Вторник патчей от Microsoft: пофиксили 128 уязвимостей в Windows и в ряде ее компонентов.
PartchTuesday затронул 128 уязвимостей, среди которых 10 были критическими (как минимум две были известны до выхода патчей, и как минимум одна из них уже активно эксплуатировалась неизвестными злоумышленниками), три — червеобразными и позволяли выполнить код без взаимодействия с пользователем.
Рассмотрим, какие уязвимости представляли из себя наибольшую опасность. Самую высокую оценку CVSS:3.1 в целых 9.8 балла присвоили уязвимости CVE-2022-26809. Связана она с библиотекой среды выполнения (Remote Procedure Call Runtime Library) Windows и позволяла злоумышленнику выполнить код с высокими правами. Её и CVE-2022-24491 и CVE-2022-24497 (связанных с протоколом сетевого доступа к файловым системам Windows Network File System) считали червеобразными, то есть они могли быть использованы для самостоятельного распространения эксплойтов по сети.
Далее по оценке, но никак не по значимости идет CVE-2022-24521 с рейтингом CVSS:3.1 в 7.8. Уязвимость стала известна еще до обновлений и активно эксплуатировалась злоумышленниками. Благодаря простоте использования, она считалась довольно опасной для пользователей. Находилась она в драйвере подсистемы CLFS (Common Log File System) Windows и была связана с повышением уровня доступа.
CVE-2022-26904 — уязвимость службы профилей пользователей Windows (Windows User Profile Service), связанная с повышением привилегий. Ей была присвоена оценка в 7.0 балла по шкале CVSS:3.1. Также были известны случаи использования уязвимости задолго до обновлений.
Рекомендуем как можно скорее обновить операционную систему и прочие продукты. В общей сложности патчи затронули Microsoft Windows и его компоненты: Microsoft Defender, Microsoft Dynamics, Microsoft Edge, Exchange Server, Office, SharePoint Server, Windows Hyper-V, DNS-сервер, Skype, .NET, Visual Studio, Windows App Store.
Большинство исправленных уязвимостей имеют экспериментальные эксплойты, которые находятся в общем доступе. Поэтому есть вероятность, что злоумышленники начнут их эксплуатировать.
@NeKaspersky
PartchTuesday затронул 128 уязвимостей, среди которых 10 были критическими (как минимум две были известны до выхода патчей, и как минимум одна из них уже активно эксплуатировалась неизвестными злоумышленниками), три — червеобразными и позволяли выполнить код без взаимодействия с пользователем.
Рассмотрим, какие уязвимости представляли из себя наибольшую опасность. Самую высокую оценку CVSS:3.1 в целых 9.8 балла присвоили уязвимости CVE-2022-26809. Связана она с библиотекой среды выполнения (Remote Procedure Call Runtime Library) Windows и позволяла злоумышленнику выполнить код с высокими правами. Её и CVE-2022-24491 и CVE-2022-24497 (связанных с протоколом сетевого доступа к файловым системам Windows Network File System) считали червеобразными, то есть они могли быть использованы для самостоятельного распространения эксплойтов по сети.
Далее по оценке, но никак не по значимости идет CVE-2022-24521 с рейтингом CVSS:3.1 в 7.8. Уязвимость стала известна еще до обновлений и активно эксплуатировалась злоумышленниками. Благодаря простоте использования, она считалась довольно опасной для пользователей. Находилась она в драйвере подсистемы CLFS (Common Log File System) Windows и была связана с повышением уровня доступа.
CVE-2022-26904 — уязвимость службы профилей пользователей Windows (Windows User Profile Service), связанная с повышением привилегий. Ей была присвоена оценка в 7.0 балла по шкале CVSS:3.1. Также были известны случаи использования уязвимости задолго до обновлений.
Рекомендуем как можно скорее обновить операционную систему и прочие продукты. В общей сложности патчи затронули Microsoft Windows и его компоненты: Microsoft Defender, Microsoft Dynamics, Microsoft Edge, Exchange Server, Office, SharePoint Server, Windows Hyper-V, DNS-сервер, Skype, .NET, Visual Studio, Windows App Store.
Большинство исправленных уязвимостей имеют экспериментальные эксплойты, которые находятся в общем доступе. Поэтому есть вероятность, что злоумышленники начнут их эксплуатировать.
@NeKaspersky
Новый ботнет активно вербует маршрутизаторы и IoT-девайсы в свои ряды
Аналитики угроз из Fortinet обнаружили малварь «в дикой природе», проанализировали ее и опубликовали подробный технический отчет о ее функционале. По их словам, Enemybot построен на базе Mirai и распространяется за счет эксплуатации известных уязвимостей в роутерах и устройствах Интернета Вещей. Злоумышленники, стоящие за ботнетом, специализируется на крипто-майнинге и DDoS-атаках и активно используют ботов для достижения своих целей.
