а вот хорошая коллекция данных о взломе MOVEit.

TL;DR 60 миллионов утекших записей индивидуальных пользователей, на 84% — жертвы в США.

techcrunch.com
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

Большой отчет Microsoft о том, какие проблемы привели к взлому китайскими хакерами большого количества правительственных имейлов. Если я все правильно понял, то вкрации ситуация такая:

внутренняя система Microsoft, которая отвечала за подписывание токенов, упала, а баг в генераторе дампов привел к. тому, что в дамп попал секретный ключ. Вторичная система проверки дампов не смогла определить наличие чувствительных данных в дампе, и перенесла его в корпоративную сеть из изолированной. параллельно китайские хакеры скомпроментировали учетку разработчика Microsoft, и получили доступ к дампу, в котором они и обнаружили ключ для подписывания токенов. Более того, они смогли также проэксплуатировать отдельный баг, чтобы получить возможность подписи корпоративных токенов. Огонь просто огонь.

Жду от конспирологов теории о том, как китайское правительство заставило сотрудников Microsoft допустить такую цепочку багов для того, чтобы получить доступ к данным правительства США.

msrc.microsoft.com
_______
Источник | #alexmakus

———————————

Oh no!

CVE-2023-4863!

WebP!

Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari!

chromereleases.googleblog.com
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/#CVE-2023-4863

и тд.
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

A vulnerability in Cisco Emergency Responder could allow an unauthenticated, remote attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted.

lol
sec.cloudapps.cisco.com

________________________
и у Atlassian там все тоже не очень. даже очень не очень — a maximum severity zero-day vulnerability

confluence.atlassian.com

https://jira.atlassian.com/browse/CONFSERVER-92475

___________________________
цитирую читателя:

“ЕЩЁ И КУРЛ ГОСПОДИ github.com”

_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

отчет о том, как различные правоохранительные ветки в США (миграционная служба, пограничная служба, Секретная служба) скупают данные о геолоакции, собранные различными приложениями на смартфонах пользователей. Отчет подготовлен офисом генерального инспектора АНБ

www.documentcloud.org

https://www.404media.co/ice-cbp-secret-service-all-broke-law-with-smartphone-location-data/
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

Не новое, но хорошее, и я, кажется, это когда-то пропустил, да и полезное напоминание, что ТГ продолжает раскрывать IP адрес пользователя благодаря настройке использования peer to peer для звонков

n0a.pw

“Сравниваем адреса с нашим публичным адресом и получаем IP адрес удаленного клиента (по пути сравнивая IP на принадлежность к AS Telegram). Бонусом скрипт делает запрос для получения информации об IP адресе, так как не обязательно IP клиента будет принадлежать сотовому оператору. Это может быть и корпоративная сетка тоже.”
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

тут какаято история про то, Евросоюз хочет обязать браузеры, доступные в европе, доверять ключам и сертификатам, выбранным европейским правительством. Что позволит им перехватывать трафик, разумеется.

last-chance-for-eidas.org
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился

arstechnica.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------

766 третьих сторон???
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------

кстати о Microsoft. отчет исследователей о том, как они смогли обойти датчики отпечатков пальцев в Windows Hello с помощью Raspberry Pi и Linux. Особенная вишенка на торте — то, что в ноутбуке Microsoft Surface компания не использует Secure Device Connection Protocol (SCDP), которая сама же разработала для валидации датчиков и шифрования передачи данных.

blackwinghq.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------

очень интересная история, которая сегодня перешла в публичное обсуждение. Офис американского сенатора Роя Вайдена получил информацию о том, что существует программа, в рамках которой правительство США запрашивает у Google и Apple информацию о пуш-уведомлениях, которые компании рассылают пользователям. в рамках офиса они провели расследование, и призвали правительство разрешить компаниям информировать пользователей об этой программе.

Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android —  Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.

И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.

письмо из офиса сенатора:
www.documentcloud.org
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------

красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность использовать 5G. Иногда - ребут модема.

asset-group.github.io
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

прикольную фичу по безопасности выкатила Apple в новой бете iOS. Она призвана бороться с кражей айфонов, когда вор по какой-то причине знает пароль к устройству (подсмотрел, например). Активировав эту фичу, пользователь получит более защищенное устройство: айфон потребует отпечаток пальца или скан лица при попытке просмотреть пароли или сбросить к заводским настройкам, выключить режим потерянного устройства, просмотреть платежные средства. И можно сделать так, что смена пароля Apple ID будет возможна только в часто посещаемых локациях: дом, офис, тд.

