Hide *Exploitable* Extended-Rights (including DCSync privs) to remain persistence

#ActiveDirectory

https://medium.com/@huykha/hide-exploitable-extended-rights-to-remain-persistence-92a2e1d3670d

Auditing containers with #osquery

When running containers in production with Docker, bad configurations can easily lead to vulnerable environments: privileged containers, processes inside a container that are running with the root user or lack of AppArmor profiles for security restrictions are some common examples. An attacker who exploits application vulnerabilities in the container could use this lack of restrictions to access to the host or other servers on your network. Using osquery, we will query the Docker daemon like a relational database and quickly identify these security flaws.

https://itnext.io/auditing-containers-with-osquery-389636f8c420

#OSQuery Nuestro Linux controlado en todo momento

https://www.ochobitshacenunbyte.com/2018/07/19/osquery-nuestro-linux-controlado-en-todo-momento/

Múltiples vulnerabilidades en Cisco Small Business 220 Series Smart Switches

Fecha de publicación: 07/08/2019
Importancia: 5 - Crítica

Recursos afectados: 

Cisco Small Business 220 Series Smart Switches que ejecuten firmware anterior a 1.1.4.4 con la interfaz de gestión web habilitada.

Descripción: 
El investigador de seguridad, bashis, a través del programa de divulgación VDOO, ha informado del descubrimiento de dos vulnerabilidades, ambas de severidad crítica, de tipo omisión de autenticación y ejecución remota de código.


https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-cisco-small-business-220-series-smart

Evasión de restricciones de acceso en CVAE de HPE

Fecha de publicación: 07/08/2019
Importancia: 4 - Alta

Recursos afectados: 
HP XP7 CVAE (Command View Advanced Edition), versiones anteriores a 8.6.2-02.
DevMgr, versiones desde 7.0.0-00, hasta la anterior a 8.6.1-02.
RepMgr y TSMgr, si están instalados en la misma máquina que DevMgr.

Descripción: 
El equipo de respuesta de seguridad de HPE ha descubierto una vulnerabilidad que podría saltarse o evitar las restricciones de acceso, tanto de manera local como remota, en el producto CVAE (Command View Advanced Edition) del fabricante.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/evasion-restricciones-acceso-cvae-hpe

Vulnerabilidad de canal lateral SWAPGS en múltiples CPUs

Fecha de publicación: 07/08/2019
Importancia: 3 - Media

Recursos afectados: 
Las CPUs que soportan la instrucción SWAPGS se ven afectadas. Varios fabricantes han publicado avisos relativos a esta vulnerabilidad, especificando sus productos afectados:
Microsoft.
Red Hat.

Descripción: 
Los investigadores Dan Horea Luțaș y Andrei Vlad Luțaș, de Bitdefender, han descubierto una nueva vulnerabilidad de ejecución especulativa, y han demostrado cómo puede ser explotada a través de un ataque de canal lateral (side-channel attack), denominándolo ataque SWAPGS. Esta vulnerabilidad es una variante de Spectre Variant 1

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-canal-lateral-swapgs-multiples-cpus

Múltiples vulnerabilidades en productos Cisco

Fecha de publicación: 08/08/2019
Importancia: 4 - Alta

Recursos afectados: 
Para Cisco Webex Business Suite, todas las versiones de Webex Network Recording Player y de Webex Player, anteriores a 39.5.5.
Para Cisco Webex Meetings Online, todas las versiones de Webex Network Recording Player y de Webex Player, anteriores a 1.3.43.
Para Cisco Webex Meetings Server, todas las versiones de Webex Network Recording Player, anteriores a 2.8MR3Patch3, 3.0MR2Patch4, 4.0 o 4.0MR1.
Cisco Enterprise NFV Infrastructure Software (NFVIS), versiones anteriores a 3.12.1.
Cisco IOS XR Software, versiones:
posteriores a 6.5.1 pero anteriores a 6.6.3;
anteriores a 6.6.3 y que están configuradas con el protocolo IS-IS (Intermediate System to intermediate System) de enrutamiento.
Cisco ASA Software, versión 8.2 y posteriores con el acceso de gestión web habilitado.

