Forwarded from Хакер — Xakep.RU
Microsoft заблокирует файлы Excel XLL, загруженные из интернета
Разработчики Microsoft собираются добавить дополнительную защиту для файлов надстроек Excel (.XLL) для Microsoft 365. Новые меры будут включать автоматическую блокировку таких файлов, загруженных из интернета.
https://xakep.ru/2023/01/26/xll-block/
Разработчики Microsoft собираются добавить дополнительную защиту для файлов надстроек Excel (.XLL) для Microsoft 365. Новые меры будут включать автоматическую блокировку таких файлов, загруженных из интернета.
https://xakep.ru/2023/01/26/xll-block/
Forwarded from opennet.ru
Компания Canonical объявила о готовности сервиса Ubuntu Pro https://opennet.ru/58557/
www.opennet.ru
Компания Canonical объявила о готовности сервиса Ubuntu Pro
Компания Canonical объявила о готовности к повсеместному использованию сервиса Ubuntu Pro, предоставляющего доступ к расширенным обновлениям для LTS-веток Ubuntu. Сервис предоставляет возможность получать обновления с исправлениями уязвимостей на протяжении…
Forwarded from SecAtor
Ресерчеры SentinelOne сообщают о ранее неизвестной хакаской группе DragonSpark, которая использует интерпретатор исходного кода Golang в ходе шпионских атак на организаций в Восточной Азии.
Как выяснили SentinelLabs, китайскоязычный злоумышленник взламывает веб-серверы и базы данных MySQL, развертывая веб-оболочки с помощью SQL-инъекций, межсайтовых сценариев или уязвимостей.
Группа использует малоизвестный инструмент с открытым исходным кодом SparkRAT, который может работать в Windows, macOS, Linux и предлагает многофункциональные функции удаленного доступа, поддерживая 26 команд.
Связь с C2 реализуется через протокол WebSocket. SparkRAT может автоматически обновляться, добавляя новый функционал.
Помимо него DragonSpark также задействует SharpToken и BadPotato для повышения привилегий и инструмент GotoHTTP для установления постоянства во взломанной среде.
Особенностью кампании является использование интерпретации исходного кода Golang для выполнения кода из сценариев Go, встроенных в двоичные файлы вредоносного ПО. В детали вдаваться не будем - метод подробно описан в отчете исследователей.
Но на самом деле примечательно другое: ТТР DragonSpark не имеет каких-либо совпадений с другими китайскоязычными хакерскими группами.
Даже несмотря на то, что операции были впервые обнаружены в сентябре 2022 года с использованием вредоносного ПО Zegost, исторически связанного с китайскими APT, ориентированными на шпионаж. Но связать с ними DragonSpark ресерчерам не удалось.
В то же время и установленная DragonSpark на скомпрометированных серверах оболочка China Chopper - широко используется злоумышленниками по всему миру. Как и все другие используемые группой инструменты с открытым исходным кодом, которые были разработаны китайскими авторами.
Все же учитывая, что злоумышленник использует скомпрометированную инфраструктуру в Китае, Тайване и Сингапуре, за активностью DragonSpark, по всей видимости, в реальности могут стоять американские или сингапурские АРТ.
Но об этом в SentinelOne точно не расскажут.
Как выяснили SentinelLabs, китайскоязычный злоумышленник взламывает веб-серверы и базы данных MySQL, развертывая веб-оболочки с помощью SQL-инъекций, межсайтовых сценариев или уязвимостей.
Группа использует малоизвестный инструмент с открытым исходным кодом SparkRAT, который может работать в Windows, macOS, Linux и предлагает многофункциональные функции удаленного доступа, поддерживая 26 команд.
Связь с C2 реализуется через протокол WebSocket. SparkRAT может автоматически обновляться, добавляя новый функционал.
Помимо него DragonSpark также задействует SharpToken и BadPotato для повышения привилегий и инструмент GotoHTTP для установления постоянства во взломанной среде.
Особенностью кампании является использование интерпретации исходного кода Golang для выполнения кода из сценариев Go, встроенных в двоичные файлы вредоносного ПО. В детали вдаваться не будем - метод подробно описан в отчете исследователей.
