Информация опасносте

2021-03-09 07:52:01 Там вчера Apple внезапно для всех своих операционных систем (iOS/iPadOS/watchOS/macOS 11/macOS 10.14-10.15) выпустила обновление, которое исправляет одну уязвимость (CVE-2021-1844) в WebKit — движке браузера Safari. Скорость и массовость этого апдейта как бы намекает, что есть смысл не задерживаться с обновлением своих устройств.

Подробный анализ того, что еще есть в этом апдейте, кроме официальных релизнот
https://eclecticlight.co/2021/03/08/apple-has-released-big-sur-11-2-3/ Открыть/Комментировать

2021-03-09 07:35:11 ох лол, социальная сеть Gab опять…
https://twitter.com/th3j35t3r/status/1369058137152585730 Открыть/Комментировать

2021-03-08 09:40:22 https://gizmodo.com/someone-is-hacking-the-hackers-1846406428 Открыть/Комментировать

2021-03-06 14:29:55 Вообще 2021 год неплохо начался Открыть/Комментировать

2021-03-06 14:29:04 Я тут несколько дней назад писал про несколько уязвимостей в сервере Microsoft Exchange, которые исправила Microsoft. И даже сопроводил все комментарием про «небольшую алярму», но, похоже, алярма как раз большая

https://t.me/alexmakus/3927

Там, по сути, если у организации был сервер Exchange, с OWA, торчащей в интернет, в период с конца февраля до первых чисел марта, то, считай, все пропало. Первые сигналы о взломах появились ещё 6 января. Сейчас оценки - о 30 тысячах организаций, часто это небольшие компании и локальные госорганизации, которые, вероятней всего, уже стали жертвами взлома серверов.

В этот раз отличились китайские хакеры, и, по некоторым комментариям, «owned the world”. При этом они как раз сильно активизировались после выхода патча, находя и взламывая ещё непропатченные серверы.

https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/

https://www.wired.com/story/china-microsoft-exchange-server-hack-victims/


Кроме информация об апдейтах, которые уже опубликовала Microsoft и они есть в предыдущем посте, компания также опубликовала рекомендации для тех, кто по какой-то причине не может пока что поставить апдейт. Это включает в себя кое-какие изменения конфигураций и отключение функциональности, и снижает риски взлома, но не настолько, как в случае с патчем

https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/ Открыть/Комментировать

2021-03-05 17:41:30 LOL, практикант, работавший в тюрьме, опубликовал в онлайне фото мастер-ключа, открывающего все замки в тюрьме. Теперь надо заменить 600 замков, поскольку по фото можно сделать копию ключа.

https://www.thelocal.de/20210305/intern-at-german-prison-faces-hefty-bill-after-sending-photo-of-master-key-to-friends/ Открыть/Комментировать

2021-03-05 11:21:01 я тут недавно писал о пиксельных трекерах в почте. там еще было обсуждение про варианты их блокировки, начиная от отключения загрузки удаленного контента до использования Pihole для отправки этих запросов в черную дыру. веб-почта тоже хороший вариант, а если вы Мак-юзер, который пользуется родным клиентом, то вам будет интересно узнать о плагине для Mail, который делает эту блокировку прямо на Маке

https://apparition47.github.io/MailTrackerBlocker/ Открыть/Комментировать

2021-03-05 07:59:01 большие отчеты Microsoft и FireEye о дополнительных вредоносных приложениях, которые были применены после взлома SolarWinds (все время хочется написать SolarWindows).

GoldMax - бэкдор, который использования для выполнения различных команд на взломанных системах (он же SUNSHUTTLE в отчете FireEye)
Sibot — VBScript, который обеспечивал сохранение заражения после перезагрузки хостов
GoldFinger - как я понял, коммуникационный модуль для передачи данных с зараженного хоста на сервер

https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/

https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html


Это все — в дополнение к уже ранее озвученным:

• Sunspot https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
• Solorigate (Sunburst) https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
• Teardrop https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/
• Raindrop https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware Открыть/Комментировать

2021-03-04 14:56:01 а мне вот нравится этот выбор регионов: учитывая существование California Consumer Privacy Act, видимо, эта версия продукта собирает меньше информации о пользователе? (как и европейская, потому что GDPR). Ну или что она там меньше делает, главное, чтобы не меньше вирусов ловила Открыть/Комментировать

2021-03-04 08:30:17 === РЕКЛАМА ===

Хотите использовать реверс-инжиниринг в работе?

9 марта на демо-занятии «Эксплуатация уязвимостей в драйвере. Часть 1» вы разберете уязвимости переполнения в драйверах. Преподаватель Артур Пакулов разберет пример классической уязвимости переполнения буфера, уязвимости переполнения целочисленного типа и особенности разработки эксплойтов в режиме ядра.

Демо-занятие — возможность попробовать онлайн-курс «Reverse-Engineering. Basic» и познакомиться с экспертом. Базовый уровень программы познакомит вас с ключевыми возможностями реверс-инжиниринга.
Для регистрации на занятие пройдите вступительный тест: https://otus.pw/jYeb/
23 марта вас ждет продолжение демо-занятия «Эксплуатация уязвимостей в драйвере. Часть 2»: https://otus.pw/FwLE/

=== РЕКЛАМА === Открыть/Комментировать