Enemybot использует обфускацию строк, в то время как его C2 прячется в сети Tor, поэтому обезглавить ботнет в настоящее время проблематично. Сразу после заражения очередного девайса вредонос устанавливает соединение с C2 и ожидает поступления команд. Большинство из них связаны с DDoS-атаками, но возможности ботнета этим не ограничиваются. Благодаря косячной конфигурации сервера, с которого качались бинарники Enemybot, исследователям удалось выявить список целевых архитектур: на текущий момент Enemybot собран под x86, x64, i686, darwin, bsd, arm и arm64, ppc, m68k и spc.
Что касается целевых уязвимостей, Fortinet рассказали, что 3 CVE используются всеми сборками вредоноса:
• CVE-2020-17456: RCE в маршрутизаторах Seowon Intech SLC-130 и SLR-120S (CVSS 9.8).
• CVE-2018-10823: RCE в D-Link DWR (CVSS 8.8).
• CVE-2022-27226: инъекция произвольной cronjob (один из никсовых демонов автостарта) в маршрутизаторах iRZ (CVSS 8.8).
Другие эксплуатируются лишь некоторыми версиями вредоноса: CVE-2022-25075-25084 в TOTOLINK, CVE-2021-44228/2021-45046 (Log4Shell), CVE-2021-41773/CVE-2021-42013 в HTTP-серверах Apache, CVE-2018-20062 в ThinkPHP CMS, CVE-2017-18368 в Zyxel P660HN, CVE-2016-6277 в маршрутизаторах NETGEAR, CVE-2015-2051 в маршрутизаторах D-Link и
CVE-2014-9118 в маршрутизаторах Zhone.
@NeKaspersky
Аналитики угроз из Fortinet обнаружили малварь «в дикой природе», проанализировали ее и опубликовали подробный технический отчет о ее функционале. По их словам, Enemybot построен на базе Mirai и распространяется за счет эксплуатации известных уязвимостей в роутерах и устройствах Интернета Вещей. Злоумышленники, стоящие за ботнетом, специализируется на крипто-майнинге и DDoS-атаках и активно используют ботов для достижения своих целей.
Enemybot использует обфускацию строк, в то время как его C2 прячется в сети Tor, поэтому обезглавить ботнет в настоящее время проблематично. Сразу после заражения очередного девайса вредонос устанавливает соединение с C2 и ожидает поступления команд. Большинство из них связаны с DDoS-атаками, но возможности ботнета этим не ограничиваются. Благодаря косячной конфигурации сервера, с которого качались бинарники Enemybot, исследователям удалось выявить список целевых архитектур: на текущий момент Enemybot собран под x86, x64, i686, darwin, bsd, arm и arm64, ppc, m68k и spc.
Что касается целевых уязвимостей, Fortinet рассказали, что 3 CVE используются всеми сборками вредоноса:
• CVE-2020-17456: RCE в маршрутизаторах Seowon Intech SLC-130 и SLR-120S (CVSS 9.8).
• CVE-2018-10823: RCE в D-Link DWR (CVSS 8.8).
• CVE-2022-27226: инъекция произвольной cronjob (один из никсовых демонов автостарта) в маршрутизаторах iRZ (CVSS 8.8).
Другие эксплуатируются лишь некоторыми версиями вредоноса: CVE-2022-25075-25084 в TOTOLINK, CVE-2021-44228/2021-45046 (Log4Shell), CVE-2021-41773/CVE-2021-42013 в HTTP-серверах Apache, CVE-2018-20062 в ThinkPHP CMS, CVE-2017-18368 в Zyxel P660HN, CVE-2016-6277 в маршрутизаторах NETGEAR, CVE-2015-2051 в маршрутизаторах D-Link и
CVE-2014-9118 в маршрутизаторах Zhone.
@NeKaspersky
Сегодня ГК Innostage совместно с Лабораторией Касперского и компанией Indeed проводила семинар по корпоративной Кибербезопасности.
Вот основные тезисы блока по повышению осведомленности сотрудников в области ИБ на объектах критической информационной инфраструктуры. Из выступления консультанта по ИБ ГК Innostage Ильи Колесова:
1. Фишинг занимает подавляющую долю среди способов проникновения в инфраструктуру.
2. Возникают новые способы фишинговых атак в связи с последними событиями в мире.
3. РФ в топе по фишинговым атакам и объекты КИИ больше остальных подвержены атакам.
4. Для предотвращения фишинговых атак не хватает разовых обучений, необходим комплекс мер с процессным подходом - регулярное обучение, тестирование знаний и навыков.
