Исследователи из Leviathan Security выявили серьезную уязвимость в системах виртуальных частных сетей (VPN), которая затрагивает практически все приложения.

Атака, названная "TunnelVision", позволяет злоумышленникам перехватывать и модифицировать зашифрованный трафик, что ставит под угрозу ключевую функцию VPN - сокрытие IP-адреса пользователя и защиту его данных.

Уязвимость связана с манипуляцией DHCP-сервером, который распределяет IP-адреса устройств в локальной сети. Это позволяет атакующему перенаправлять VPN-трафик через свой сервер и перехватывать передаваемые данные. Специалисты Leviathan Security подтвердили возможность установки произвольных маршрутов в таблице маршрутизации пользователя, обходя шифрованный VPN-туннель.

На данный момент нет полного решения этой проблемы, хотя некоторые меры, такие как настройка сетевых брандмауэров, могут помочь ограничить входящий и исходящий трафик. Важно отметить, что пользователи должны быть осведомлены о потенциальных рисках и не слепо доверять VPN-сервисам и анонимайзерам.

Подробнее: https://extrim-security.ru/news-ib/tpost/o6c39b4eh1-tunnelvision-ni-odin-vpn-servis-bolshe-n

В Chrome обнаружена 0day уязвимость: CVE-2024-0519

Уязвимость имеет идентификатор CVE-2024-4671 и относится к категории ошибок использования памяти после освобождения (use-after-free) в компоненте, отвечающем за отображение веб-содержимого.

Данная уязвимость представляет серьёзную опасность, поскольку даёт возможность злоумышленникам запускать произвольный код в контексте браузера и полностью получить контроль над системой.

Информация о проблеме была передана в Google анонимным источником 7 мая 2024 года. Пользователям настоятельно рекомендуется обновить Chrome до версии 124.0.6367.201/.202 для Windows и macOS и до версии 124.0.6367.201 для Linux.

В начале апреля на Pwn2Own в Ванкувере также была обнаружена уязвимость, связанная с доступом за пределами границ памяти в V8 и WebAssembly.

Подробнее: https://extrim-security.ru/news-ib/tpost/1tctfhtlh1-v-chrome-obnaruzhena-0day-uyazvimost-cve

ЕГЭ на Linux: в России протестируют сдачу экзамена на отечественной ОС
В школах страны начинается курс отвыкания от Windows. https://extrim-security.ru/news-ib/tpost/50uhsojsr1-ege-na-linux-v-rossii-protestiruyut-sdac

Компания Dell уведомила своих клиентов о том, что их личные данные были скомпрометированы после появления объявления о краже и продаже информации 49 миллионов человек на хакерском форуме.

Злоумышленники получили доступ к именам клиентов, физическим адресам, информации об аппаратном обеспечении Dell и заказах, включая сервисную метку, описание товара, дату заказа и информацию о гарантии. Финансовые и платежные данные, адреса электронной почты или номера телефонов не были скомпрометированы. Dell сотрудничает с правоохранительными органами и сторонними ИБ-криминалистами для дальнейшего расследования инцидента.

Первая информация об утечке данных пользователей Dell появилась на хакерском форуме Breach Forums 28 апреля 2024 года. Хакер под псевдонимом Menelik попытался продать базу данных, утверждая, что она содержит информацию о 49 миллионах клиентов и системах, приобретенных у Dell в период с 2017 по 2024 год.

Получив доступ к порталу в марте 2024 года, Menelik создал программу, которая генерировала 7-значные сервисные метки и отправляла их на портал, чтобы скачивать возвращаемую информацию. По словам хакера, похищенные данные клиентов связаны с оборудованием


Подробнее: https://extrim-security.ru/news-ib/tpost/6vvtlh90v1-haker-pohitil-dannie-49-mln-klientov-del

С задержкой выкладываем сюда запись нашего вебинара о том "Как расставить капканы для злоумышленников"👾

Поговорили о статистике за 2023 год, разобрали на примерах какие точки входа в ИТ-инфраструктуру компании могут использовать злоумышленники

Подход к управлению уязвимостями – повторение мать учения. Обсудили цикл и варианты

Разбрали как можно сократить издержки + демонстрация интерфейса и возможностей продукта MaxPatrol VM

#вебинар

Хакер под псевдонимом "Cvsp" предлагает на продажу RCE-эксплойт для уязвимости нулевого дня в Microsoft Outlook, который успешно работает на нескольких версиях программы

Эксплойт оценивается в 1 700 000 долларов, что свидетельствует о его потенциальной опасности. Специалисты в области кибербезопасности выражают серьезную озабоченность, поскольку уязвимость затрагивает широко распространенные офисные программы.