Но на самом деле примечательно другое: ТТР DragonSpark не имеет каких-либо совпадений с другими китайскоязычными хакерскими группами.
Даже несмотря на то, что операции были впервые обнаружены в сентябре 2022 года с использованием вредоносного ПО Zegost, исторически связанного с китайскими APT, ориентированными на шпионаж. Но связать с ними DragonSpark ресерчерам не удалось.
В то же время и установленная DragonSpark на скомпрометированных серверах оболочка China Chopper - широко используется злоумышленниками по всему миру. Как и все другие используемые группой инструменты с открытым исходным кодом, которые были разработаны китайскими авторами.
Все же учитывая, что злоумышленник использует скомпрометированную инфраструктуру в Китае, Тайване и Сингапуре, за активностью DragonSpark, по всей видимости, в реальности могут стоять американские или сингапурские АРТ.
Но об этом в SentinelOne точно не расскажут.
SentinelOne
DragonSpark | Attacks Evade Detection with SparkRAT and Golang Source Code Interpretation
A cluster of attacks uses a novel technique, Golang source code interpretation, to avoid detection while also deploying a little-known tool called SparkRAT.
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Только опубликовано крутое исследование по обходу методов анализа EDR на основе трассировки стека
https://0xdarkvortex.dev/proxying-dll-loads-for-hiding-etwti-stack-tracing/
#redtram #maldev
https://0xdarkvortex.dev/proxying-dll-loads-for-hiding-etwti-stack-tracing/
#redtram #maldev
0xdarkvortex.dev
Hiding In PlainSight - Proxying DLL Loads To Hide From ETWTI Stack Tracing
Dark Vortex provides various cybersecurity trainings, products and other services.
Forwarded from OSINT CLUB
Ребята из ирозыска засмущались и потерли пропаганду. Но! Хотелось бы напомнить "шерлокам холмсам цифровой эпохи", что интернет помнит все, и трусливо спрятать Z голоVного моZга так просто не получится с:
Forwarded from opennet.ru
Выпуск языка программирования Rust 1.67 https://opennet.ru/58558/
www.opennet.ru
Выпуск языка программирования Rust 1.67
Опубликован релиз языка программирования общего назначения Rust 1.67, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет…
Forwarded from Mobile AppSec World (Yury Shabalin)
Краткий отчет о попытке эксплуатации уязвимости на пост выше
Все таки шикарные люди у нас! Спасибо большое @luigivampa92, что попробовал засплойтить и не поленился об этом написать :)
немного не получилось довести до конца и автор рассказывает почему это так и что нужно, чтобы все-таки это сделать. Ну и немного подробностей непосредственно эксплойта, на чем основан и что делает.
Круто, спасибо!
Все таки шикарные люди у нас! Спасибо большое @luigivampa92, что попробовал засплойтить и не поленился об этом написать :)
немного не получилось довести до конца и автор рассказывает почему это так и что нужно, чтобы все-таки это сделать. Ну и немного подробностей непосредственно эксплойта, на чем основан и что делает.
Круто, спасибо!
Forwarded from Pavel Vasiliev
В общем, краткий отчёт по попытке прогнать эксплоит CVE-2022-38181 на девайсе с Mali GPU - ничего не заработало, что и не мудрено, достаточно заглянуть код чтобы понять почему)
К сожалению, как часто и бывает в подобного рода эксплоитах, вся эксплуатация и постэксплуатация основана на точных значениях смещений к расположению в памяти ядра определённых функций и данных, которые в этом коде высчитаны только для pixel 6 и только для определённых билдов. Плюс ко всему, расчёты сделаны только для ядра под 64 битную архитектуру, а в моём устройстве довольно старая башка на armeabi-v7a.
В целом после получения возможности писать в память дальше работает уже классический подход - переписывается состояние selinux и выключаются ограничения на некоторые изначально заблокированные системные вызовы, потом для процесса переписываются значения кредов в нули, потом тригерится создание дочернего процесса, который в свою очередь наследует "типа родительский" uid=0. И дальше им уже можно пользоваться как шеллом.