5. Без автоматизации реализовать такой процесс в крупных компаниях нереально.
@NeKaspersky
Вот основные тезисы блока по повышению осведомленности сотрудников в области ИБ на объектах критической информационной инфраструктуры. Из выступления консультанта по ИБ ГК Innostage Ильи Колесова:
1. Фишинг занимает подавляющую долю среди способов проникновения в инфраструктуру.
2. Возникают новые способы фишинговых атак в связи с последними событиями в мире.
3. РФ в топе по фишинговым атакам и объекты КИИ больше остальных подвержены атакам.
4. Для предотвращения фишинговых атак не хватает разовых обучений, необходим комплекс мер с процессным подходом - регулярное обучение, тестирование знаний и навыков.
5. Без автоматизации реализовать такой процесс в крупных компаниях нереально.
@NeKaspersky
👍19
Если Роскомнадзор ругает Лукацкий, а не Климарев, как это обычно бывает, что-то в мире точно изменилось.
https://t.me/alukatsky/5442
https://t.me/alukatsky/5442
Telegram
Пост Лукацкого
Вот же идиоты - Роскомнадзор может заблокировать SpeedTest из-за нарушения закона о персональных данных, так как по мнению РКН SpeedTest собирает данные об IP-адресах российских посетителей и не хранит их в России.
На таком основании можно спокойно запрещать…
На таком основании можно спокойно запрещать…
😁18👍1
Клиент амазоновского AWS VPN мог помочь повысить привилегии до SYSTEM
Баг, получивший идентификатор CVE-2022-25166, нашли исследователи безопасности из Rhino Security labs. Он заключается в том, что AWS VPN Client, работающий с привилегиями системы, является оберткой для OpenVPN, конфиг которого в свою очередь имеет ряд опасных директив, вроде кастомного пути для записи логов. Очевидно, никто не хочет, чтобы привилегированный процесс мог писать в любой файл в системе, поэтому AWS VPN Client пытается проверить конфиг на наличие недопустимых директив.
Проблема, однако, заключается в том, что проверка выполняется до запуска OpenVPN, и, как следствие, возникает состояние гонки. Иными словами, если злоумышленнику удастся изменить конфиг после проверки AWS VPN, но до запуска OpenVPN, логи будут записаны в нужный ему файл. Сделать это достаточно просто: исследователи, например, написали Powershell-скрипт, который мониторит доступ к конфигу и после успешной проверки дописывает вредоносную директиву. Также у злоумышленника есть частичный контроль над содержимым логов, что, например, позволяет ему записать свой вредоносный скрипт в папку автозагрузки админа.
@NeKaspersky
Баг, получивший идентификатор CVE-2022-25166, нашли исследователи безопасности из Rhino Security labs. Он заключается в том, что AWS VPN Client, работающий с привилегиями системы, является оберткой для OpenVPN, конфиг которого в свою очередь имеет ряд опасных директив, вроде кастомного пути для записи логов. Очевидно, никто не хочет, чтобы привилегированный процесс мог писать в любой файл в системе, поэтому AWS VPN Client пытается проверить конфиг на наличие недопустимых директив.
Проблема, однако, заключается в том, что проверка выполняется до запуска OpenVPN, и, как следствие, возникает состояние гонки. Иными словами, если злоумышленнику удастся изменить конфиг после проверки AWS VPN, но до запуска OpenVPN, логи будут записаны в нужный ему файл. Сделать это достаточно просто: исследователи, например, написали Powershell-скрипт, который мониторит доступ к конфигу и после успешной проверки дописывает вредоносную директиву. Также у злоумышленника есть частичный контроль над содержимым логов, что, например, позволяет ему записать свой вредоносный скрипт в папку автозагрузки админа.
@NeKaspersky
👍7
GitHub блокирует аккаунты россиян
13 апреля GitHub начал блокировать аккаунты российских компаний и разработчиков. Среди жертв GitHub — аккаунты Сбербанка, Альфа-Банка и др.
Под бульдозер блокировки попали аккаунты Sberbank-Technology, sberbank-ai-lab, alfa-laboratory.
Пользователи, по имеющейся информации, не были предупреждены о блокировке и получали сообщение об этом постфактум.
13 апреля GitHub начал блокировать аккаунты российских компаний и разработчиков. Среди жертв GitHub — аккаунты Сбербанка, Альфа-Банка и др.
Под бульдозер блокировки попали аккаунты Sberbank-Technology, sberbank-ai-lab, alfa-laboratory.
Пользователи, по имеющейся информации, не были предупреждены о блокировке и получали сообщение об этом постфактум.