www.theverge.com
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

Специалисты ЛК рассказывают об «операции триангуляция», где последовательность из 4 уязвимостей нулевого дня в iOS позволяла создать эксплойт, не требовавший участия пользователя:

• Attackers send a malicious iMessage attachment, which the application processes without showing any signs to the user.
• This attachment exploits the remote code execution vulnerability CVE-2023-41990 in the undocumented, Apple-only ADJUST TrueType font instruction. This instruction had existed since the early nineties before a patch removed it.
• It uses return/jump oriented programming and multiple stages written in the NSExpression/NSPredicate query language, patching the JavaScriptCore library environment to execute a privilege escalation exploit written in JavaScript.
• This JavaScript exploit is obfuscated to make it completely unreadable and to minimize its size. Still, it has around 11,000 lines of code, which are mainly dedicated to JavaScriptCore and kernel memory parsing and manipulation.
• It exploits the JavaScriptCore debugging feature DollarVM ($vm) to gain the ability to manipulate JavaScriptCore’s memory from the script and execute native API functions.
• It was designed to support both old and new iPhones and included a Pointer Authentication Code (PAC) bypass for exploitation of recent models.
• It uses the integer overflow vulnerability CVE-2023-32434 in XNU’s memory mapping syscalls (mach_make_memory_entry and vm_map) to obtain read/write access to the entire physical memory of the device at user level.
• It uses hardware memory-mapped I/O (MMIO) registers to bypass the Page Protection Layer (PPL). This was mitigated as CVE-2023-38606.
• After exploiting all the vulnerabilities, the JavaScript exploit can do whatever it wants to the device including running spyware, but the attackers chose to: (a) launch the IMAgent process and inject a payload that clears the exploitation artefacts from the device; (b) run a Safari process in invisible mode and forward it to a web page with the next stage.
• The web page has a script that verifies the victim and, if the checks pass, receives the next stage: the Safari exploit.
• The Safari exploit uses CVE-2023-32435 to execute a shellcode.
• The shellcode executes another kernel exploit in the form of a Mach object file. It uses the same vulnerabilities: CVE-2023-32434 and CVE-2023-38606. It is also massive in terms of size and functionality, but completely different from the kernel exploit written in JavaScript. Certain parts related to exploitation of the above-mentioned vulnerabilities are all that the two share. Still, most of its code is also dedicated to parsing and manipulation of the kernel memory. It contains various post-exploitation utilities, which are mostly unused.
• The exploit obtains root privileges and proceeds to execute other stages, which load spyware. We covered these stages in our previous posts.

securelist.com
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

уязвимости в UEFI прошивке пятерки крупнейших производителей, использующих TianoCore EDK II, позволяют злоумышленникам при наличии доступа к сети заражать устройства вредоносным ПО на уровне прошивки. Опасносте сервера, которые используют PXE —  Preboot Execution Environment — когда он настроен использовать IPv6.

отчет
blog.quarkslab.com

код
https://github.com/quarkslab/pixiefail
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

С 1 марта в России вступит в силу запрет на популяризацию сервисов, позволяющих обходить блокировки, сообщает ТАСС со ссылкой на ответ Роскомнадзора в ответ на публикации о запрете VPN. Доступ к материалам, популяризирующим подобные средства, будет ограничен.
«В соответствии с законодательством в России запрещена работа средств обхода блокировок доступа к противоправному контенту с февраля 2020 года. VPN‑сервисы относятся к таким средствам, если при их использовании не ограничивается доступ к запрещённым ресурсам», — говорится в сообщении, цитата по ТАСС.

habr.com

А от запрета VPN до уголовки уже не так далеко осталось
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------

Критическая уязвимость, затрагивающая большинство дистрибутивов Linux, позволяющая установить на уровне прошивки вредоносное ПО

The vulnerability, tracked as CVE-2023-40547, is what’s known as a buffer overflow, a coding bug that allows attackers to execute code of their choice. It resides in a part of the shim that processes booting up from a central server on a network using the same HTTP that the Internet is based on. Attackers can exploit the code-execution vulnerability in various scenarios, virtually all following some form of successful compromise of either the targeted device or the server or network the device boots from.

eclypsium.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------

Сначала Эпол рассказывает о том, какой безопасный App Store и как нельзя разрешать альтернативы, потому что начнется хаос и анархия.

Потом LastPass предупреждает о том, что в официальном App Store водится фейковый менеджер паролей, всячески прикидывающийся LastPass.

blog.lastpass.com
_______
Источник | #alexmakus | #хроникицифровизации
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram