Microsoft и уязвимость macOS с доступом к защищенным данным пользователя.
Уязвимость powerdir или CVE-2021-30970 была найдена исследовательской группой компании Microsoft. Данная уязвимость относится macOS и используется для обхода технологии прозрачности, согласия и контроля (TCC), с получением доступа к защищенным данным пользователей.
TCC — это давно работающая функция macOS, которая позволяет пользователям настраивать параметры конфиденциальности своих приложений. С помощью фальшивой базы данных злоумышленник может захватить приложение, установленное на Mac, или установить собственное вредоносное приложение, получая доступ к микрофону и камере для получения конфиденциальных данных.
Для защиты компания Apple ограничила доступ к TCC только приложениями с полным доступом к диску и настроила функции для автоматической блокировки несанкционированного выполнения кода. Но исследователи безопасности Microsoft смогли найти обход данной защиты. С помощью изменения домашнего каталога можно внедрить поддельную базу данных TCC, в которой хранится история согласия на запросы приложений и получить доступ к защищенной информации пользователя.
Принцип работы понятен и прост, злоумышленник может взломать приложение, установленное на устройстве, или установить свое собственное. А после получить доступ к смартфону, делать скриншоты информации, отображенной на экране или же записывать разговоры с помощью микрофона.
Apple уже смогли исправить данную уязвимость в обновлениях безопасности, выпущенных в прошлом месяце 13 декабря 2021 года. А также пофиксили ряд других обходов TCC. В них входят: CVE-2020-9771 (которая использовалась для резервного копирования и восстановления данных, в список которых входил файл TCC.db, с его помощью можно было определить политику TCC устройства без полного доступа к диску), CVE-2020-9934 (с помощью среды $ HOME, можно было заменить встроенный TCC.db, на необходимый.) и CVE-2021-30713 (из-за данной ошибки, macOS выводила информацию из набора приложений, благодаря чему можно было установить свой код приложения в комплект целевого приложения и «унаследовать» его возможности TCC.).
Казалось бы, все проблемы ушли с выходом обновления. Но исследователи компании Microsoft также обнаружили новые варианты вредоносного ПО macOS WizardUpdate (он же UpdateAgent или Vigram), дополненные новыми тактиками уклонения и сохранения.
@NeKaspersky
Уязвимость powerdir или CVE-2021-30970 была найдена исследовательской группой компании Microsoft. Данная уязвимость относится macOS и используется для обхода технологии прозрачности, согласия и контроля (TCC), с получением доступа к защищенным данным пользователей.
TCC — это давно работающая функция macOS, которая позволяет пользователям настраивать параметры конфиденциальности своих приложений. С помощью фальшивой базы данных злоумышленник может захватить приложение, установленное на Mac, или установить собственное вредоносное приложение, получая доступ к микрофону и камере для получения конфиденциальных данных.
Для защиты компания Apple ограничила доступ к TCC только приложениями с полным доступом к диску и настроила функции для автоматической блокировки несанкционированного выполнения кода. Но исследователи безопасности Microsoft смогли найти обход данной защиты. С помощью изменения домашнего каталога можно внедрить поддельную базу данных TCC, в которой хранится история согласия на запросы приложений и получить доступ к защищенной информации пользователя.
Принцип работы понятен и прост, злоумышленник может взломать приложение, установленное на устройстве, или установить свое собственное. А после получить доступ к смартфону, делать скриншоты информации, отображенной на экране или же записывать разговоры с помощью микрофона.
Apple уже смогли исправить данную уязвимость в обновлениях безопасности, выпущенных в прошлом месяце 13 декабря 2021 года. А также пофиксили ряд других обходов TCC. В них входят: CVE-2020-9771 (которая использовалась для резервного копирования и восстановления данных, в список которых входил файл TCC.db, с его помощью можно было определить политику TCC устройства без полного доступа к диску), CVE-2020-9934 (с помощью среды $ HOME, можно было заменить встроенный TCC.db, на необходимый.) и CVE-2021-30713 (из-за данной ошибки, macOS выводила информацию из набора приложений, благодаря чему можно было установить свой код приложения в комплект целевого приложения и «унаследовать» его возможности TCC.).
Казалось бы, все проблемы ушли с выходом обновления. Но исследователи компании Microsoft также обнаружили новые варианты вредоносного ПО macOS WizardUpdate (он же UpdateAgent или Vigram), дополненные новыми тактиками уклонения и сохранения.
