Hyper-V backdoor

https://github.com/Cr4sh/s6_pcie_microblaze/blob/master/python/payloads/DmaBackdoorHv/README.MD

up
https://t.iss.one/sysadm_in_channel/1786
фото рюкзака не удалось заполучить, божатся, что рюкзак очень хорош… (простенький опрос из 9-ти вопросов который https://ankt.cc/iElFDQ)

MS не успел произвести анонс нового интерфейса в продуктах о365 ( https://techcommunity.microsoft.com/t5/azure-active-directory-identity/upcoming-changes-to-the-azure-ad-sign-in-experience/ba-p/1185161 ) как его (новый интефейс) начали использовать в фишинговых компаниях о чем сетует-твитует сам MS ( https://twitter.com/MsftSecIntel/status/1260975500911980544 )

На моей памяти компаний связанных с фишингом интерфейсов MS великое множество, поэтому остаемся внимательными:

- с электронными письмами и файлами, полученными от неизвестных отправителей
- с неизвестными вложениями, ссылками в сообщениях электронной почты
- с фальшивыми доменными именами похожими на легитимные
- с орфографией и синтаксисом во входящих сообщениях (этот момент часто используют фишеры)

Некоторое время назад в службе удаленных рабочих столов Windows (RDP - remote desktop connection) была обнаружена уязвимость, позволяющя выполнить код удаленно, этот код мог выполнить любой неавторизованный пользователь ( https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0887 )

Для этой уязвимость MS выпустил патч (ссылка выше), собственно как казалось бы, что все хорошо, но суслик все же есть - патч оказался поверхностным и не решает корень проблемы, мало того фунция API используемая в Windows и наверняка используемая во многих проектах может по сути быть обманута одним символом (обратным слешем)

Уязвимость существует по сей день, MS размыто отвечает на прямые вопросы об этой уязвимости.

Основная суть - используя эту уязвимость, потенциально можно захватить контроль над подключаемым RDP клиентом

Детали расследования, ответ Microsoft и предыстория от первых лиц:

https://research.checkpoint.com/2020/reverse-rdp-the-path-not-taken/

Какое-то время назад был опрос от Positive Technologies (https://t.iss.one/sysadm_in_channel/1694), на который я обещал выложить результаты

Собственно специалисты по IT / ИБ рассказали, как изменилась инфраструктура в их компаниях в связи с переходом на удаленку, какое самое популярное ПО для организации удаленного доступа, как много сотрудников работают с домашних устройств и много чего еще...

В общем, все результаты можно прочитать / просмотреть в отчете
⁠

В новом релизе Kali Linux - PowerShell включен в метапакет kali-linux-large, а инсталлятор предлагает возможность выбора DE (xfce, mate, gnome, kde, lxde) ну и выбор того самого метепакета с pwsh)

Новости релиза:

https://www.kali.org/news/kali-linux-2020-2-release/

Пивной пример того, как работает резервирование в ЦОДе 🙂

https://habr.com/ru/company/dataline/blog/501848/

WordPress, интернет магазинов на нем - тьма, реализуется это при помощи плагинов один из которых WooCommerce, этот плагин активно используется для эксплуатации и получения чувствительных данных из БД, которые в том числе относятся к покупателям, заказам и покупкам (хорошо, что хоть данные платежных карт (по умолчанию) не хранятся в базе)

PoC

https://blog.sucuri.net/2020/05/wordpress-malware-collects-sensitive-woocommerce-data.html

WordPress? Да, WordPress - снова уязвимость:

https://labs.sucuri.net/unauthenticated-stored-cross-site-scripting-in-wp-support-review/

Grafana 7.0 - релиз. Новая архитектура плагинов, усовершенствоанный UX, инспектирование / экспрт данных, добавлена поддержка журналов AWS CloudWatch Logs и многое другое

Все новости релиза со скринами и описанием:

https://grafana.com/blog/2020/05/18/grafana-v7.0-released-new-plugin-architecture-visualizations-transformations-native-trace-support-and-more/

Раскрытие пароля LUKS в логах установщика Ubuntu Server (просто хранился в открытом виде)

https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-11932.html

Certified Rancher

- Introduction to RKE
- Deploying Rancher Server
- Deploying Kubernetes Clusters
- Working With Kubernetes
- Securing Kubernetes

Бесплатный курс:

https://academy.rancher.com/courses/course-v1:RANCHER+K101+2019/about

Баг в процессе аутентификации Bluetooth устройств позволяет злоумышленнику "подменить" доверенное устройство

Работает на большинстве известных девайсов. В виду этого спецификация. Bluetooth была обновлена (последняя ссылка) со слов пресс-релиза злоумышленники не смогут осуществить данный вектор атаки с учётом обновленной спецификации