🤬28👍6❤3👎3😁2😱2🤮2
Софт для видеоконференций может слушать пользователей даже когда микрофон замьючен
С такими неутешительными выводами выступили исследователи из Висконсинского университета в Мадисоне и LUC, проанализировавшие поведение популярных приложений на предмет подслушивания за пользователем. Рассмотрели поведение следующего софта: Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet и Discord под windows, macos и linux.
Команда отслеживала обращения приложений к аудиодрайверу ОС и таким образом смогла определить, какие изменения на самом деле (не) происходили, когда пользователь нажимал кнопку «отключить звук». В итоге хуже всех себя повел Webex, продолживший слать на сервера весь аудиофид как ни в чем не бывало. Подавляющее большинство нативных клиентов также временами проверяют состояние микрофона, но не слушают напрямую: вместо этого они читают статус микрофона, т.е. «silent», «data discontinuity» или «timestamp error». Таким образом софт может узнать, говорит ли пользователь с замьюченным микрофоном. Что касается браузерных версий приложений, они пользуются встроенными API, которые, по словам исследователей, не читают аудиофид понапрасну.
Что интересно, исследователи указали, что даже чтение состояния микрофона можно использовать для классификации того, что пользователь делает в 82% случаев, если воспользоваться AI и достаточным количеством блесток. Например, им удалось определить набор текста на клавиатуре, приготовление и прием пищи, прослушивание классической музыки, уборку и собачий лай.
В общем, полагайтесь для мьюта на средства ОС или хардварные возможности микрофона, а не честность используемого софта.
@NeKaspersky
С такими неутешительными выводами выступили исследователи из Висконсинского университета в Мадисоне и LUC, проанализировавшие поведение популярных приложений на предмет подслушивания за пользователем. Рассмотрели поведение следующего софта: Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet и Discord под windows, macos и linux.
Команда отслеживала обращения приложений к аудиодрайверу ОС и таким образом смогла определить, какие изменения на самом деле (не) происходили, когда пользователь нажимал кнопку «отключить звук». В итоге хуже всех себя повел Webex, продолживший слать на сервера весь аудиофид как ни в чем не бывало. Подавляющее большинство нативных клиентов также временами проверяют состояние микрофона, но не слушают напрямую: вместо этого они читают статус микрофона, т.е. «silent», «data discontinuity» или «timestamp error». Таким образом софт может узнать, говорит ли пользователь с замьюченным микрофоном. Что касается браузерных версий приложений, они пользуются встроенными API, которые, по словам исследователей, не читают аудиофид понапрасну.
Что интересно, исследователи указали, что даже чтение состояния микрофона можно использовать для классификации того, что пользователь делает в 82% случаев, если воспользоваться AI и достаточным количеством блесток. Например, им удалось определить набор текста на клавиатуре, приготовление и прием пищи, прослушивание классической музыки, уборку и собачий лай.
В общем, полагайтесь для мьюта на средства ОС или хардварные возможности микрофона, а не честность используемого софта.
@NeKaspersky
👍3🔥2
Новая уязвимость в девайсах от Cisco позволяет хакерам создавать свои креденшлы (с блек джеком и...)
О баге CVE-2022-20695 в софте контроллера беспроводной локальной сети (WLC), получившем внушительную десятку по CVSS, поведали сами Cisco и, конечно же, посоветовали всем поскорее обновиться. Уязвимость вызвана косяком в реализации алгоритма валидации пароля и позволяет обойти аутентификацию на определенных девайсах с нестандартной конфигурацией, причем созданные креденшлы могут дать различные привилегии, потенциально вплоть до админских.
По словам Cisco, баг затрагивает продукты, работающие под управлением Cisco WLC 8.10.151.0 или 8.10.162.0 в случае, когда параметр «macfilter radius compatibility» установлен в «Other». Хардварно под описание подходят следующие девайсы:
• Wireless Controller 3504, 5520 и 8540
• Mobility Express
• Virtual Wireless Controller (vWLC)
Также опубликован список незатронутых устройств:
• Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
• Catalyst 9800 Series Wireless Controllers
• Catalyst 9800 Wireless Controller for Cloud
• Embedded Wireless Controller on Catalyst Access Points
• Wireless LAN Controller (WLC) AireOS products not listed in the Vulnerable Products section
Обновление до билда 8.10.171.0 или более поздней версии фиксит багу вне зависимости от софтварной конфигурации устройств.
Тем, кто не может обновиться, Cisco предложили сбросить macfilter radius compatibility до значения по умолчанию (выполнив
@NeKaspersky
О баге CVE-2022-20695 в софте контроллера беспроводной локальной сети (WLC), получившем внушительную десятку по CVSS, поведали сами Cisco и, конечно же, посоветовали всем поскорее обновиться. Уязвимость вызвана косяком в реализации алгоритма валидации пароля и позволяет обойти аутентификацию на определенных девайсах с нестандартной конфигурацией, причем созданные креденшлы могут дать различные привилегии, потенциально вплоть до админских.