@NeKaspersky
👍5💩4
Intezer рассказали о новом бэкдоре под windows, Linux и macOS.
По словам исследователей, версии SysJoker (так они окрестили вредонос) под Linux и macOS на момент публикации статьи вообще не определяются на virustotal, в то время как версия под windows может похвастать шестью детектами.
В статье приведен анализ windows-версии, но версии для других ОС имеют в основном архитектурные различия: например, использование cron для автозагрузки под Linux вместо ключа реестра под windows. Также, только для windows в качестве первой стадии используется дроппер. В данном случае последовательность действий такова: запущенный дроппер с помощью powershell скачивает с C2 сервера злоумышленников zip-архив с SysJoker, распаковывает, запускает; SysJoker в свою очередь ожидает 1.5 - 2 минуты и копируется в C:\ProgramData\SystemData\igfxCUIService.exe (ожидание - попытка обойти динамический анализ антивирусов, копирование - попытка спрятаться под видом Intel-овского драйвера графики) и добавляет себя в автозагрузку. Между перечисленными операциями вредонос также может вздремнуть.
Во время работы SysJoker собирает информацию, такую как MAC-адреса, имя пользователя, серийники различных железок в системе и ip-шники, и отправляет ее на C2-сервера. Список серверов получается из google диска, при этом ссылка жестко закодирована в исполняемом файле вредоноса.
Исследователи обнаружили, что анализируемый сэмпл способен обрабатывать целых 2 типа команд: exe и cmd. Первая повторяет функциональность дроппера, вторая - выполняет команду и отправляет ее результат. Несмотря на столь впечатляющие возможности, исследователи считают, что авторы вредоноса далеко не новички, поскольку весь код был написан с 0 и после компрометации тестовой системы никаких команд с C2 не последовало(это косвенно говорит о том, что данный софт используется для компрометации заранее выбранных систем).
@NeKaspersky
По словам исследователей, версии SysJoker (так они окрестили вредонос) под Linux и macOS на момент публикации статьи вообще не определяются на virustotal, в то время как версия под windows может похвастать шестью детектами.
В статье приведен анализ windows-версии, но версии для других ОС имеют в основном архитектурные различия: например, использование cron для автозагрузки под Linux вместо ключа реестра под windows. Также, только для windows в качестве первой стадии используется дроппер. В данном случае последовательность действий такова: запущенный дроппер с помощью powershell скачивает с C2 сервера злоумышленников zip-архив с SysJoker, распаковывает, запускает; SysJoker в свою очередь ожидает 1.5 - 2 минуты и копируется в C:\ProgramData\SystemData\igfxCUIService.exe (ожидание - попытка обойти динамический анализ антивирусов, копирование - попытка спрятаться под видом Intel-овского драйвера графики) и добавляет себя в автозагрузку. Между перечисленными операциями вредонос также может вздремнуть.
Во время работы SysJoker собирает информацию, такую как MAC-адреса, имя пользователя, серийники различных железок в системе и ip-шники, и отправляет ее на C2-сервера. Список серверов получается из google диска, при этом ссылка жестко закодирована в исполняемом файле вредоноса.
Исследователи обнаружили, что анализируемый сэмпл способен обрабатывать целых 2 типа команд: exe и cmd. Первая повторяет функциональность дроппера, вторая - выполняет команду и отправляет ее результат. Несмотря на столь впечатляющие возможности, исследователи считают, что авторы вредоноса далеко не новички, поскольку весь код был написан с 0 и после компрометации тестовой системы никаких команд с C2 не последовало(это косвенно говорит о том, что данный софт используется для компрометации заранее выбранных систем).
@NeKaspersky
👍5😱5🔥4
Команда PatchWork заразила свои компьютеры трояном Ragnatela, который сама же и разработала. Вот кому точно нужно вручить в этом году Шнобелевскую премию.
PatchWork — индийская кибергруппировка. Они известны ещё с 2015 года, прежде всего тем, что используют скопированный у других код.
В общем, эта малварь Ragnatela может перехватывать нажатия клавиш, делать скриншоты, воровать файлы и много всего ещё. Благодаря тому, что индийцы заразили самих себя, эксперты по ИБ смогли смотреть информацию на их ПК и отследить их.
Специалисты из Malwarebytes говорят, что восточноазиатские хакеры очень примитивные и не так сложны, как российские или северокорейские.