Descripción: 
Cisco ha publicado cinco vulnerabilidades de criticidad alta. Un atacante podría realizar ataques de ejecución de código arbitrario, omisión de autenticación, denegación de servicio (DoS) y escalada de privilegios si explota dichas vulnerabilidades.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-cisco-51

Reverse #RDP Attack: The Hyper-V Connection

https://research.checkpoint.com/reverse-rdp-the-hyper-v-connection

#Apple Opens Its Invite-Only #BugBounty Program to All Researchers

Apple decided to open its bug-bounty program and allow participation from all security researchers. While the resolution is not effective immediately, the wait will be brief. Some hand-picked researchers will be given a new toy for a deeper inspection of iPhones security.

https://www.bleepingcomputer.com/news/security/apple-opens-its-invite-only-bug-bounty-program-to-all-researchers/

Múltiples vulnerabilidades en productos F5

Fecha de publicación: 09/08/2019
Importancia: 4 - Alta

Recursos afectados: 
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator), versiones:
11.5.2 - 11.6.4,
12.1.0 - 12.1.4,
13.0.0 - 13.1.2,
14.0.0 y 14.1.0.
Enterprise Manager v3.1.1.

Descripción: 
F5 ha publicado múltiples vulnerabilidades que afectan a sus productos y que podrían permitir la denegación del servicio, exponer los procesos a usuarios no autorizados o escalar privilegios.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-f5-4

Múltiples vulnerabilidades en IDPA de Dell EMC

Fecha de publicación: 09/08/2019
Importancia: 5 - Crítica

Recursos afectados: 
Dell EMC IDPA (Integrated Data Protection Appliance), versiones 2.0, 2.1 y 2.2.

Descripción: 
El producto IDPA de Dell EMC contiene tres vulnerabilidades, una de severidad crítica y dos altas, que podrían ser explotadas por usuarios malintencionados para comprometer el sistema afectado.

Solución: 
Dell EMC ha publicado la versión 2.3 de IDPA para corregir estas vulnerabilidades, disponible desde los siguientes enlaces, según la versión del producto que tenga instalado el usuario:
Los usuarios con IDPA 2.0 deben actualizar a la versión 2.1 primero, y después a la 2.3, para solucionar estas vulnerabilidades.
IDPA 2.1.
IDPA 2.2.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-idpa-dell-emc

Finding Evil in #Windows 10 Compressed Memory, Part One: #Volatility and #Rekall Tools

https://www.fireeye.com/blog/threat-research/2019/07/finding-evil-in-windows-ten-compressed-memory-part-one.html

Finding Evil in Windows 10 Compressed Memory, Part Two: Virtual Store Deep Dive

https://www.fireeye.com/blog/threat-research/2019/08/finding-evil-in-windows-ten-compressed-memory-part-two.html

Finding Evil in Windows 10 Compressed Memory, Part Three: Automating Undocumented Structure Extraction

https://www.fireeye.com/blog/threat-research/2019/08/finding-evil-in-windows-ten-compressed-memory-part-three.html

Exfiltrando información con un simple comando 'whois'

#Hackplayers
https://www.hackplayers.com/2019/08/exfiltrando-informacion-con-un-simple-whois.html

#Intel Releases Security Updates

Intel has released security updates to address vulnerabilities in multiple products. An attacker could exploit some of these vulnerabilities to gain an escalation of privileges on a previously infected machine.

The Cybersecurity and Infrastructure Security Agency (CISA) encourages users and administrators to review the following Intel advisories and apply the necessary updates:

RAID Web Console 2 Advisory INTEL-SA-00246
NUC Advisory INTEL-SA-00272
Authenticate Advisory INTEL-SA-00275
Driver and Support Assistant Advisory INTEL-SA-00276
Remote Displays SDK Advisory INTEL-SA-00277
Processor Identification Utility for Windows Advisory INTEL-SA-00281
Computing Improvement Program Advisory INTEL-SA-00283

https://www.us-cert.gov/ncas/current-activity/2019/08/13/intel-releases-security-updates

CVE-2019-1181
CVE-2019-1182
CVE-2019-1122
CVE-2019-1126

Remote Desktop Services Remote Code Execution Vulnerability

Security Vulnerability

Published: 08/13/2019 

Cuatro nuevas vulnerabilidades en el servicio #RDP de #Microsoft permite la ejecución de código remoto similar a la vulnerabilidad BlueKeep.


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

Actualización de seguridad de Joomla! 3.9.11

Fecha de publicación: 14/08/2019
Importancia: 2 - Baja

Recursos afectados: 
Joomla! CMS, versiones desde la 1.6.2 hasta la 3.9.10.

Descripción: 
Joomla! ha publicado una nueva versión que soluciona una vulnerabilidad de criticidad baja en su núcleo, de tipo control de acceso incorrecto.

Solución: 
Actualizar a la versión 3.9.11.