Следи за своим Bluetooth, без необходимости не включай, а то мало ли что :)

https://francozappa.github.io/about-bias

https://kb.cert.org/vuls/id/647177

https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/bias-vulnerability/

Множественные уязвимости в Dovecot

В большинстве своем - отказ в обслуживании, но не только..)

https://seclists.org/fulldisclosure/2020/May/37

Помню когда-то давным-давно Symantec Gateway мы рассматривали в качестве рабочего решения, но так и не взяли этот продукт в прод

Для тех, кто использует прямо или косвенно. Уязвимости в этом продукте активно используются бонетом

PoC

https://unit42.paloaltonetworks.com/hoaxcalls-mirai-target-legacy-symantec-web-gateways/

(0Day) профиль подключения WLAN в Windows. Уязвимости - отсутствие проверки подлинности, повышение привилегий

Однако патча нет

Выполнение кода с низким уровнем привилегий > повышение привилегий

https://www.zerodayinitiative.com/advisories/ZDI-20-666/

2005 году в qmail было обнаружено три уязвимости, которые до сих пор не были пофикшены, по причине того, что они считались неэксплуатируемыми

Некоторое время назад данные уязвимости были повторно обнаружены с возможностью использовать одну из них удаленно...

Детали, описания, эксплуатация, все здесь:

https://www.openwall.com/lists/oss-security/2020/05/19/8

Публикация 2005-ого года. PoC:

https://www.guninski.com/where_do_you_want_billg_to_go_today_4.html

Windows DNS Server Denial of Service Vulnerability

или aka NXNSAttack - новая уязвимость которая затрагивает рекурсивные DNS-серверы и процесс делегирования

Предложение по митигации от одного из вендоров и собственно краткая информация от MS

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200009

Информация по BIND’у

https://kb.isc.org/docs/cve-2020-8616

По PowerDNS

https://docs.powerdns.com/recursor/security-advisories/powerdns-advisory-2020-01.html

Сайтец в честь уязвимости с кратким описанием и ссылками на CVE

https://www.nxnsattack.com

PoC

https://en.blog.nic.cz/2020/05/19/nxnsattack-upgrade-resolvers-to-stop-new-kind-of-random-subdomain-attack/

Информация на русском

https://www.securitylab.ru/news/508472.php

Ссылки не все мои, поэтому спасибо приславшему ✌️

Завтра в 14:00 (МСК) будет вебинар на тему тестирования межсетевых экранов нового поколения (NGFW) от BI.ZONE

Кому интересно, детали здесь - https://bi.zone/ru/events/ssta-day-online/

Повестка в суд, как фишинг с целью увести / ввести в заблуждение пользователей o365

Подобная атака имела место примерно год назад (а совсем недавно была похожая атака но только уведомлением о налогах) и сегодня атака успешна по нескольким причинам:

- почтовая служба o365 обрабатывает сообщение как легитимное (вообще работа этой службы под большим вопросом, так как порой даже корявый SPF не повод отправить в Junk почтовое сообщение)
- письмо спокойно прошло все EOP (Exchange Online Protection) фильтры
- четко исполненная поддельная страница авторизации в сервисах MS
- проверка авторизации при помощи легитимной Google CAPTCHA!!!
- социальный инженеринг (тон письма, выражения и тп)

Вот у кого нужно учиться мастер-классу господа безопасники (безопасники из MS и еже с ним сервисов тоже) 🙂

Рассказ от первого лица, как они столкнулись с этим фишингом + несколько скринов:

https://www.armorblox.com/blog/blox-tales-6-subpoena-themed-phishing-with-captcha-redirect/

Злоупотребление технологии WebRTC для выявления данных местоположения в Signal мессенджере или "я тебя по IP вычислю"

Мессенджер Signal позиционируется как особо защищённое средство обмена информацией, в котором используется сквозное шифрование.. бла, бла...

Стоит отметить, что это не проблема в коде Signal, проблема из-за того, что WebRTC выполняет DNS-запросы (зачем см ниже), команда Signal этот момент то-же активно старается решить с разработчиками Chromium, дискуссии пока идут в этом отношении. Со слов автора нижеприведенного ресерча, сама по себе команда Signal оперативно реагирует и правит баги в самом приложении (что довольно похвально)

Суть - WebRTC использует DNS для поиска оптимального "пути" для соединения с абонентом, разоблачение DNS помогает вычислить IP ближайшего DNS сервера к пользователю тем самым потенциально раскрывая его локацию

Кто пользуется, ждем обновлений, которые команда Signal обещает скоро выпустить

https://medium.com/tenable-techblog/turning-signal-app-into-a-coarse-tracking-device-643eb4298447