@NeKaspersky
PatchWork — индийская кибергруппировка. Они известны ещё с 2015 года, прежде всего тем, что используют скопированный у других код.
В общем, эта малварь Ragnatela может перехватывать нажатия клавиш, делать скриншоты, воровать файлы и много всего ещё. Благодаря тому, что индийцы заразили самих себя, эксперты по ИБ смогли смотреть информацию на их ПК и отследить их.
Специалисты из Malwarebytes говорят, что восточноазиатские хакеры очень примитивные и не так сложны, как российские или северокорейские.
@NeKaspersky
😁18👍2
Россияне оказались в топ-20 транжир в мобильных приложениях по данным отчета App Annie.
Итак, пользователи из России потратили в мобильных приложениях за 2021 $1,5 млрд. 70% ушло на мобильные игры.
Во всем мире на мобильные приложения потратили $170 млрд. Рост по сравнению с прошлым годом — 20%, а общее количество установок приложений в год около 240 млрд раз.
В среднем мы стали проводить в телефоне около 5 часов в день. Кстати, средний американец по сравнению со средним жителем мира тратит в телефоне меньше времени — около 4-х часов.
На первом месте по скачиваниям приложений Китай(98,3 млрд загрузок), на втором Индия(более 26,5 млрд), на третьем США(более 12,1 млрд). Россияне скачали приложения 5,5 млрд раз.
@NeKaspersky
Итак, пользователи из России потратили в мобильных приложениях за 2021 $1,5 млрд. 70% ушло на мобильные игры.
Во всем мире на мобильные приложения потратили $170 млрд. Рост по сравнению с прошлым годом — 20%, а общее количество установок приложений в год около 240 млрд раз.
В среднем мы стали проводить в телефоне около 5 часов в день. Кстати, средний американец по сравнению со средним жителем мира тратит в телефоне меньше времени — около 4-х часов.
На первом месте по скачиваниям приложений Китай(98,3 млрд загрузок), на втором Индия(более 26,5 млрд), на третьем США(более 12,1 млрд). Россияне скачали приложения 5,5 млрд раз.
@NeKaspersky
👍2😁2👎1
Фрау Ненси Фезер, министр внутренних дел Германии угрожает Павлу Дурову. Говорит, что отрубит Телеграм во всей стране, так как в мессенджере по ее мнению сидят одни антиваксеры и националисты.
Но сначала она хочет, чтобы ей прислали человека из команды Telegram, с которым она бы «поговорила».
Не одни дубайские эскортницы претендуют на внимание Павла Валерьевича.
@NeKaspersky
Но сначала она хочет, чтобы ей прислали человека из команды Telegram, с которым она бы «поговорила».
Не одни дубайские эскортницы претендуют на внимание Павла Валерьевича.
@NeKaspersky
😁16👍4😱2
Итоги первого в этом году patch tuesday от microsoft.
Пофиксили суммарно 96, что на 29 больше, чем в прошлом месяце, уязвимостей разной степени критичности (RCE, privesc, spoofing, xss)в целом зоопарке продуктов, например, microsoft exchange server, microsoft office, windows kernel, windows defender, RDP, windows certificate, microsoft teams.
Среди исправленного наибольший интерес вызывают, очевидно, 0day, а их целых 6:
• CVE-2021-22947 - RCE-уязвимость в curl, позволяющая осуществить атаку Man-in-The-Middle;
• CVE-2021-36976 — use-after-free в libarchive, приводящая к RCE;
• CVE-2022-21874 — RCE в api windows security center;
• CVE-2022-21919 — локальное повышение привилегий через windows user profile service, доступен PoC;
• CVE-2022-21839 — DoS-уязвимость в windows event tracing discretionary access control list;
• CVE-2022-21836 — спуфинг сертификатов, PoC так же существует.
В отличие от декабрьских 0day, нынешние в эксплуатации, кажется, замечены, не были, что, несомненно, радует.
Самым опасным назвали червеобразный баг CVE-2022-21907. Эксплойт может самостоятельно распространяться и взламывать устройства без взаимодействия с пользователем. Уязвимость могут задействовать в атаке с помощью отправки специально созданных пакетов.
@NeKaspersky
Пофиксили суммарно 96, что на 29 больше, чем в прошлом месяце, уязвимостей разной степени критичности (RCE, privesc, spoofing, xss)в целом зоопарке продуктов, например, microsoft exchange server, microsoft office, windows kernel, windows defender, RDP, windows certificate, microsoft teams.