По словам Cisco, баг затрагивает продукты, работающие под управлением Cisco WLC 8.10.151.0 или 8.10.162.0 в случае, когда параметр «macfilter radius compatibility» установлен в «Other». Хардварно под описание подходят следующие девайсы:
• Wireless Controller 3504, 5520 и 8540
• Mobility Express
• Virtual Wireless Controller (vWLC)
Также опубликован список незатронутых устройств:
• Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
• Catalyst 9800 Series Wireless Controllers
• Catalyst 9800 Wireless Controller for Cloud
• Embedded Wireless Controller on Catalyst Access Points
• Wireless LAN Controller (WLC) AireOS products not listed in the Vulnerable Products section
Обновление до билда 8.10.171.0 или более поздней версии фиксит багу вне зависимости от софтварной конфигурации устройств.
Тем, кто не может обновиться, Cisco предложили сбросить macfilter radius compatibility до значения по умолчанию (выполнив
config macfilter radius-compat cisco) или других безопасных режимов, вроде "free" (config macfilter radius-compat free).@NeKaspersky
👍4
Злоумышленники вламываются в GitHub-аккаунты организаций, используя украденные OAuth-токены
Кампанию обнаружила СБ GitHub 12 апреля, когда злоумышленник использовал скомпрометированный ключ AWS API для получения доступа к продакшн-инфраструктуре npm компании. Злоумышленник, вероятно, нашел ключ в приватных репозиториях npm, доступ к которым был получен с исплоьзованием украденных токенов OAuth.
Все (свои) подозрительные токены моментально отозвали и начали расследование, в ходе которого выяснилось, что, хакеры успели украсть данные десятков организаций. На текущий момент в атаках замечены токены следующих приложений:
• Heroku Dashboard (ID: 145909 и 628778)
• Heroku Dashboard – Preview (ID: 313468)
• Heroku Dashboard – Classic (ID: 363831)
• Travis CI (ID: 9216)
Целью, скорее всего, также была кража других токенов или API-ключей, потенциально лежащих в скомпрометированных репах. Те в свою очередь могут использоваться для доступа к инфраструктуре пострадавших организаций и, скажем, проведения supply chain-атак. По словам GitHub, кампания не является следствием компрометации систем самого GitHub, поскольку токены там не хранятся в первоначальном, пригодном для использования виде.
Что касается npm-реп GitHub-а, они, похоже, не пострадали.
@NeKaspersky
Кампанию обнаружила СБ GitHub 12 апреля, когда злоумышленник использовал скомпрометированный ключ AWS API для получения доступа к продакшн-инфраструктуре npm компании. Злоумышленник, вероятно, нашел ключ в приватных репозиториях npm, доступ к которым был получен с исплоьзованием украденных токенов OAuth.
Все (свои) подозрительные токены моментально отозвали и начали расследование, в ходе которого выяснилось, что, хакеры успели украсть данные десятков организаций. На текущий момент в атаках замечены токены следующих приложений:
• Heroku Dashboard (ID: 145909 и 628778)
• Heroku Dashboard – Preview (ID: 313468)
• Heroku Dashboard – Classic (ID: 363831)
• Travis CI (ID: 9216)
Целью, скорее всего, также была кража других токенов или API-ключей, потенциально лежащих в скомпрометированных репах. Те в свою очередь могут использоваться для доступа к инфраструктуре пострадавших организаций и, скажем, проведения supply chain-атак. По словам GitHub, кампания не является следствием компрометации систем самого GitHub, поскольку токены там не хранятся в первоначальном, пригодном для использования виде.
Что касается npm-реп GitHub-а, они, похоже, не пострадали.
@NeKaspersky
👍3
Forwarded from Пост Лукацкого
Мне тут намекнули солидные люди, что я много критикую регулятора, а в нынешнее неспокойное время это неправильно и надо быть конструктивнее. Критикуя, предлагай! А что, и предложу.
Предлагаю одному из наших регуляторов по ИБ убрать со своего сайта символику одной американской компании, деятельность которой то ли признана в России экстремистской, то ли нет (в списке Минюста она отсутствует), но при этом деятельность ее точно запрещена судом. Да и символику другой соцсети, прекратившей свое существование уже 3 года назад, тоже можно убрать. А то как-то некрасиво получается - доступ с зарубежных IP-адресов запрещают, а иконки, ведущие на зарубежные IP-адреса размещают.