Пользователям рекомендуется быть особенно внимательными, следить за обновлениями и не открывать подозрительные файлы.

Подробнее: https://extrim-security.ru/news-ib/tpost/bzl83pboh1-visokourovnevii-rce-eksploit-dlya-outloo

📶Ученые разработали способ определения расположения и поз людей внутри помещений с помощью Wi-Fi сигнала, используя стандартные домашние маршрутизаторы и технологии машинного обучения

Программа DensePose анализирует изображения, выделяет человеческие фигуры и определяет их позы, учитывая особенности движения различных частей тела.

Система без труда справляется с необычными вариантами расположения тела в пространстве. Например, нейросетевая модель правильно определяет людей на велосипедах, мотоциклах и верхом на лошадях, а также верно интерпретирует позы бейсболистов.

Подробнее: https://extrim-security.ru/news-ib/tpost/xtc4r3n9y1-kak-naiti-cheloveka-i-raspoznat-ego-pozu

Исследователи обнаружили новую уязвимость в стандарте Wi-Fi IEEE 802.11, которая позволяет злоумышленникам прослушивать сетевой трафик и переводить жертв на менее безопасные сети.

Атака, названная SSID Confusion, связана с уязвимостью CVE-2023-52424 и влияет на все операционные системы и клиентов Wi-Fi, включая домашние сети и Mesh Wi-Fi, основанные на различных протоколах. Суть атаки заключается в подмене имени доверенной сети (SSID), что позволяет перехватывать трафик или проводить дальнейшие атаки. Успешная атака также отключает VPN с функцией автоматического отключения в доверенных сетях, оставляя трафик жертвы без защиты.

Проблема возникает из-за того, что стандарт Wi-Fi не требует аутентификации имени сети (SSID) и не гарантирует, что пользователь подключается к нужной сети. Для проведения атаки необходимо, чтобы жертва хотела подключиться к доверенной сети, была доступна мошенническая сеть с такими же учетными данными, а злоумышленник находился в пределах досягаемости для проведения атаки "противник посередине".

Для устранения проблемы предлагается обновить стандарт Wi-Fi и улучшить защиту радиомаяков.

Подробнее: https://extrim-security.ru/news-ib/tpost/h02x7elrk1-milliardi-ustroistv-pod-ugrozoi-iz-za-di

🚧🚧🚧Через ботнет Phorpiex отправлены миллионы фишинговых писем🚧🚧🚧

Через ботнет Phorpiex было разослано большое количество фишинговых писем, связанных с использованием программы-вымогателя LockBit Black. Об этом предупредил Центр интеграции кибербезопасности и коммуникаций Нью-Джерси (NJCCIC).

Письма обычно содержать тему типа «Ваш документ» или «Это ты на фото???». Во вложении лежит архив с файлом, который при открытии устанавливает LockBit Black в систему и шифрует все его данные.

Возможно, что вредонос LockBit Black, применяемый в данной атаке,, основан на LockBit 3.0, Который был слит в сеть в 2022 году. Хотя текущая кампания и не имеет отношения к оригинальной группе LockBit.

Письма отправляются с 1500 уникальных IP-адресов по всему миру, включая Казахстан, Узбекистан, Иран, Россию и Китай. Цель - все! В ловушку попадаются все сферы деятельности.

Подробнее: https://extrim-security.ru/news-ib/tpost/0k7x7f2sj1-cherez-botnet-phorpiex-otpravleni-millio

Исследователи обнаружили неизвестный кейлоггер на главной странице Microsoft Exchange Server

Злоумышленники собирали вводимые данные учётных записей и передавали их через интернет. В ходе анализа специалисты выявили более 30 жертв в разных странах, включая правительственные структуры, банки и учебные заведения.

Большинство пострадавших были из стран Африки и Ближнего Востока.