Тем не менее, выглядит всё очень интересно и круто. Я вообще ни разу не спец в написании бинарных эксплоитов, технике поиска нужных смещений и т.д. но уверен что если заморочиться с этим и приготовить эксплоит именно под мою конкретную сборку системы, то всё поидее должно отработать
К сожалению, как часто и бывает в подобного рода эксплоитах, вся эксплуатация и постэксплуатация основана на точных значениях смещений к расположению в памяти ядра определённых функций и данных, которые в этом коде высчитаны только для pixel 6 и только для определённых билдов. Плюс ко всему, расчёты сделаны только для ядра под 64 битную архитектуру, а в моём устройстве довольно старая башка на armeabi-v7a.
В целом после получения возможности писать в память дальше работает уже классический подход - переписывается состояние selinux и выключаются ограничения на некоторые изначально заблокированные системные вызовы, потом для процесса переписываются значения кредов в нули, потом тригерится создание дочернего процесса, который в свою очередь наследует "типа родительский" uid=0. И дальше им уже можно пользоваться как шеллом.
Тем не менее, выглядит всё очень интересно и круто. Я вообще ни разу не спец в написании бинарных эксплоитов, технике поиска нужных смещений и т.д. но уверен что если заморочиться с этим и приготовить эксплоит именно под мою конкретную сборку системы, то всё поидее должно отработать
Forwarded from Утечки информации
Вчера на тот же самый форум, куда "слили" исходные коды Яндекса (про которые написали все 😎), были выложены исходные коды предположительно сервиса для инвестиций на фондовом и валютном рынке «Газпромбанк Инвестиции» (gazprombank.investments). 🔥🔥🔥
В отличии от исходников Яндекса, где нет данных пользователей, в этих файлах (всего более 233 тыс. штук) были обнаружены текстовые выгрузки, содержащие персональные данные клиентов. 👇
В самой крупной выгрузке находится 38,997 строк:
🌵 ФИО
🌵 телефон (34,590 уникальных номеров)
🌵 адрес эл. почты (34,623 уникальных адресов)
🌵 пол
🌵 дата рождения
🌵 серия/номер паспорта, кем и когда выдан, код подразделения
🌵 номер договора и его дата (с 12.05.2020 по 17.05.2021)
🌵 признак квалифицированного инвестора
В другой выгрузке содержатся данные этих же клиентов, но уже с адресом.
Судя по всему, данные актуальны на 17.05.2021.
В отличии от исходников Яндекса, где нет данных пользователей, в этих файлах (всего более 233 тыс. штук) были обнаружены текстовые выгрузки, содержащие персональные данные клиентов. 👇
В самой крупной выгрузке находится 38,997 строк:
🌵 ФИО
🌵 телефон (34,590 уникальных номеров)
🌵 адрес эл. почты (34,623 уникальных адресов)
🌵 пол
🌵 дата рождения
🌵 серия/номер паспорта, кем и когда выдан, код подразделения
🌵 номер договора и его дата (с 12.05.2020 по 17.05.2021)
🌵 признак квалифицированного инвестора
В другой выгрузке содержатся данные этих же клиентов, но уже с адресом.
Судя по всему, данные актуальны на 17.05.2021.
Forwarded from CloudSec Wine (Artem)
🔷 EmojiDeploy: Smile! Your Azure web service just got RCE’d
A remote code execution vulnerability affecting Azure cloud services and other cloud sovereigns including Function Apps, App Service and Logic Apps.
https://ermetic.com/blog/azure/emojideploy-smile-your-azure-web-service-just-got-rced
#azure
A remote code execution vulnerability affecting Azure cloud services and other cloud sovereigns including Function Apps, App Service and Logic Apps.
https://ermetic.com/blog/azure/emojideploy-smile-your-azure-web-service-just-got-rced
#azure
Forwarded from CloudSec Wine (Artem)
🔷 EmojiDeploy: Smile! Your Azure web service just got RCE’d
A remote code execution vulnerability affecting Azure cloud services and other cloud sovereigns including Function Apps, App Service and Logic Apps.