Все, предложил. Выдохнул. Теперь можно снова критиковать ;-)
Предлагаю одному из наших регуляторов по ИБ убрать со своего сайта символику одной американской компании, деятельность которой то ли признана в России экстремистской, то ли нет (в списке Минюста она отсутствует), но при этом деятельность ее точно запрещена судом. Да и символику другой соцсети, прекратившей свое существование уже 3 года назад, тоже можно убрать. А то как-то некрасиво получается - доступ с зарубежных IP-адресов запрещают, а иконки, ведущие на зарубежные IP-адреса размещают.
Все, предложил. Выдохнул. Теперь можно снова критиковать ;-)
😁32👍6💩4❤1
KILLNET требуют от властей Польши прекратить поставки оружия на Украину. Судя по всему, хакеры сейчас DDoSят сайты международных аэропортов в Польше.
👍30🤮10😁3💩2
Российский аналог Instagram Грустнограм появился в AppStore и Google Play. Он создан для грустных людей.
Google Play
Грустнограм - Apps on Google Play
Share your real
😁11👎2👍1🔥1
0day в 7zip под windows позволяет повысить привилегии до системы
Если кто не слышал, 7zip является (весьма удобным, надо сказать) FOSS-архиватором, что позволяет без потенциальных проблем с законом использовать его в коммерческих целях совершенно бесплатно.
Баг CVE-2022-29072 вызван неправильной настройкой прав для 7z.dll и переполнением кучи. В опубликованном PoC-видео автор перетаскивает созданный им .7z файл в окно Help → Contents, и архиватор спавнит cmd, запущенный с правами system*. 0day пока не исправлен, так что полный эксплойт в открытый доступ не выложен.
Разработчики 7-zip считают, что баг вызван майкрософтовским
На случай, если разработчики 7zip откажутся фиксить багу, исправить ее можно, например, удалив
*От админа до системы вполне легально повысились с помощью утилиты Sysinternals
Если кто не слышал, 7zip является (весьма удобным, надо сказать) FOSS-архиватором, что позволяет без потенциальных проблем с законом использовать его в коммерческих целях совершенно бесплатно.
Баг CVE-2022-29072 вызван неправильной настройкой прав для 7z.dll и переполнением кучи. В опубликованном PoC-видео автор перетаскивает созданный им .7z файл в окно Help → Contents, и архиватор спавнит cmd, запущенный с правами system*. 0day пока не исправлен, так что полный эксплойт в открытый доступ не выложен.
Разработчики 7-zip считают, что баг вызван майкрософтовским
hh.exe (который отображает окно справки): в софт, использующиий этот механизм, и раньше находили уязвимым к command injection (например, было с WinRAR). С другой стороны, если бы это было так, cmd был бы дочерним процессом hh.exe, а не архиватора. Также в описании уязвимости говорится, что внедренный код запускается от админа именно благодаря переполнению кучи в 7zFM.exe.На случай, если разработчики 7zip откажутся фиксить багу, исправить ее можно, например, удалив
7-zip.chm.*От админа до системы вполне легально повысились с помощью утилиты Sysinternals
psexec.
@NeKaspersky👍13😱3👎1😁1🤬1
NSO заметили за использованием нового zero-click эксплойта для ios
За обнаружение уязвимости, получившей название «HOMAGE», благодарить стоит экспертов из Citizen Lab, по словам которых проблема кроется в iMessage. Баг использовался для доставкиПринцессы Селестии Pegasus на айфоны под управлением iOS <13.2. Судя по тому, что заражений на версиях включая и выше 13.2 не наблюдается, Apple могли (случайно или намеренно) исправить уязвимость.
Среди жертв этих нападений Citizen Lab назвала каталонских членов Европейского парламента, каждого президента Каталонии с 2010 года, а также каталонских законодателей, юристов, журналистов и членов организаций гражданского общества и их семей. Исследователи не нашли достаточно доказательств, чтобы приписать атаки конкретному правительству, однако ряд косвенных улик указывает на тесную связь с одной или несколькими организациями в правительстве (кто бы мог подумать) Испании.
HOMAGE использовался в конце 2019 года и запускал инстанс WebKit в
В дальнейшем производилось определение модели телефона с помощью получения информации о разрешении экрана (в пикселях) и сравнение ее с забитыми в код значениями для различных моделей iPhone. Если совпадений несколько (например, расширения для X и Xs совпадают, если на последнем включен display zoom), вредонос измерял время, нужное для AES-шифрования буффера на 2^28 байт в CBC режиме. На Xs и дальше на операцию требуется менее 560ms.
Более подробной инфой об эксплойте (вместе с релевантными следами вредоноса) поделились с Apple.
