Просто люблю такое - уязвимость в браузере в Тесле

https://leethax0.rs/2021/04/ElectricChrome/

ОПЯТЬ???

"NSA recently discovered a series of critical vulnerabilities in Microsoft Exchange and disclosed them to Microsoft. Once we discovered the vulnerabilities, we initiated the disclosure process to secure the nation and our allies."

Обещают апдейт сегодня

Дополнение — пост Microsoft по этому поводу
https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/

Вроде как пока что эксплуатаций не было

Свежие патчи подъехали для Exchange

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28482
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483

даже немного жалко разработчиков Exchange, этот год у них не задался.

Астрологи обьявили год Microsoft Exchange в интернете! Но новость того заслуживает! ФБР запросила у суда (и получила разрешение) на то, чтобы иметь право на подключение к взломанным серверам Exchange в США с единственной целью - удаление установленных туда бэкдоров за время, пока сервера были уязвимы обнаруженными в январе уязвимостями. Четыре уязвимости группировки Hafnium позволяли злоумышленникам получить контроль над сервером и доступ к его содержимому, а также оставлять бэкдоры в них. Анонс Минюста в данном случае относится к решению, принятому ранее, и операция уже проводилась какое-то время (возможно, проводится до сих пор). В процессе операции агенты ФБР убирали оболочки доступа, и собирали другую информацию о группировках, которые занимались взломами. По возможности, говорят, пытались связываться и с жертвами. Но вообще очень интересный ход конем. Тут-то, конечно, пространство для теорий заговоров.

Да, все это не имеет отношения к уязвимостям, анонсированным вчера.

Новость
https://www.vice.com/en/article/y3dmjg/fbi-removes-web-shells-microsoft-exchange
https://techcrunch.com/2021/04/13/fbi-launches-operation-to-remotely-remove-microsoft-exchange-server-backdoors/

Решение на сайте министерства юстиции США
https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-effort-disrupt-exploitation-microsoft-exchange

Небольшой, но классный тред по этому поводу
https://twitter.com/pwnallthethings/status/1382121212847984641

Много лет назад, когда Земля еще была теплой, была история про то, как ФБР требовала у Apple разблокировать iPhone одного террориста, а компания отказывалась (это если в двух словах и сильно упрощенно. чуть сложнее — на самом деле ФБР требовала от Apple написать, по сути, бэкдор в систему, который бы позволял обходить встроенные механизмы блокировки доступа к данным, и Apple была очень сильно против этого). Короче, тогда ФБР в какой-то момент сказала, что «ну ладно, мы сами тут уже телефон взломали», и история типа закончилась. Но ей не хватало одного важного момента для полного «закрытия» — ответа на вопрос о том, как именно же был взломан iPhone, кто предоставил эксплойт.

И вот издание The Washington Post как раз этот ответ опубликовало. ФБР тогда помогла малоизвестная австралийская компания Azimuth, бизнес которой — это как раз продажа «кибер-инструментов» правительствам разных стран. История читается как хороший детектив, про двух хакеров-сотрудников компании, которые взялись помочь ФБР со взломом, и справились с этой задачей. Они использовали одну из уязвимостей, обнаруженных в опенсорсном проекте Mozilla, который Apple использовала в операционной системе iOS, где была задействована функциональность доступа к аксессуарам, которые подключались в порт Lightning смартфона. В итоге это позволило получить им первичный доступ к телефону, затем они использовали еще парочку других эксплойтов, что дало им возможность организовать перебор паролей на устройстве, обойдя защиту на удаление данных после 10 неправильных попыток. Свое решение они назвали Condor, и продали его ФБР за 900 тысяч долларов. (Mozilla исправила эту уязвимость пару месяцев спустя).

Интересно, что один из хакеров (David Wang), участвовавших в этом процессе, потом стал сооснователем компании Corellium, которая предоставляет доступ к виртуализированным iPhone для исследователей безопасности. (отдельной пикантности всей этой истории добавляют факты, что Apple пыталась нанять на работу Девида Ванга, а потом еще пыталась купить Corellium). Apple подала в суд на Corellium за нарушение копирайтов, и пытается «добить» компанию, которую в свое время рассматривала как возможное приобретение. Именно часть нарушения копирайтов судья в конце прошлого года отказался рассматривать, мотивируя тем, что они используют материалы Apple для исследований, а не конкуренции в продажах. Однако, часть иска про незаконный обход защитных механизмов ПО Apple пока что еще остается и будет рассматриваться этим летом.

Вся эта история подчеркивает в очередной раз то, что безопасность и защита устройств — это палка с двумя концами. С одной стороны, защита с полным контролем может позволить создать самое защищенное устройство, или как минимум, позволит говорить Apple об этом. Но этот контроль и отсутствие прозрачности — то, что в том числе мешает работать исследователям безопасности, и также скрывает информацию о реальном состоянии дел. И в этом канале все видят посты про очередный «срочный апдейт» для iOS, потому что была обнаружена новая и эксплуатируемая уязвимость. А о скольких мы еще просто не знаем? Apple не любит Corellium за то, что он дает возможность искать уязвимости, но поиск и их исправление гораздо важнее видимости непробиваемости этой защиты. А рынок уязвимостей под iOS тем временем прекрасно существует.

https://www.washingtonpost.com/technology/2021/04/14/azimuth-san-bernardino-apple-iphone-fbi/

https://www.vice.com/en/article/xgzbmk/azimuth-security-san-bernardino-iphone

подвезли новые санкции от америцы российским компаниям, с вполне знакомыми именами. за «агрессивные и вредоносные активности правительства РФ», в том числе «вредоносные киберактивности против США»

