#news Обновили log4j до 2.16.0 и рады? А радоваться рано. Apache выпустила патч 2.17.0, закрывающий серьёзную DoS-уязвимость.

PoC: ${${::-${::-$${::-j}}}}.

Обновляемся до 2.17.0 и ждём неизбежного продолжения этой праздничной эпопеи.

@tomhunter

#news Новое вредоносное ПО под названием DarkWatchman появилось у киберпреступников. Это легкий и высокопроизводительный JavaScript RAT (троян для удаленного доступа) в сочетании с кейлоггером C#. DarkWatchman - это очень легкая программа, размер JavaScript RAT составляет всего 32 КБ, а скомпилированная программа занимает всего 8,5 КБ. Первые признаки существования DarkWatchman появились в начале ноября, когда злоумышленник начал распространять вредоносное ПО через фишинговые электронные письма с вредоносными вложениями в формате ZIP. Эти вложения и содержали исполняемый файл, использующий значок для имитации текстового документа. Он представлял собой самоустанавливающийся архив WinRAR, запускающий RAT и кейлоггер.

@tomhunter

#news Хакеры, распространяющие рансомварь Conti, взломали через Log4j сервера VMware vCenter. Сама VMware ранее публиковала список из 40 своих продуктов, уязвимых к Log4j. Увы, патча для взломанных версий vCenter пока просто нет.

Компания объяснила, что злоумышленник сможет добраться и до сервера vCenter, который обычно скрыт от посторонних, если получит доступ к одному из уязвимых продуктов.

Кроме того, через уже набившую всем оскомину Log4j начали распространять ещё и рансомварь TellYouThePass, о которой уже год как ничего не было слышно. Раньше она работала под Windows, а теперь и Линукс-версию завезли.

@tomhunter

#news Исследователи обнаружили разработанный израильской компанией NSO Group эксплойт для iOS, позволявший получить доступ к устройству и его данным. Для его запуска достаточно отправить на устройство жертвы файл с расширением GIF, который формирует в памяти гаджета виртуальный компьютер. На самом деле вместо GIF-файла злоумышленник, использующий эксплойт, присылает на устройство файл PDF, который и пытается рендерить компонент iMessage. Уязвимость была устранена в iOS 14.8.

@tomhunter

#news Microsoft предупредила клиентов, что необходимо исправить две уязвимости CVE-2021-42287 и CVE-2021-42278, связанных с повышением привилегий службы домена Active Directory, которые в совокупности позволяют злоумышленникам легко захватывать домены Windows.

@tomhunter

#news В конце 2017 года в недрах Вашингтонского университета появилось исследование, показавшее возможность одним лицам бесконтрольно следить за перемещениями других лиц. Появившийся метод назвали "ADINT" (от англ. advertising intelligence) - рекламная разведка.

Преимуществом нового метода сбора данных явилась его независимость от того факта, продолжал ли исследуемый пользоваться своим мобильником или электронной почтой - идентификация его производилась на основе уникального кода рекламной идентификации.

В приложенном слайде показан факт выявления уникального кода идентификации конкретного пользователя при установлении корреляции данных экспериментальной и контрольной группы в сервисе Яндекс.Аудитории. Мы можем видеть половозрастные показатели пользователя, его возраст, город проживания, используемое устройство и поисковые интересы.

@tomhunter

#news Теневой маркетплейс «2easy» становится важным игроком по продаже логов, собранных примерно с 600 000 устройств, зараженных вредоносным ПО. Журналы доступны для покупки всего за 5 долларов за штуку... недорого. Единственным недостатком по сравнению с другими платформами является то, что 2easy не дает потенциальным покупателям предварительный просмотр проданного товара, такого как отредактированный IP-адрес или версию ОС для устройства, на котором были украдены данные.

@tomhunter

#news В Microsoft Teams, оказывается, с марта есть 4 непропатченные уязвимости. Устранили пока только одну.

Все проблемы касаются предпросмотра ссылок: Teams автоматически генерирует для ссылки обыкновенную превьюшку. Возможности эти уязвимости дают широкие: спуфинг ссылок, плюс слив IP-адресов и DoS-атаки на Android-пользователей.