Среди исправленного наибольший интерес вызывают, очевидно, 0day, а их целых 6:
• CVE-2021-22947 - RCE-уязвимость в curl, позволяющая осуществить атаку Man-in-The-Middle;
• CVE-2021-36976 — use-after-free в libarchive, приводящая к RCE;
• CVE-2022-21874 — RCE в api windows security center;
• CVE-2022-21919 — локальное повышение привилегий через windows user profile service, доступен PoC;
• CVE-2022-21839 — DoS-уязвимость в windows event tracing discretionary access control list;
• CVE-2022-21836 — спуфинг сертификатов, PoC так же существует.
В отличие от декабрьских 0day, нынешние в эксплуатации, кажется, замечены, не были, что, несомненно, радует.
Самым опасным назвали червеобразный баг CVE-2022-21907. Эксплойт может самостоятельно распространяться и взламывать устройства без взаимодействия с пользователем. Уязвимость могут задействовать в атаке с помощью отправки специально созданных пакетов.
@NeKaspersky
👍6🔥2
«Я уже говорил тебе, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение.» - Ваас Монтенегро.
Мошенники убедили техподдержку EA сменить email в топовых учетках FIFA Ultimate Team весьма незамысловатым способом: как сообщает FUTDonkey, один из пострадавших, злоумышленники воспользовались функцией live chat и многократно отправляли соответствующие запросы, пока не натыкались на сотрудника, который, забив на все меры предосторожности, без лишних вопросов проводил запрошенную процедуру. У пострадавших воровали внутриигровую валюту.
Если верить EA, проблема затронула менее пятидесяти аккаунтов; на момент публикации ведется работа по определению легитимных владельцев угнанных учеток и восстановлению доступа к ним.
Также EA принесли публичные извинения в связи с инцидентом и предприняли следующие действия:
• Отправили всех сотрудников техподдержки с доступом к аккаунтам на повторное обучение с отдельной проработкой фишинговых стратегий, использованных в этом случае;
• Начали разработку дополнительных шагов, необходимых для верификации владельца аккаунта (например, обязательное утверждение запросов на смену email у руководителя отдела);
• Обещали научить свой софт лучше распознавать потенциально вредоносную активность, определять аккаунты, вероятность атак на которые выше и в дальнейшем свести риск подобных инцидентов к минимуму.
@NeKaspersky
Мошенники убедили техподдержку EA сменить email в топовых учетках FIFA Ultimate Team весьма незамысловатым способом: как сообщает FUTDonkey, один из пострадавших, злоумышленники воспользовались функцией live chat и многократно отправляли соответствующие запросы, пока не натыкались на сотрудника, который, забив на все меры предосторожности, без лишних вопросов проводил запрошенную процедуру. У пострадавших воровали внутриигровую валюту.
Если верить EA, проблема затронула менее пятидесяти аккаунтов; на момент публикации ведется работа по определению легитимных владельцев угнанных учеток и восстановлению доступа к ним.
Также EA принесли публичные извинения в связи с инцидентом и предприняли следующие действия:
• Отправили всех сотрудников техподдержки с доступом к аккаунтам на повторное обучение с отдельной проработкой фишинговых стратегий, использованных в этом случае;
• Начали разработку дополнительных шагов, необходимых для верификации владельца аккаунта (например, обязательное утверждение запросов на смену email у руководителя отдела);
• Обещали научить свой софт лучше распознавать потенциально вредоносную активность, определять аккаунты, вероятность атак на которые выше и в дальнейшем свести риск подобных инцидентов к минимуму.
@NeKaspersky
👍7😱3💩3😁2
Команда Claroty82 в сотрудничестве с исследовательской группой Snyk провела обширный исследовательский проект, проанализировав 16 популярных сторонних библиотек для парсинга URL. Целых 8 из них относятся к веб-приложениям, сторонним библиотекам (написанных на языках C, JavaScript, PHP, Python и Ruby) и имеют несоответствия, которые могут использоваться для обхода проверок и создания широкого спектра векторов атак.
Унифицированный указатель ресурса (URL-адрес) — система унифицированных адресов электронных ресурсов, или единообразный определитель местонахождения ресурса (файла). Получается, все уязвимости безопасности, в которых сервера и приложения используют URL, могут создавать значительные проблемы для пользователей.