https://ermetic.com/blog/azure/emojideploy-smile-your-azure-web-service-just-got-rced
#azure
A remote code execution vulnerability affecting Azure cloud services and other cloud sovereigns including Function Apps, App Service and Logic Apps.
https://ermetic.com/blog/azure/emojideploy-smile-your-azure-web-service-just-got-rced
#azure
Forwarded from CloudSec Wine (Artem)
🔷 EmojiDeploy: Smile! Your Azure web service just got RCE’d
A remote code execution vulnerability affecting Azure cloud services and other cloud sovereigns including Function Apps, App Service and Logic Apps.
https://ermetic.com/blog/azure/emojideploy-smile-your-azure-web-service-just-got-rced
#azure
A remote code execution vulnerability affecting Azure cloud services and other cloud sovereigns including Function Apps, App Service and Logic Apps.
https://ermetic.com/blog/azure/emojideploy-smile-your-azure-web-service-just-got-rced
#azure
Forwarded from opennet.ru
Выпуск web-браузера CENO 2.0, использующего P2P-сеть для обхода блокировок https://opennet.ru/58559/
www.opennet.ru
Выпуск web-браузера CENO 2.0, использующего P2P-сеть для обхода блокировок
Компания eQualite опубликовала выпуск мобильного web-браузера CENO 2.0.0 (CEnsorship.NO), предназначенного для организации доступа к информации в условиях цензуры, фильтрации трафика или отключения сегментов интернета от глобальной сети. Браузер построен…
Forwarded from 🇺🇦 Security QA
Не тільки чатом GPT єдині) Доповнюємо різними можливостями штучний інтелект.
1. https://appicons.ai/ — генерує іконки для ваших програм;
2. https://excelformulabot.com/ — перекладає текстові інструкції в Excel формули!;
3. https://github.com/features/copilot — помічник програміста у реальному часі;
4. https://www.sheetai.app/ — перекладає ваші текстові інструкції у формули Google таблиць;
5. https://boo.ai/ —розумний помічник у написанні текстів;
6. https://plugins.jetbrains.com/plugin/20085-codeassist —ще один розумний помічник програміста;
7. https://audioread.com/ — перетворює текст на аудіо (подкаст);
8. https://makelogo.ai/ — малює логотипи та іконки;
9. https://wiz.chat/ — чат-бот GPT-3 для Slack;
10. https://www.browse.ai/ — ШІ для парсингу та екстракції даних із сайтів;
11. https://www.politepost.net/ — переробляє ваші грубі та швидко написані листи у вкрай ввічливі;
12. https://seo.ai/ — ваш розумний SEO помічник:
13. https://debuild.app/ — ШІ для створення сайтів;
14. https://webullar.com/ — ШІ для створення сайтів із смартфона;
25. https://www.voicemod.net/ — змінює ваш голос у режимі реального часу;
1. https://appicons.ai/ — генерує іконки для ваших програм;
2. https://excelformulabot.com/ — перекладає текстові інструкції в Excel формули!;
3. https://github.com/features/copilot — помічник програміста у реальному часі;
4. https://www.sheetai.app/ — перекладає ваші текстові інструкції у формули Google таблиць;
5. https://boo.ai/ —розумний помічник у написанні текстів;
6. https://plugins.jetbrains.com/plugin/20085-codeassist —ще один розумний помічник програміста;
7. https://audioread.com/ — перетворює текст на аудіо (подкаст);
8. https://makelogo.ai/ — малює логотипи та іконки;
9. https://wiz.chat/ — чат-бот GPT-3 для Slack;
10. https://www.browse.ai/ — ШІ для парсингу та екстракції даних із сайтів;
11. https://www.politepost.net/ — переробляє ваші грубі та швидко написані листи у вкрай ввічливі;
12. https://seo.ai/ — ваш розумний SEO помічник:
13. https://debuild.app/ — ШІ для створення сайтів;
14. https://webullar.com/ — ШІ для створення сайтів із смартфона;
25. https://www.voicemod.net/ — змінює ваш голос у режимі реального часу;
Forwarded from Хакер — Xakep.RU
«Мы хакнули хакеров». Правоохранители ликвидировали инфраструктуру вымогателя Hive
Правоохранительные органы 13 стран мира приняли участие в операции по ликвидации инфраструктуры RaaS-шифровальщика Hive. Министерство юстиции США, ФБР и Европол сообщают, что сумели проникнуть в инфраструктуру хак-группы еще в июле прошлого года, в итоге предотвратив выплату выкупов на общую сумму около 130 млн долларов.