@tomhunter

#news Доступ к популярным сайтам и приложениям Amazon, AWS, Hulu, Slack, Imgur, Asana, Grindr, Scruff, HubSpot, Zendesk , а также другим прекратился... Amazon подтвердила, что отключение электроэнергии в ее центре обработки данных US-EAST-1 влияет на услуги, которые зависят от конкретной «зоны доступности». Сегодняшние проблемы с отключением и подключением связаны с двумя недавними событиями, произошедшими на прошлой неделе, включая проблемы с сетью Cloudflare, и предыдущий сбой AWS, который вызвал сбои в работе Twitch, Zoom, PSN, Hulu и других сервисов.

@tomhunter

#news Тут VK (она же бывшая Mail.Ru) рассказала о планах обновить программу защиты данных пользователей. Новую систему решили назвать VK Protect.

Что нового:
⋅ двухфакторка через VK ID появится на всех сервисах компании, плюс на сторонних проектах — на сайтах и в приложениях;
⋅ c февраля 2022 года двухфакторка станет обязательной для администраторов сообществ с 10 и более тысячами подписчиков;
⋅ в кабинете VK ID появится центр управления безопасностью;
⋅ обновят багбаунти-программу — расширят её и повысят вознаграждения.

@tomhunter

#news Вредоносное ПО DrideX троллит сотрудников фальшивыми email о предстоящем увольнении. Электронные письма содержат защищенную паролем электронную таблицу Excel с именем TermList, которая якобы содержит информацию о причинах увольнений и пароль, необходимый для открытия документа.

Затем вредоносные макросы создают или запускают HTA- файл, сохраненный в папке C:\ProgramData. Этот файл HTA со случайным названием выдает себя за RTF-файла, но содержит вредоносный сценарий VbScript, который загружает DrideX из Discord для заражения устройства и желает жертве счастливого Рождества.

@tomhunter

#news Microsoft сообщила об отсутствии необходимости в устранении каких-либо уязвимостей, которые могли бы повлиять на функцию предварительного просмотра ссылок Microsoft Team, которая была анонсирована с марта 2021 года. Напомню, всего известно о четырех уязвимостях, ведущих к подделке серверных запросов (SSRF), подделке предварительного просмотра URL, утечке IP-адреса (Android) и отказу в обслуживании (DoS).

▶️ https://vimeo.com/659403127

@tomhunter

#news К слову о. В Microsoft Azure App Service уже как минимум 4 года (с 2017) есть уязвимость, позволяющая злоумышленникам получать исходный код приложений. Исследователи назвали её NotLegit.

Касается проблема только Linux-клиентов. Исследователи решили проверить, эксплойтят ли эту уязвимость, на тестовом приложении. Смотреть его код кто-то пришёл уже через 4 дня — впрочем, вполне возможно, что этот кто-то просто пытался найти открытые .git-папки, а не пользовался известной ему уязвимостью.

Проблему уже устранили для большей части затронутых клиентов, а меньшая часть получила письма с инструкциями по защите.

@tomhunter

#news В некоторых версиях одного из самых популярных WordPress-плагинов All in one SEO — им пользуется более 3 миллионов проектов — есть две критические уязвимости, позволяющие любому пользователю захватить сайт.

Для взлома достаточно иметь на сайте обычный пользовательский аккаунт: по умолчанию WordPress позволяет их создавать всем.

С помощью первой уязвимости можно подсадить на сайт бэкдор и поднять своему аккаунту права до администраторских. С помощью второй — через API-эндпоинт связаться с базой данных и вытянуть из неё всё, что захочется, включая логины и пароли пользователей.

Исследователи советуют обновиться до последней версии, в которой эти уязвимости устранены. Ещё рекомендуют проверить, не появилось ли на сайте подозрительных админских аккаунтов, сменить все пароли и добавить к администраторской панели дополнительную защиту. Не думаю, правда, что стоит ради этого докручивать к сайту ещё плагинов — мало ли что…

@tomhunter

#news Устали уже слушать про Log4j, о которой доносится из каждого утюга? Понимаю. Поэтому вот вам ещё две новенькие уязвимости, на этот раз в Apache HTTPD: CVE-2021-44790 и CVE-2021-44224.

