несколько ссылок, которые накопились за неделю, но не получили вовремя своего поста.
1. например, уязвимость нулевого дня PrintNightmare в Windows Print Spooler
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/07/printnightmare-0-day-can-be-used-to-take-over-windows-domain-controllers/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
и на русском об этом же
https://xakep.ru/2021/06/30/printnightmare/
1. например, уязвимость нулевого дня PrintNightmare в Windows Print Spooler
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/07/printnightmare-0-day-can-be-used-to-take-over-windows-domain-controllers/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
и на русском об этом же
https://xakep.ru/2021/06/30/printnightmare/
Malwarebytes
PrintNightmare 0-day can be used to take over Windows domain controllers
PrintNightmare is a 0-day vulbnerability in the widely used Windows Print Spooler service. And working exploits are out there.
и 2 — отчет компании NSO Group (которая часто фигурирует в новостях канала как участник всевозможных взломов против журналистов и других активистов) о прозрачности (хахаха).
https://www.nsogroup.com/wp-content/uploads/2021/06/ReportBooklet.pdf
вот тред в твиттере с разбором этого отчета и комментариями
https://twitter.com/maddiestone/status/1410382179629113345?s=21
но суть такая, что, конечно же, ничего по сути они там не рассказали.
https://www.nsogroup.com/wp-content/uploads/2021/06/ReportBooklet.pdf
вот тред в твиттере с разбором этого отчета и комментариями
https://twitter.com/maddiestone/status/1410382179629113345?s=21
но суть такая, что, конечно же, ничего по сути они там не рассказали.
и 3 — что-то что-то там про уязвимости в роутерах NETGEAR, но я честно скажу, что не вникал
https://www.microsoft.com/security/blog/2021/06/30/microsoft-finds-new-netgear-firmware-vulnerabilities-that-could-lead-to-identity-theft-and-full-system-compromise/
https://www.microsoft.com/security/blog/2021/06/30/microsoft-finds-new-netgear-firmware-vulnerabilities-that-could-lead-to-identity-theft-and-full-system-compromise/
Microsoft News
Microsoft finds new NETGEAR firmware vulnerabilities that could lead to identity theft and full system compromise
We discovered vulnerabilities in NETGEAR DGN-2200v1 series routers that can compromise a network's security—opening the gates for attackers to roam untethered through an entire organization. We shared our findings with NETGEAR through coordinated vulnerability…
Конечно же, в пятницу вечером началось. Большая атака вируса-вымогателя группировки REvil через одного провайдера - компанию Kaseya. Компания предоставляет платформу для управления апдейтами и мониторинга клиентов.
Заявление компании http://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
Статья с деталями https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
Заявление компании http://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
Статья с деталями https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
Ещё хорошие детали про взлом Kaseya
https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b
https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b
Medium
Kaseya supply chain attack delivers mass ransomware event to US companies
Kaseya VSA is a commonly used solution by MSPs — Managed Service Providers — in the United States and United Kingdom, which helps them…
А вот сеть супермаркетов Wegmans, в которой я часто покупаю продукты и записан в программу лояльности зачем-то, прислала уведомление о том, что они слегка криво сконфигурировали базу своих клиентов. В результате база торчала голой жопой в интернет, и информация клиентов была доступна кому попало, как попало. В информации - адреса почты, и хешированные и засоленные пароли. С кем не бывает, ага.
Есть такое популярное приложение для записи звука - Audacity, проект в открытом исходном коде - заработал звание шпионского ПО. Оказывается, проект купила компания Muse Group, и в политике конфиденциальности приложения появились неприятные пункты. В частности, речь идёт о сборе различной информации с компьютера пользователя и ее передаче правоохранительным органам по запросу (или непонятным разным третьим сторонам). Причём это сопровождается весьма размытыми формулировками об этих самых данных, плюс сервера хранят IP~адреса пользователей, что может позволять идентификацию в случае необходимости. Ну и главный офис компании в России:
«However, we are occasionally required to share your personal data with our main office in Russia and our external counsel in the USA.»
Короче, проект уже форкнули, отрезали от него телеметрию, и начали пилить замену.
https://fosspost.org/audacity-is-now-a-spyware/
https://www.audacityteam.org/about/desktop-privacy-notice/
«However, we are occasionally required to share your personal data with our main office in Russia and our external counsel in the USA.»