Как заявляют исследователи, путаница при синтаксическом анализе URL-адресов может привести к неожиданному поведению программного обеспечения, вследствии чего может появиться утечка информации или же проведения атак с удаленным выполнением кода.
Обход связан с тем, что внутри процесса поиска JNDI использовались два разных анализатора URL-адресов — один анализатор для проверки URL-адреса, а другой для его извлечения. А поскольку каждый из них работает по-своему, компонент Authority также меняется.
В основном, если ввод обрабатывается как обычный URL-адрес HTTP, компонент Authority (комбинация имени домена;номера;порта и выглядит как: [ userinfo "@" ] host [ ":" port ]) заканчивается при обнаружении идентификатора фрагмента, тогда как при обработке в качестве URL-адреса LDAP анализатор назначит весь «127.0.0[.]1#.evilhost.com:1389» в качестве центра, поскольку спецификация URL-адреса LDP не учитывает фрагмент.
Причин, по которым были обнаружены восемь уязвимостей, всего две. Основная относится к использованию нескольких синтаксических анализаторов. Вторая причина связана с проблемой, возникающий из-за несоответствий, когда библиотеки следуют разным спецификациям URL-адресов, что и создает дыру для злоумышленников.
@NeKaspersky
Унифицированный указатель ресурса (URL-адрес) — система унифицированных адресов электронных ресурсов, или единообразный определитель местонахождения ресурса (файла). Получается, все уязвимости безопасности, в которых сервера и приложения используют URL, могут создавать значительные проблемы для пользователей.
Как заявляют исследователи, путаница при синтаксическом анализе URL-адресов может привести к неожиданному поведению программного обеспечения, вследствии чего может появиться утечка информации или же проведения атак с удаленным выполнением кода.
Обход связан с тем, что внутри процесса поиска JNDI использовались два разных анализатора URL-адресов — один анализатор для проверки URL-адреса, а другой для его извлечения. А поскольку каждый из них работает по-своему, компонент Authority также меняется.
В основном, если ввод обрабатывается как обычный URL-адрес HTTP, компонент Authority (комбинация имени домена;номера;порта и выглядит как: [ userinfo "@" ] host [ ":" port ]) заканчивается при обнаружении идентификатора фрагмента, тогда как при обработке в качестве URL-адреса LDAP анализатор назначит весь «127.0.0[.]1#.evilhost.com:1389» в качестве центра, поскольку спецификация URL-адреса LDP не учитывает фрагмент.
Причин, по которым были обнаружены восемь уязвимостей, всего две. Основная относится к использованию нескольких синтаксических анализаторов. Вторая причина связана с проблемой, возникающий из-за несоответствий, когда библиотеки следуют разным спецификациям URL-адресов, что и создает дыру для злоумышленников.
@NeKaspersky
Claroty
Exploiting URL Parsing Confusion
Discover how inconsistencies in different libraries parse URLs can be abused by attackers with Team82 and Claroty.
👍5🤮1
This media is not supported in your browser
VIEW IN TELEGRAM
У пользователей Face Pay в московском метро деньги списались несколько раз. Говорят, что из-за плановых работ😂
💩31👍3👎3😁2
Тюрьма в США пострадала от шифровальщика.
По сообщениям Albuquerque Journal, 5 января была атакаована тюрьмa в округе Берналилло, Нью-Мексико. В стенах заведения упало буквально все: система видеонаблюдения (самое тревожное из последствий, по заверениям Тейлор Ран, прокурорф округа), удаленное управление дверьми камер, бд, содержащая информацию о внутренних правонарушениях, доступ в интернет.
В результате инцидента некоторые заключенные не могли покинуть камеры, другие - попасть в них; последних сначала временно определяли в изолятор, но после - смогли открыть камеры по-старинке, с помощью ключей. Все запланированные встречи заключенных с родственниками были также отменены.
Отключение коммуникаций может стать причиной исков в отношении пенетенциарного заведения, так как это нарушает соглашение от 1995 года, которое утверждает право заключенных на получение регулярного доступа к средствам связи.
Администрация тюрьмы уведомила Федеральный суд США о том, что доступ заключенных к телефонам и планшетам будет временно ограничен.
@NeKaspersky
По сообщениям Albuquerque Journal, 5 января была атакаована тюрьмa в округе Берналилло, Нью-Мексико. В стенах заведения упало буквально все: система видеонаблюдения (самое тревожное из последствий, по заверениям Тейлор Ран, прокурорф округа), удаленное управление дверьми камер, бд, содержащая информацию о внутренних правонарушениях, доступ в интернет.