@NeKaspersky
За обнаружение уязвимости, получившей название «HOMAGE», благодарить стоит экспертов из Citizen Lab, по словам которых проблема кроется в iMessage. Баг использовался для доставки
Среди жертв этих нападений Citizen Lab назвала каталонских членов Европейского парламента, каждого президента Каталонии с 2010 года, а также каталонских законодателей, юристов, журналистов и членов организаций гражданского общества и их семей. Исследователи не нашли достаточно доказательств, чтобы приписать атаки конкретному правительству, однако ряд косвенных улик указывает на тесную связь с одной или несколькими организациями в правительстве (кто бы мог подумать) Испании.
HOMAGE использовался в конце 2019 года и запускал инстанс WebKit в
com.apple.mediastream.mstreamd, далее эксплойт искал email Pegasus с помощью com.apple.private.alloy.photostream. Инстанс WebKit-а в дальшейшем использовался для получения вредоносного JavaScript (его исследователям удалось восстановить с одной из пострадавших звонилок). JS в свою очередь проводил ряд тестов и, в случае успеха, запускал эксплойт уже для WebKit.В дальнейшем производилось определение модели телефона с помощью получения информации о разрешении экрана (в пикселях) и сравнение ее с забитыми в код значениями для различных моделей iPhone. Если совпадений несколько (например, расширения для X и Xs совпадают, если на последнем включен display zoom), вредонос измерял время, нужное для AES-шифрования буффера на 2^28 байт в CBC режиме. На Xs и дальше на операцию требуется менее 560ms.
Более подробной инфой об эксплойте (вместе с релевантными следами вредоноса) поделились с Apple.
@NeKaspersky
🇷🇺🇦🇲Правительства России и Армении подписали соглашение о сотрудничестве в области обеспечения информационной безопасности
👍21💩7
Новый инфостиллер ZingoStealer теперь раздается бесплатно
Стиллер ZingoStealer создан командой Haskers Gang, деятельность которых была замечена ещё в январе 2020 года. Изначально разработчики хотели продавать исходный код своего вредоноса за 500 долларов. Однако сейчас собираются отдать его бесплатно.
ZingoStealer — новый вредонос, появившийся в марте 2022 года. Основная его функция — это сбор учетных данных, данных браузера Chrome и Firefox, а также токенов Discord и других наборов данных. Кроме того, вредоносное ПО может использовать любые учетные данные криптовалюты, хранящиеся в расширениях браузера, от служб, включая BitApp, Coinbase, Binance и Brave. Стилер способен работать совместно с другими вредоносными программами, включая RedLine Stealer (который содержит типичные функции кражи, а также возможность собирать данные VPN-учетных записей и данные для входа, что влияет на поставщиков, включая NordVPN, OpenVPN и ProtonVPN).
Кроме того, ZingoStealer также можно использовать для развертывания майнера криптовалюты на зараженных системах. Киберпреступники могут спокойно выполнять функции майнера криптовалюты в атаках, которые крадут вычислительную мощность для добычи монет. Эти виртуальные активы отправляются в кошельки, контролируемые злоумышленниками.
Также, как бонус, команда Haskers Gang предлагает собственный шифровальщик ExoCrypt. Он может помочь хакерам уйти от детектирования антивирусными средствами. Стоит всего 3 доллара.
По словам исследователей, злоумышленники нападают преимущественно на геймеров с помощью чит-кодов, пиратского программного обеспечения. Как правило, ориентированы на русскоязычных жертв. Инфостилер использует Telegram для извлечения данных и выдачи обновлений компонентов. Очагом распространения служат серверы Discord, каналы на YouTube. Однако жертвами могут стать пользователи и других ресурсов.
ZingoStealer является новым. Его будущее неопределенно и нестабильно. Но тот факт, что хакеры могут использовать его бесплатно и развернуть без ограничений, делает ZingoStealer потенциально опасной угрозой.
@NeKaspersky
Стиллер ZingoStealer создан командой Haskers Gang, деятельность которых была замечена ещё в январе 2020 года. Изначально разработчики хотели продавать исходный код своего вредоноса за 500 долларов. Однако сейчас собираются отдать его бесплатно.
ZingoStealer — новый вредонос, появившийся в марте 2022 года. Основная его функция — это сбор учетных данных, данных браузера Chrome и Firefox, а также токенов Discord и других наборов данных. Кроме того, вредоносное ПО может использовать любые учетные данные криптовалюты, хранящиеся в расширениях браузера, от служб, включая BitApp, Coinbase, Binance и Brave. Стилер способен работать совместно с другими вредоносными программами, включая RedLine Stealer (который содержит типичные функции кражи, а также возможность собирать данные VPN-учетных записей и данные для входа, что влияет на поставщиков, включая NordVPN, OpenVPN и ProtonVPN).