Короче, проект уже форкнули, отрезали от него телеметрию, и начали пилить замену.
https://fosspost.org/audacity-is-now-a-spyware/
https://www.audacityteam.org/about/desktop-privacy-notice/
FOSS Post
Audacity Is Now A Possible Spyware, Remove It ASAP
The famous open source audio manipulation program was acquired by a company named Muse Group two months ago. The same company owns other projects in its
я недавно постил ссылку на отчет о прозрачности компании NSO - который они сами написали, и рассказывают, какие они молодцы, как противостоят различным угрозам, и вообще ни разу не сотрудничают с кем нельзя сотрудничать. А вот внешнее расследование о компании, как устроена их платформа, какие цели использоваются для заражения инструментами компании, и как при этом нарушаются права граждан, которые становятся целями вредоносного ПО компании NSO
https://forensic-architecture.org/investigation/digital-violence-how-the-nso-group-enables-state-terror
https://forensic-architecture.org/investigation/digital-violence-how-the-nso-group-enables-state-terror
Тут вышел апдейт для исправления уязвимости с PrintSpooler
https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#1646
(Я писал об этом раньше тут https://t.me/alexmakus/4152)
https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#1646
(Я писал об этом раньше тут https://t.me/alexmakus/4152)
Docs
Windows message center
И, конечно же, недавно запущенную социальную сеть для правых в США -Gettr - тут же поскрейпили через дырявое API, вытащив оттуда всю информацию о тех 90 тысячах пользователей, которые там имели несчастье зарегистрироваться
https://www.vice.com/en/article/dyv44m/hackers-scrape-90000-gettr-user-emails-surprising-no-one
https://www.vice.com/en/article/dyv44m/hackers-scrape-90000-gettr-user-emails-surprising-no-one
Vice
Hackers Scrape 90,000 GETTR User Emails, Surprising No One
Just days after its launch, hackers have already found a way to take advantage of GETTR's buggy API to get the username, email address, and location of thousands of users.
«Вот это история: хакер изучал уязвимые компьютеры и случайно нашел на одном из таких коллекцию детского порно. Пришлось выбирать: сдать чувака полиции, но тем самым сознаться, что ты взломал чужой компьютер, или никому ничего не говорить.»
Спойлер: удалось и рыбку съесть…
https://www.thedailybeast.com/hacker-risks-jail-to-out-middlebury-college-employee-for-alleged-child-porn
отсюда: https://twitter.com/sult/status/1413164674942652417
Спойлер: удалось и рыбку съесть…
https://www.thedailybeast.com/hacker-risks-jail-to-out-middlebury-college-employee-for-alleged-child-porn
отсюда: https://twitter.com/sult/status/1413164674942652417
The Daily Beast
Hacker Risks Jail to Out Middlebury College Employee for Alleged Child Porn
A hacker was scanning the internet for vulnerable machines and stumbled on a trove of child pornography. Now they’re walking away scot-free for turning in the Middlebury worker.
Новое вредоносное ПО для macOS. А говорили, что для Маков нет вирусов (ну ладно, очень давно это говорили, уже не говорят)
https://securelist.com/wildpressure-targets-macos/103072/
https://www.patreon.com/posts/53462690
https://twitter.com/objective_see/status/1413235778625302530
https://securelist.com/wildpressure-targets-macos/103072/
https://www.patreon.com/posts/53462690
https://twitter.com/objective_see/status/1413235778625302530
Securelist
WildPressure targets macOS
We found new malware samples used in WildPressure campaigns: newer version of the C++ Milum Trojan, a corresponding VBScript variant with the same version number, and a Python script working on both Windows and macOS.
А давненько у нас не было SolarWinds в канале. Microsoft обнаружили уязвимость нулевого дня в продукте Serv-U компании SolarWinds, которая к тому находится в активной эксплуатации злоумышленниками. Эта уязвимость не имеет отношения к той истории, благодаря которой были взломаны государственные организации и частные компании в начале года
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
Чем занимаются люди, которых называют профессионалками в сфере информационной безопасности? Ой, да чем только не занимаются. И это, кстати, не шутка, набор задач, который падает на хрупкие плечи специалистов, огромен. И тут мне попалась на глаза интересная карта категоризации позиций и их задач. Наверняка многие из вас могут себя на этой карте найти
https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/
https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/
Rafeeq Rehman | Cyber Security | Board Advisory
CISO MindMap 2021: What do InfoSec professionals really do?
NOTE: A new version of CISO MindMap (2022) is available at this URL. Most people outside the Cybersecurity profession don’t fully realize and appreciate the complexity of security professionals’ job. I have been publishing and updating this MindMap for almost…
очень интересно, вся инфраструктура группировки REvil прилегла. Уж не америкосия ли нанесла ответный ударр?
https://twitter.com/LawrenceAbrams/status/1414929050729074714
https://twitter.com/LawrenceAbrams/status/1414929050729074714
Twitter
Lawrence Abrams
All REvil sites are down, including the payment sites and data leak site. 🤔 The public ransomware gang represenative, Unknown, is strangely quiet.
Опять Microsoft и SolarWinds, просто теперь ещё дополнительный комментарий от Microsoft, с указанием на китайцев как операторов атаки
https://msft.it/6019nwox3
https://msft.it/6019nwox3
Microsoft Security Blog
Microsoft discovers threat actor targeting SolarWinds Serv-U software with 0-day exploit - Microsoft Security Blog
Microsoft has detected a 0-day remote code execution exploit being used to attack SolarWinds Serv-U FTP software in limited and targeted attacks. The Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to DEV-0322, a…