В результате инцидента некоторые заключенные не могли покинуть камеры, другие - попасть в них; последних сначала временно определяли в изолятор, но после - смогли открыть камеры по-старинке, с помощью ключей. Все запланированные встречи заключенных с родственниками были также отменены.
Отключение коммуникаций может стать причиной исков в отношении пенетенциарного заведения, так как это нарушает соглашение от 1995 года, которое утверждает право заключенных на получение регулярного доступа к средствам связи.
Администрация тюрьмы уведомила Федеральный суд США о том, что доступ заключенных к телефонам и планшетам будет временно ограничен.
@NeKaspersky
😁6😱3💩3
Сторонний софт для автомобилей Tesla подвергает пользователей возможности взлома.
19-летний исследователь безопасности из Германии, Дэвид Коломбо, обнаружил уязвимости в программном продукте, используемом с относительно небольшой пользовательской аудиторией. В интервью Bloomberg он cобщил, что смог таким образом получить доступ к более чем 25 автомобилям в 13 странах мира. При этом в перечень доступных ему действий входили: использование гудка и фар, доступ к стереосистеме автомобиля, возможность управления открытием окон, возможность завести машину без ключа и отключить системы безопасности.
Дэвид сказал, что несмотря на то, что данные уязвимости не позволяют непосредственно перехватить управление автомобилем, они могут быть использованы чтобы спровоцировать аварию (например, водитель будет не то чтобы рад если во время движения по шоссе у него резко откроются окна, на максимальной громкости заиграет музыка, а фары притворятся стробоскопом).
По словам исследователя, на текущий момент он сообщил Tesla и производителям софта детали данной уязвимости, в связи с чем он попросил Bloomberg воздержаться от публикации подробностей эксплуатации бага. Однако, он также сказал, что проблема связана с тем, что разработчики использовали небезопасный способ хранения информации, необходимой программе для взаимодействия с авто.
@NeKaspersky
19-летний исследователь безопасности из Германии, Дэвид Коломбо, обнаружил уязвимости в программном продукте, используемом с относительно небольшой пользовательской аудиторией. В интервью Bloomberg он cобщил, что смог таким образом получить доступ к более чем 25 автомобилям в 13 странах мира. При этом в перечень доступных ему действий входили: использование гудка и фар, доступ к стереосистеме автомобиля, возможность управления открытием окон, возможность завести машину без ключа и отключить системы безопасности.
Дэвид сказал, что несмотря на то, что данные уязвимости не позволяют непосредственно перехватить управление автомобилем, они могут быть использованы чтобы спровоцировать аварию (например, водитель будет не то чтобы рад если во время движения по шоссе у него резко откроются окна, на максимальной громкости заиграет музыка, а фары притворятся стробоскопом).
По словам исследователя, на текущий момент он сообщил Tesla и производителям софта детали данной уязвимости, в связи с чем он попросил Bloomberg воздержаться от публикации подробностей эксплуатации бага. Однако, он также сказал, что проблема связана с тем, что разработчики использовали небезопасный способ хранения информации, необходимой программе для взаимодействия с авто.
@NeKaspersky
😱4🤮2👍1
Не хочется лезть в политику и затрагивать политические темы. Однако в некоторых ситуациях промолчать трудно. Вот очередной пример, когда американцы сами лезут на рожон и накаляют обстановку.
Казалось бы, шум вокруг противостояния русских хакеров и США утих. Байден с Путиным давно все обсудили и договорились о совместных мерах. И тут на сцену снова выходят нарциссичные и эгоистичные Соединённые Штаты, публикуя методичку по борьбе с русскими хакерами.
Несмотря на то, что российские власти отрицают причастность к атакам на американские компании, США снова начинают подогревать конфликт.
Вариант — потушить огонь совместными усилиями они даже не рассматривают.
@NeKaspersky
Казалось бы, шум вокруг противостояния русских хакеров и США утих. Байден с Путиным давно все обсудили и договорились о совместных мерах. И тут на сцену снова выходят нарциссичные и эгоистичные Соединённые Штаты, публикуя методичку по борьбе с русскими хакерами.
Несмотря на то, что российские власти отрицают причастность к атакам на американские компании, США снова начинают подогревать конфликт.
Вариант — потушить огонь совместными усилиями они даже не рассматривают.