Кроме того, ZingoStealer также можно использовать для развертывания майнера криптовалюты на зараженных системах. Киберпреступники могут спокойно выполнять функции майнера криптовалюты в атаках, которые крадут вычислительную мощность для добычи монет. Эти виртуальные активы отправляются в кошельки, контролируемые злоумышленниками.
Также, как бонус, команда Haskers Gang предлагает собственный шифровальщик ExoCrypt. Он может помочь хакерам уйти от детектирования антивирусными средствами. Стоит всего 3 доллара.
По словам исследователей, злоумышленники нападают преимущественно на геймеров с помощью чит-кодов, пиратского программного обеспечения. Как правило, ориентированы на русскоязычных жертв. Инфостилер использует Telegram для извлечения данных и выдачи обновлений компонентов. Очагом распространения служат серверы Discord, каналы на YouTube. Однако жертвами могут стать пользователи и других ресурсов.
ZingoStealer является новым. Его будущее неопределенно и нестабильно. Но тот факт, что хакеры могут использовать его бесплатно и развернуть без ограничений, делает ZingoStealer потенциально опасной угрозой.
@NeKaspersky
👍4
Lillin scanner, основанный на BotenaGo, активно заражает DVR-девайсы
Не прошло и пол года (на самом деле прошло), как другие злоумышленники начали адаптировать слитые ранее исходники ботнета BotenaGo под свои цели. Данный, так сказать, форк обнаружен исследователями из Nozomi Networks Labs и нацелен на заражение исключительно DVR (digital video recorder, те самые коробки, которые пишут видеофиды с камер видеонаблюдения) производства Lilin (отсюда и название, «Lillin scanner»). Для проникновения на девайсы используется эксплойт для RCE почти двухлетней давности: как оказалось, уязвимых DVR все еще достаточно много, что может частично объяснить столь узкую специализацию. Также на момент публикации доклада ни один из антивирусов на VirusTotal не детектил вредонос. По словам исследователей, это может быть вызвано тем, что бинарник, мягко говоря, в меру упитанный (2.8Мб), и непосредственно вредоносного кода в нем не так уж и много.
Помимо сильно урезанного набора эксплойтов Lillin отличается от BotenaGo еще и использованием сторонней тулзы для составления списков IP-адресов потенциально уязвимых устройств. Затем наш сканер, вооружившись RCE и дюжиной дефолтных креденшлов, аки свидетель Иеговы стучится ко всем, кому не повезло туда попасть, и предлагает поговорить о Mirai. При чем тут Mirai? Дело в том, что пейлоды, запускаемые Lillin после эксплуатации RCE, содержат именно его. Mirai в свою очередь таргетит куда больше устройств, так что эксплойт Lilin DVR явно является начальной стадией для более масштабной волны заражений.
Впрочем, по словам исследователей, даже с учетом более широких возможностей Mirai на текущий момент кампания не особо опасна: Lillin не умеет распространяться сам по себе, т.к. сканирование и заражение выполняются вручную.
@NeKaspersky
Не прошло и пол года (на самом деле прошло), как другие злоумышленники начали адаптировать слитые ранее исходники ботнета BotenaGo под свои цели. Данный, так сказать, форк обнаружен исследователями из Nozomi Networks Labs и нацелен на заражение исключительно DVR (digital video recorder, те самые коробки, которые пишут видеофиды с камер видеонаблюдения) производства Lilin (отсюда и название, «Lillin scanner»). Для проникновения на девайсы используется эксплойт для RCE почти двухлетней давности: как оказалось, уязвимых DVR все еще достаточно много, что может частично объяснить столь узкую специализацию. Также на момент публикации доклада ни один из антивирусов на VirusTotal не детектил вредонос. По словам исследователей, это может быть вызвано тем, что бинарник, мягко говоря, в меру упитанный (2.8Мб), и непосредственно вредоносного кода в нем не так уж и много.
Помимо сильно урезанного набора эксплойтов Lillin отличается от BotenaGo еще и использованием сторонней тулзы для составления списков IP-адресов потенциально уязвимых устройств. Затем наш сканер, вооружившись RCE и дюжиной дефолтных креденшлов, аки свидетель Иеговы стучится ко всем, кому не повезло туда попасть, и предлагает поговорить о Mirai. При чем тут Mirai? Дело в том, что пейлоды, запускаемые Lillin после эксплуатации RCE, содержат именно его. Mirai в свою очередь таргетит куда больше устройств, так что эксплойт Lilin DVR явно является начальной стадией для более масштабной волны заражений.
Впрочем, по словам исследователей, даже с учетом более широких возможностей Mirai на текущий момент кампания не особо опасна: Lillin не умеет распространяться сам по себе, т.к. сканирование и заражение выполняются вручную.
@NeKaspersky
👍2😱1