Detalle: 
Unas comprobaciones inadecuadas en com_contactpodrían permitir el envío de correo en formularios deshabilitados.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-joomla-3911

Boletín de seguridad de Microsoft de agosto de 2019

Fecha de publicación: 14/08/2019
Importancia: 5 - Crítica

Recursos afectados: 
Microsoft Windows.
Internet Explorer.
Microsoft Edge.
ChakraCore.
Microsoft Office, Microsoft Office Services y Web Apps.
Visual Studio.
Online Services.
Active Directory.
Microsoft Dynamics.

Descripción: 
La publicación de actualizaciones de seguridad de Microsoft correspondiente al mes de agosto consta de 94 vulnerabilidades, 29 clasificadas como críticas y 65 como importantes.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/boletin-seguridad-microsoft-agosto-2019

Vulnerabilidad en productos TIBCO

Fecha de publicación: 14/08/2019
Importancia: 4 - Alta

Recursos afectados: 
TIBCO LogLogic Enterprise Virtual Appliance versiones 6.2.1 y anteriores,
TIBCO LogLogic Log Management Intelligence versiones 6.2.1 y anteriores,
Las siguientes dispositivos:
TIBCO LogLogic LX825 Appliance 0.0.004,
TIBCO LogLogic LX1025 Appliance 0.0.004,
TIBCO LogLogic LX4025 Appliance 0.0.004,
TIBCO LogLogic MX3025 Appliance 0.0.004,
TIBCO LogLogic MX4025
Appliance 0.0.004,
TIBCO LogLogic ST1025 Appliance 0.0.004,
TIBCO LogLogic ST2025-SAN Appliance 0.0.004,
TIBCO LogLogic ST4025 Appliance 0.0.004 con TIBCO LogLogic Log Management Intelligence, versiones 6.2.1 y anteriores,
TIBCO LogLogic LX1035 Appliance 0.0.005,
TIBCO LogLogic LX1025R1 Appliance 0.0.004,
TIBCO LogLogic LX1025R2 Appliance 0.0.004,
TIBCO LogLogic LX4025R1 Appliance 0.0.004,
TIBCO LogLogic LX4025R2 Appliance 0.0.004,
TIBCO LogLogic LX4035 Appliance 0.0.005,
TIBCO LogLogic ST2025-SANR1 Appliance 0.0.004,
TIBCO LogLogic ST2025-SANR2 Appliance 0.0.004,
TIBCO LogLogic ST2035-SAN Appliance 0.0.005,
TIBCO LogLogic ST4025R1 Appliance 0.0.004,
TIBCO LogLogic ST4025R2 Appliance 0.0.004,
TIBCO LogLogic ST4035 Appliance 0.0.005 con TIBCO LogLogic Log Management Intelligence, versiones 6.2.1 y anteriores.
El componente web server.

Descripción: 
TIBCO ha publicado múltiples vulnerabilidades en sus productos que podrían permitir ataques XSS y CSRF.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-productos-tibco

Actualización de seguridad de SAP de agosto de 2019

Fecha de publicación: 14/08/2019
Importancia: 5 - Crítica

Recursos afectados: 
SAP NetWeaver UDDI Server (Services Registry), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50
SAP Business Client, versión 6.5.
SAP Commerce Cloud (Virtualjdbc Extension y Mediaconversion Extension), versiones 6.4, 6.5, 6.6, 6.7, 1808, 1811 y 1905.
SAP NetWeaver Application Server para Java (Administrator System Overview), versiones 7.30, 7.31, 7.40 y 7.50.
SAP HANA Database, versiones 1.0 y 2.0.
SAP Kernel (ABAP Debugger), versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, 7.73, KERNEL 7.21, 7.49, 7.53, 7.73, 7.75, 7.76 y 7.77.
SAP Enable Now, versión 1902.
SAP NetWeaver Process Integration (Java Proxy Runtime), versiones 7.10, 7.11, 7.30, 7.31, 7.40 y 7.50.
SAP Gateway, versiones 750, 751, 752 y 753.
SAP Business Objects Business Intelligence Platform (BI Workspace, Info View, Web Intelligence y CMC), versiones 4.1, 4.2 y 4.3.

Descripción: 
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-agosto-2019

Google revela un fallo en todas las versiones de Windows desde hace 20 años

https://unaaldia.hispasec.com/2019/08/google-revela-un-fallo-en-todas-las-versiones-de-windows-desde-hace-20-anos.html

[SECURITY] [DLA 1889-1] python3.4 security update

#Debian

https://lists.debian.org/debian-lts-announce/2019/08/msg00022.html