@NeKaspersky
👍4🤮4😁2👎1💩1
Ахуеть. Вот это сообщил ТАСС! ФСБ задержали самую опасную хакерскую группировку REvil, которая весь 2021 держала в страхе мир. Все самые громкие атаки в 2021 — их рук дело.
К российским силовикам обратились из США, а ФСБ уже нашла всех людей, причастных к атакам. Изъяли у ребят 426 млн рублей, $600 тыс и €500 тыс, технику, криптокошельки, 20 автомобилей премиум класса.
Вот это международное сотрудничество!
К российским силовикам обратились из США, а ФСБ уже нашла всех людей, причастных к атакам. Изъяли у ребят 426 млн рублей, $600 тыс и €500 тыс, технику, криптокошельки, 20 автомобилей премиум класса.
Вот это международное сотрудничество!
ТАСС
ФСБ задержала хакерскую группировку REvil после обращения США
Группировка разработала вредоносное программное обеспечение, организовали хищение денег с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в интернете
😱19🔥5💩2
Media is too big
VIEW IN TELEGRAM
Видео задержания. Сюжет для фильма на Оскар. А это ведь чьи-то бывшие однокурсники😂
🔥8😁3👍2💩1
Media is too big
VIEW IN TELEGRAM
В связи с задержанием REvil повторно публикуем видео, в котором кратко рассказываем о ransomware. Группировка как раз проводила ransomware-атаки.
@NeKaspersky
@NeKaspersky
🔥6👍2💩1
Премию за сохранение традиций получает компания Microsoft. Ее сотрудники уже который месяц вносят непомерный вклад в неудавшееся устранение багов. На этот раз площадкой для традиционных мероприятий стал Windows Server.
Январское обновления для WS решили отозвать, так как критические баги принуждают контроллер домена к нехорошим вещам, а именно — к перезагрузке. В Hyper-V происходят сбои, а ReFS и вовсе становятся недоступными.
Как только сисадмины установили январский апдейт, так сразу они и начали отправлять жалобы на серьёзные баги, мешающие работе их систем. Microsoft от греха подальше решила отозвать обновления, поэтому патчей в Windows Update сейчас нет.
Кстати, январское обновление ещё и сломало VPN-соединения L2TP в 10 и 11 версиях Windows.
Microsoft срочно нужен какой-то «варяг», который привнесёт в компанию более полезные традиции.
@NeKaspersky
Январское обновления для WS решили отозвать, так как критические баги принуждают контроллер домена к нехорошим вещам, а именно — к перезагрузке. В Hyper-V происходят сбои, а ReFS и вовсе становятся недоступными.
Как только сисадмины установили январский апдейт, так сразу они и начали отправлять жалобы на серьёзные баги, мешающие работе их систем. Microsoft от греха подальше решила отозвать обновления, поэтому патчей в Windows Update сейчас нет.
Кстати, январское обновление ещё и сломало VPN-соединения L2TP в 10 и 11 версиях Windows.
Microsoft срочно нужен какой-то «варяг», который привнесёт в компанию более полезные традиции.
@NeKaspersky
👍7💩1
«Открытые Технологии» у себя в вакансии на ХэХэ указали в обязанностях такую задачу, как проведение маркетинговых мероприятий. Судя по всему, их ИБ-специалисту придётся торговать своим лицом на форумах и конференциях, где он с умным видом должен будет рассказывать про инциденты в ИБ. В условиях дефицита хороших специалистов это требование ещё больше усложняет хантинг.
Хороших специалистов мало, но ещё меньше тех, кто может быть одновременно спецом и грамотно говорить.
@NeKaspersky
Хороших специалистов мало, но ещё меньше тех, кто может быть одновременно спецом и грамотно говорить.
@NeKaspersky
💩10😱5👍1👎1
Уязвимость нулевого дня в Windows получила патч, хоть и неофициальный.
Исследователи Антонио Кокомацци и Андреа Пьерини в апреле 2021 года обнаружили уязвимостью нулевого дня, она получила название
RemotePotato0 SentinelOne, но до сих пор не имеет идентификатор CVE.
Принцип RemotePotato0 SentinelOne заключается в том, что она повышает привилегии пользователя, независимо от того, какая версия Windows установлена.Права повышаются до администратора домена из-за атаки ретрансляции NTLM, после позволяет полностью скомпрометировать домен.