Подробнее: https://extrim-security.ru/news-ib/tpost/ycy4h0xtn1-positive-technologies-viyavila-neizvestn

Центр исследования киберугроз Solar 4RAYS ГК «Солар» сообщил о блокировке шпионской активности APT-группы Obstinate Mogwai в инфраструктуре неназванного российского телеком-оператора

Хакеры использовали уязвимость десериализации в параметре ViewState среды ASP.NET для выполнения любых действий в атакованной системе. Уязвимость, известная с 2014 года, позволяет злоумышленникам выполнять произвольный код и красть данные.

Специалисты Solar 4RAYS обнаружили использование уязвимости при отправке злоумышленниками сериализованных инструкций в атакованную систему.

Подробнее: https://extrim-security.ru/news-ib/tpost/8h4zjuv5g1-gruppirovka-obstinate-mogwai-ispolzuet-b

Сегодня в Москве началось масштабное мероприятие по кибербезу PHDays от Positive Technologies!

Одновременно на площадке проводится множество активностей! А самое приятное, что вход открыт всем желающим🙌🏻

Кто в Москве, приходите знакомиться с вендором и нашими представителями в Лужники! Они проведут вам шикарную экскурсию по продуктам и расскажут свежайшие новости из мира кибербеза🧠

Кто из других городов: на сайте мероприятия ведется прямая трансляция выступлений на главной сцене - https://phdays.com/. Настоятельно приглашаем изучить программу и послушать интересующие вас темы :)

Хакер NanoBaiter взломал кол-центр мошенников, заполучил исходный код их инструментов и предупредил всех пострадавших о фальшивых и бесполезных антивирусных программах.

Такие акции самосуда становятся все более популярными на YouTube, где видеоролики, где хакеры взламывают или иным образом вмешиваются в работу мошеннических кол-центров, набирают миллионы просмотров. Один из таких взломов был направлен на компанию Waredot, которая якобы предоставляет антивирусные решения.

NanoBaiter утверждает, что Waredot является мошеннической организацией и рекомендует пострадавшим требовать возврата средств. Мошенники из кол-центра предлагают жертвам свое антивирусное ПО, которое часто стоит гораздо больше, чем настоящие антивирусы, и не работает.

После публикации видео о Waredot, NanoBaiter предоставил доказательства своей атаки изданию 404 Media и уничтожил множество данных компании, включая базу данных с ключами клиентов.

Подробнее: https://extrim-security.ru/news-ib/tpost/bcn1yxpok1-haker-vzlomal-moshennicheskii-koll-tsent

Мы очень любим карточки по ИБ! Особенно, если там что-то полезное.

Ловите реально полезные карточки от нашего эксперта Алексея Горелкина:

Коротко про то, как определить уровень киберкультуры в компании и как работать над ее развитием. (ИБ 🫰🏻HR)

Всем киберграмотность.

С 26 мая 2024 года в логистической компании СДЭК наблюдаются серьезные проблемы: уже третьи сутки не работает приложение и сайт компании, а также не принимаются и не выдаются отправления📬

В компании обещают сохранить все посылки и выдать их после устранения технических проблем, а также увеличить срок хранения в пункте выдачи заказов при необходимости. Однако, несмотря на заявления представителей СДЭК о нахождении на завершающем этапе восстановления полной функциональности сервисов, на утро 28 мая 2024 года никаких изменений не произошло.

Хакерская группировка Head Mare заявила в X (бывшем Twitter), что взломала СДЭК, зашифровала данные и удалила резервные копии, утверждая, что системные администраторы компании были недостаточно компетентными, а политики безопасности неэффективными.

Подробнее: https://extrim-security.ru/news-ib/tpost/i8y21dv281-otvetstvennost-za-ataku-na-sdek-vzyala-n

👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾

Новый выпуск подкаста уже доступен на платформах!

В продолжение темы социальной инженерии, разбираем зачем сотрудникам компаний владеть базовыми принципами инфобеза💣

Светлана Попова, менеджер по работе с клиентами из StartX, рассказала чем важно обучение сотрудников и почему СЗИ недостаточно!

Слушать на Яндекс.Музыке, СберЗвуке, ВК и mave. Или прямо на нашем сайте

UPD: Теперь и в тг такая возможность есть)