The following companies are designated for operating in the technology sector of the Russian Federation economy:  ERA Technopolis; Pasit, AO (Pasit); Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA); Neobit, OOO (Neobit); Advanced System Technology, AO (AST); and Pozitiv Teknolodzhiz, AO (Positive Technologies).

https://home.treasury.gov/news/press-releases/jy0127

NSA encourages its customers to mitigate against the following publicly known vulnerabilities:
▪ CVE-2018-13379 Fortinet FortiGate VPN
▪ CVE-2019-9670 Synacor Zimbra Collaboration Suite
▪ CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
▪ CVE-2019-19781 Citrix Application Delivery Controller and Gateway
▪ CVE-2020-4006 VMware Workspace ONE Access


https://www.fbi.gov/news/pressrel/press-releases/russian-foreign-intelligence-service-exploiting-five-publicly-known-vulnerabilities-to-compromise-us-and-allied-networks

А вот красиво с уязвимостью, которая затрагивает массу популярных приложений, включая Телеграм

https://positive.security/blog/url-open-rce

Ну и для баланса — ответ Positive Technologies по поводу вчерашних санкций

https://www.ptsecurity.com/ru-ru/about/news/oficialnoe-zayavlenie-positive-technologies-po-sankciyam-ssha/

Между тем, опасносте не только информация, но и сыр. Из-за атаки вируса-вымогателя на компанию по логистике доставок сыров, в Нидерландах начались перебои с сыром в магазинах

https://www.bleepingcomputer.com/news/security/dutch-supermarkets-run-out-of-cheese-after-ransomware-attack/

https://twitter.com/MarietjeSchaake/status/1382971475729252354

А Реддит тут напомнил про «взлом» почтового сервиса Hotmail в 1999 году. Когда оказалось, что в любой аккаунт Hotmail можно было войти с паролем «eh» (без кавычек). Хорошие времена были, простые.

https://smartermsp.com/tech-time-warp-quite-the-hotmail-hack-eh/

https://www.wired.com/1999/08/hotmail-hackers-we-did-it/

С утра понедельника только хорошие новости про девять уязвимостей в TCP/IP, и про 100 млн IoT устройств, которые подвержены этой уязвимости. Встречайте Name:Wreck, набор уязвимостей в имплементации работы с DNS, что позволяет злооумышленникам закрешить устройство или получить контроль над ним. This is fine.jpg

https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/namewreck-dns-vulnerabilities

https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/

IoT + уязвимости + безответственный производитель - что может пойти не так? Начать можно с того, что зачем фритюрнице вайфай в принципе, а закончить тем, что уязвимость даёт возможность управлять устройством удалённо.

https://blog.talosintelligence.com/2021/04/vuln-spotlight-co.html

Никто не учится

Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе. Эти организации размещали информацию на досках бесплатного онлайн-менеджера проектов Trello. Злоумышленники используют подобные ресурсы для организации атак на сотрудников компаний и взлома корпоративных Instagram-аккаунтов, предупреждают специалисты по кибербезопасности. Кроме того, за размещение персональных данных сотрудников и клиентов в публичном доступе компаниям могут грозить штрафы по закону о защите персональных данных.

https://www.kommersant.ru/doc/4781538

я знаю, что сегодня не пятница, и вообще тема не совсем про информационную безопасность, но это невероятно интересный лонгрид про компьютеризированные автоматы мороженого в Макдональдсах и других фастфудах, и борьбе с производителем этих машин. (там суть такая, что есть «хакеры», которые научились считывать информацию в этих автоматах и продают устройства, которые умеют диагностировать автоматы до их поломки. Я лично с удовольствием почитал, и если ваш английский (или автоматический переводчик) позволяет, то рекомендую

https://www.wired.com/story/they-hacked-mcdonalds-ice-cream-makers-started-cold-war/

ДОПОЛНЕНИЕ от читателя
«Я сделал пересказ лонгрида, вот: https://t.me/notboring_tech/1729»

Вот это будет интересно. Хакеры взломали сеть компании Quanta - производителя ноутбуков для разных компаний, включая Apple. И якобы получили схемы нового ноутбука, а теперь требуют выкуп 50млн доллларов за то, чтобы не публиковать украденную информацию

https://www.bloomberg.com/news/articles/2021-04-21/apple-targeted-in-50-million-ransomware-hack-of-supplier-quanta

блииииииииииин, ну это же невозможно просто. Cellebrite, компания, которая занимается добыванием данных с телефонов, недавно объявила, что теперь «поддерживает данные Signal». Ребята в Signal не обиделись, а случайно нашли упавший с грузовика гаджет Cellebrite, изучили его и нашли в нем уязвимости, о которых радостно опубликовали пост. (например, библиотека FFmpeg, которая не обновлялась с 2012 года, к которой просто мегатонна исправлений безопасности была). Поэтому теперь, например, если разместить на смартфоне невинный файл, и подключить устройство к Cellebrite, на нем можно начать исполнять код. Сама тема исполнения кода путем размещения файла на изучаемом устройстве — не новость, но Signal нашли новые способы. Молодцы.

А еще они нашли чужие библиотеки в коде Cellebrite, на использование которых компания вряд ли получала разрешение (например, DLL от iTunes).

какая прелесть всетаки. Хорошо представляю себе панику в Cellebrite, которая там царит.

https://signal.org/blog/cellebrite-vulnerabilities/

Берегите свои QNAP-ы!

https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qnap-nas-devices-per-day/

Просто хороший тред в твиттере https://twitter.com/christogrozev/status/1384885575073902592