https://xakep.ru/2023/01/27/hive-down/
Правоохранительные органы 13 стран мира приняли участие в операции по ликвидации инфраструктуры RaaS-шифровальщика Hive. Министерство юстиции США, ФБР и Европол сообщают, что сумели проникнуть в инфраструктуру хак-группы еще в июле прошлого года, в итоге предотвратив выплату выкупов на общую сумму около 130 млн долларов.
https://xakep.ru/2023/01/27/hive-down/
Forwarded from SecAtor
Lexmark выпустила обновление для исправления RCE-ошибки, затрагивающей 100 моделей принтеров, для которой доступен PoC.
Связанная с подделкой запроса на стороне сервера (SSRF) в функции веб-служб устройств Lexmark проблема отслеживается как CVE-2023-23560 и имеет рейтинг серьезности 9,0.
В бюллетене производителя утверждается, что ошибка может быть использована для RCE на устройстве, что может иметь более широкое влияние на организацию.
В контексте службы печати SSRF-уязвимость может дать злоумышленникам доступ к учетным данным для сети, к которой подключен принтер, и перейти к другим устройствам в сегменте со всеми вытекающими.
Несмотря на публикацию PoC-эксплойта в настоящее время в дикой природе уязвимость не эксплуатируется.
Полный список потенциально уязвимых устройств, выпуски уязвимых прошивок и обновленная версия, устраняющая проблему, доступны в бюллетене по безопасности Lexmark.
CVE-2023-23560 затрагивает широкий спектр принтеров, поэтому владельцам устройств Lexmark следует ознакомиться с рекомендациями и убедиться в использовании безопасной версии микроПО, выпущенной 18 января 2022 г. или позднее.
Для тех, кто не может установить обновление, Lexmark предлагает обходной путь отключения функции веб-служб на TCP-порту 65002, блокируя возможность злоумышленников использовать CVE-2023-23560.
Связанная с подделкой запроса на стороне сервера (SSRF) в функции веб-служб устройств Lexmark проблема отслеживается как CVE-2023-23560 и имеет рейтинг серьезности 9,0.
В бюллетене производителя утверждается, что ошибка может быть использована для RCE на устройстве, что может иметь более широкое влияние на организацию.
В контексте службы печати SSRF-уязвимость может дать злоумышленникам доступ к учетным данным для сети, к которой подключен принтер, и перейти к другим устройствам в сегменте со всеми вытекающими.
Несмотря на публикацию PoC-эксплойта в настоящее время в дикой природе уязвимость не эксплуатируется.
Полный список потенциально уязвимых устройств, выпуски уязвимых прошивок и обновленная версия, устраняющая проблему, доступны в бюллетене по безопасности Lexmark.
CVE-2023-23560 затрагивает широкий спектр принтеров, поэтому владельцам устройств Lexmark следует ознакомиться с рекомендациями и убедиться в использовании безопасной версии микроПО, выпущенной 18 января 2022 г. или позднее.
Для тех, кто не может установить обновление, Lexmark предлагает обходной путь отключения функции веб-служб на TCP-порту 65002, блокируя возможность злоумышленников использовать CVE-2023-23560.
Forwarded from opennet.ru
Выпуск дистрибутива для создания межсетевых экранов OPNsense 23.1 https://opennet.ru/58560/
www.opennet.ru
Выпуск дистрибутива для создания межсетевых экранов OPNsense 23.1
Сформирован релиз дистрибутива для создания межсетевых экранов OPNsense 23.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих…