают уязвимости средней степени серьезности, которые могут привести к раскрытию информации, отправке электронных писем в качестве экземпляра Splunk, загрузке таблиц поиска с ненужными расширениями имен файлов и подделке запросов на стороне сервера (SSRF).
Ряд других проблем приводят к перезаписи существующих RSS-каналов, сбоям демона Splunk, несанкционированным обновлениям коллекций SSG App Key Value Store и запросам к сторонним API, которые неправильно возвращаются к HTTP.
Кроме того, были выпущены исправления для многочисленных уязвимостей в сторонних библиотеках в Splunk Enterprise, наиболее серьезными из которых являются CVE-2021-3518 (оценка CVSS 8,8) и CVE-2021-3517 (оценка CVSS 8,6) в библиотеке разбора XML-документов libxml2.
Проблемы связаны с использованием после освобождения и чтением за пределами границ соответственно, и их можно использовать, отправив созданный файл для обработки уязвимым приложением. Успешная эксплуатация может повлиять на доступность, конфиденциальность и целостность приложений.
Splunk также устранил CVE-2022-32212 (оценка CVSS 8,1, внедрение команды ОС в Node.js), а также CVE-2022-24785 и CVE-2022-31129 (недостаток обхода пути и проблему с неэффективным алгоритмом синтаксического анализа в Moment. js).
Другие ошибки сторонних пакетов, исправленные в Splunk Enterprise, включают CVE-2021-28957 (XSS-уязвимость в чистом модуле python-lxml) и CVE-2021-3537 (недостаток разыменования NULL в libxml2).
Splunk Enterprise 8.1.13, 8.2.10 и 9.0.4 содержат исправления для всех перечисленных уязвимостей. Пользователям рекомендуется как можно скорее обновиться до исправленной версии и следовать рекомендациям по безопасности.
Наиболее серьезными являются CVE-2023-22939 и CVE-2023-22935 с оценкой CVSS 8,1. Обе затрагивают экземпляры с включенным Splunk Web и могут привести к обходу средств защиты языка обработки поиска (SPL) для рискованных команд. Для эксплуатации требуются запросы в браузере пользователем с высокими привилегиями.
CVE-2023-22934 связана с еще одним обходом защиты SPL в Splunk Enterprise и требует, чтобы аутентифицированный пользователь создал сохраненное задание, прежде чем запрос будет сделан в браузере.
Splunk также выпустила исправления для двух XSS-уязвимостей высокой степени серьезности (CVE-2023-22932 и CVE-2023-22933) и представила ресурсы для поиска признаков злонамеренной эксплуатации.
Другие исправления закрывают уязвимости средней степени серьезности, которые могут привести к раскрытию информации, отправке электронных писем в качестве экземпляра Splunk, загрузке таблиц поиска с ненужными расширениями имен файлов и подделке запросов на стороне сервера (SSRF).
Ряд других проблем приводят к перезаписи существующих RSS-каналов, сбоям демона Splunk, несанкционированным обновлениям коллекций SSG App Key Value Store и запросам к сторонним API, которые неправильно возвращаются к HTTP.
Кроме того, были выпущены исправления для многочисленных уязвимостей в сторонних библиотеках в Splunk Enterprise, наиболее серьезными из которых являются CVE-2021-3518 (оценка CVSS 8,8) и CVE-2021-3517 (оценка CVSS 8,6) в библиотеке разбора XML-документов libxml2.
Проблемы связаны с использованием после освобождения и чтением за пределами границ соответственно, и их можно использовать, отправив созданный файл для обработки уязвимым приложением. Успешная эксплуатация может повлиять на доступность, конфиденциальность и целостность приложений.
Splunk также устранил CVE-2022-32212 (оценка CVSS 8,1, внедрение команды ОС в Node.js), а также CVE-2022-24785 и CVE-2022-31129 (недостаток обхода пути и проблему с неэффективным алгоритмом синтаксического анализа в Moment. js).
Другие ошибки сторонних пакетов, исправленные в Splunk Enterprise, включают CVE-2021-28957 (XSS-уязвимость в чистом модуле python-lxml) и CVE-2021-3537 (недостаток разыменования NULL в libxml2).
Splunk Enterprise 8.1.13, 8.2.10 и 9.0.4 содержат исправления для всех перечисленных уязвимостей. Пользователям рекомендуется как можно скорее обновиться до исправленной версии и следовать рекомендациям по безопасности.
Splunk Vulnerability Disclosure
Splunk Security Advisories Archive