Что известно:
⋅ CVE-2021-44790 связана с возможностью переполнения буфера, CVE-2021-44224 — с разыменованием нулевого указателя;
⋅ Уязвимы версии 2.4.51 и младше;
⋅ Патч уже есть;
⋅ Обновиться до этого патча однозначно стоит — уязвимости угрожают RCE и DoS-атаками.

HTTPD, конечно, по своей вездесущности не сильно уступает Log4j, и исследователи предрекают новую радостную волну эксплойтов уже этих уязвимостей. Весёлый конец года выдался.

@tomhunter

#news Тут в Телеграме уже пару месяцев гуляет малварь Echelon, ворующая деньги из популярных криптокошельков и данные от аккаунтов самого Телеграма, Дискорда, NordVPN и кучи других сервисов. Полный список есть по ссылке.

И малварь, и способы ее распространения крайне примитивны, поэтому исследователи считают, что все это дело рассчитано на совсем неопытных в теме пользователей.

Малварь доставляют в RAR-архиве present).rar. Ох уж эти коварные скобочки… Сам зловред Present.exe неплохо защищен от анализа, но исследователи его всё-таки вскрыли. Выяснилось, что он будет пытаться красть данные с каждого сайта, который открывает пользователь.

@tomhunter

#news DrideX продолжают в том же духе. Теперь работники получают письма о том, что они прошли тест на омикрон-штамм ковида с положительным результатом. Подробности предлагают смотреть во вложениях.

Во вложениях лежит Excel-документ, пароль от которого заботливо отдает письмо. Как только жертва его вводит, документ рекомендует включить макросы, чтобы увидеть контент. Разрешение макросов, конечно, селит на устройстве малварь, а пользователя добивают окном с номером телефона «горячей линии помощи по ковидным похоронам».

@tomhunter

#news Исследователи рассказали про уязвимость в macOS, позволявшую приложениям обходить вообще всю встроенную защиту, включая Gatekeeper и File Quarantine. Уязвимость, к счастью, устранили ещё в сентябре.

Секрет очень прост: чтобы встроенная защита в macOS 11.5 и младше пропустила зловредный скрипт в систему и не проверяла его подпись, достаточно было… просто не указывать интерпретатор для него.

Проникнув таким нехитрым образом в систему, малварь могла уже спокойно догрузить всё, что захочет.

@tomhunter

#news Если раньше типичный образ директора по безопасности на предприятии ассоциировался с выходцем из органов на пенсии, то сегодня это другое амплуа. Он должен быть прозорливым и сведущим, как и раньше, но к уму и скорости реакции прибавились серьезные компетенции в цифровой и физической безопасности. О работе на стыке профессий и об обеспечении периметра защиты собственника журналистам рассказал руководитель департамента информационно-аналитических исследований компании T.Hunter.

@tomhunter

#news Госуслуги взломаны?!?! Исследователи сообщают о выявление серьезной уязвимости на госпортале. Уязвимость могла возникнуть в результате того, что разработчики Госуслуг не ограничили доступ к каталогу .git, в результате чего стало возможным получить доступ к исходному коду. Для личного ознакомления предлагается скачать исходный код Госуслуг.

@tomhunter

#news Оказывается, около двух недель назад популярный сервис для фото Shutterfly атаковали рансомварью Conti. Вирус зашифровал под 4 тысячи устройств и 120 серверов VMware ESXi. Компания говорит, что пострадали её внутренняя корпоративная сеть, а также сервисы LifeTouch, BorrowLenses и Groovebook.

Shutterfly ведёт переговоры со взломщиками, которые требуют миллионы долларов выкупа.

На свой сайт хакеры выложили скриншоты файлов, которые собрали с серверов компании для сговорчивости. В том числе там есть и пользовательские данные — например, последние 4 цифры номеров карт.

@tomhunter