Злоумышленник попадает в систему жертвы, но при этом имеет низкий уровень привилегий. Для их повышения он должен запустить одно из нескольких приложений специального назначения в сеансе обычного пользователя, который тоже находится в системе, но уже с правами администратора домена. Данное действие заставит приложение отправлять хэш NTLM указанного пользователя на IP-адрес выбранный злоумышленником. Как только хэш будет получен, недоброжелатель создает собственный запрос к контроллеру домена, надевая на себя «маску жертвы» и прикидываясь им, он уже может выполнить административное действие, такое как добавление себя в группу администраторов домена.
Данная операция делалась, в частности, для владельцев системы Windows Server, поскольку одновременно регистрируются несколько пользователей, включая администраторов, что устраняет требование социальной инженерии. Однако, обычных пользователей злоумышленники не обошли стороной.
В качестве рекомендации Microsoft попросили пользователей Windows с правами администратора либо отключить NTLM, либо настроить свои серверы для блокировки ретрансляционных атак NTLM с помощью служб сертификации Active Directory (AD CS). Но также MS заявили о том, что исправлять уязвимость они не собираются
Но не все так плохо, ведь появилось бесплатное исправление, и оно будет доступно до тех пор, пока Microsoft не предоставит что-нибудь официальное. Компания 0patch разработала микропатчи, используя информацию, которой Cocomazzi и Pierini поделились в своем отчете за апрель 2021 года. Доступны они для ОС начиная с Windows 7 до последней версии Windows 10 и от Windows Server 2008 до Windows Server 2019. Для установки такого микропатча вы должны создать учетную запись 0patch, а затем установить агент 0patch. И на этом все, агент сам запустится и будет работать автоматически, для этого даже не нужно перезагружать компьютер.
@NeKaspersky
Исследователи Антонио Кокомацци и Андреа Пьерини в апреле 2021 года обнаружили уязвимостью нулевого дня, она получила название
RemotePotato0 SentinelOne, но до сих пор не имеет идентификатор CVE.
Принцип RemotePotato0 SentinelOne заключается в том, что она повышает привилегии пользователя, независимо от того, какая версия Windows установлена.Права повышаются до администратора домена из-за атаки ретрансляции NTLM, после позволяет полностью скомпрометировать домен.
Злоумышленник попадает в систему жертвы, но при этом имеет низкий уровень привилегий. Для их повышения он должен запустить одно из нескольких приложений специального назначения в сеансе обычного пользователя, который тоже находится в системе, но уже с правами администратора домена. Данное действие заставит приложение отправлять хэш NTLM указанного пользователя на IP-адрес выбранный злоумышленником. Как только хэш будет получен, недоброжелатель создает собственный запрос к контроллеру домена, надевая на себя «маску жертвы» и прикидываясь им, он уже может выполнить административное действие, такое как добавление себя в группу администраторов домена.
Данная операция делалась, в частности, для владельцев системы Windows Server, поскольку одновременно регистрируются несколько пользователей, включая администраторов, что устраняет требование социальной инженерии. Однако, обычных пользователей злоумышленники не обошли стороной.
В качестве рекомендации Microsoft попросили пользователей Windows с правами администратора либо отключить NTLM, либо настроить свои серверы для блокировки ретрансляционных атак NTLM с помощью служб сертификации Active Directory (AD CS). Но также MS заявили о том, что исправлять уязвимость они не собираются
Но не все так плохо, ведь появилось бесплатное исправление, и оно будет доступно до тех пор, пока Microsoft не предоставит что-нибудь официальное. Компания 0patch разработала микропатчи, используя информацию, которой Cocomazzi и Pierini поделились в своем отчете за апрель 2021 года. Доступны они для ОС начиная с Windows 7 до последней версии Windows 10 и от Windows Server 2008 до Windows Server 2019. Для установки такого микропатча вы должны создать учетную запись 0patch, а затем установить агент 0patch. И на этом все, агент сам запустится и будет работать автоматически, для этого даже не нужно перезагружать компьютер.
@NeKaspersky
👍9😱6
Цифровизация как она есть. «Ленэнерго» закупает оборудование для модернизации системы информационной безопасности своих энергообъектов. Участники тендера ООО «АРТКО» из Казани и ООО «АНГАРА ПРОФЕШНЛ АССИСТАНС» из Москвы. Татары предложили более выгодную цену, поэтому заняли в ранжирование первое место. Редкий случай, когда компания из региона выигрывает у москвичей.
@NeKaspersky
@NeKaspersky
😁7👍5😱1