Свежие патчи подъехали для Exchange

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28482
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483

даже немного жалко разработчиков Exchange, этот год у них не задался.

Астрологи обьявили год Microsoft Exchange в интернете! Но новость того заслуживает! ФБР запросила у суда (и получила разрешение) на то, чтобы иметь право на подключение к взломанным серверам Exchange в США с единственной целью - удаление установленных туда бэкдоров за время, пока сервера были уязвимы обнаруженными в январе уязвимостями. Четыре уязвимости группировки Hafnium позволяли злоумышленникам получить контроль над сервером и доступ к его содержимому, а также оставлять бэкдоры в них. Анонс Минюста в данном случае относится к решению, принятому ранее, и операция уже проводилась какое-то время (возможно, проводится до сих пор). В процессе операции агенты ФБР убирали оболочки доступа, и собирали другую информацию о группировках, которые занимались взломами. По возможности, говорят, пытались связываться и с жертвами. Но вообще очень интересный ход конем. Тут-то, конечно, пространство для теорий заговоров.

Да, все это не имеет отношения к уязвимостям, анонсированным вчера.

Новость
https://www.vice.com/en/article/y3dmjg/fbi-removes-web-shells-microsoft-exchange
https://techcrunch.com/2021/04/13/fbi-launches-operation-to-remotely-remove-microsoft-exchange-server-backdoors/

Решение на сайте министерства юстиции США
https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-effort-disrupt-exploitation-microsoft-exchange

Небольшой, но классный тред по этому поводу
https://twitter.com/pwnallthethings/status/1382121212847984641

Много лет назад, когда Земля еще была теплой, была история про то, как ФБР требовала у Apple разблокировать iPhone одного террориста, а компания отказывалась (это если в двух словах и сильно упрощенно. чуть сложнее — на самом деле ФБР требовала от Apple написать, по сути, бэкдор в систему, который бы позволял обходить встроенные механизмы блокировки доступа к данным, и Apple была очень сильно против этого). Короче, тогда ФБР в какой-то момент сказала, что «ну ладно, мы сами тут уже телефон взломали», и история типа закончилась. Но ей не хватало одного важного момента для полного «закрытия» — ответа на вопрос о том, как именно же был взломан iPhone, кто предоставил эксплойт.

И вот издание The Washington Post как раз этот ответ опубликовало. ФБР тогда помогла малоизвестная австралийская компания Azimuth, бизнес которой — это как раз продажа «кибер-инструментов» правительствам разных стран. История читается как хороший детектив, про двух хакеров-сотрудников компании, которые взялись помочь ФБР со взломом, и справились с этой задачей. Они использовали одну из уязвимостей, обнаруженных в опенсорсном проекте Mozilla, который Apple использовала в операционной системе iOS, где была задействована функциональность доступа к аксессуарам, которые подключались в порт Lightning смартфона. В итоге это позволило получить им первичный доступ к телефону, затем они использовали еще парочку других эксплойтов, что дало им возможность организовать перебор паролей на устройстве, обойдя защиту на удаление данных после 10 неправильных попыток. Свое решение они назвали Condor, и продали его ФБР за 900 тысяч долларов. (Mozilla исправила эту уязвимость пару месяцев спустя).

Интересно, что один из хакеров (David Wang), участвовавших в этом процессе, потом стал сооснователем компании Corellium, которая предоставляет доступ к виртуализированным iPhone для исследователей безопасности. (отдельной пикантности всей этой истории добавляют факты, что Apple пыталась нанять на работу Девида Ванга, а потом еще пыталась купить Corellium). Apple подала в суд на Corellium за нарушение копирайтов, и пытается «добить» компанию, которую в свое время рассматривала как возможное приобретение. Именно часть нарушения копирайтов судья в конце прошлого года отказался рассматривать, мотивируя тем, что они используют материалы Apple для исследований, а не конкуренции в продажах. Однако, часть иска про незаконный обход защитных механизмов ПО Apple пока что еще остается и будет рассматриваться этим летом.

Вся эта история подчеркивает в очередной раз то, что безопасность и защита устройств — это палка с двумя концами. С одной стороны, защита с полным контролем может позволить создать самое защищенное устройство, или как минимум, позволит говорить Apple об этом. Но этот контроль и отсутствие прозрачности — то, что в том числе мешает работать исследователям безопасности, и также скрывает информацию о реальном состоянии дел. И в этом канале все видят посты про очередный «срочный апдейт» для iOS, потому что была обнаружена новая и эксплуатируемая уязвимость. А о скольких мы еще просто не знаем? Apple не любит Corellium за то, что он дает возможность искать уязвимости, но поиск и их исправление гораздо важнее видимости непробиваемости этой защиты. А рынок уязвимостей под iOS тем временем прекрасно существует.

https://www.washingtonpost.com/technology/2021/04/14/azimuth-san-bernardino-apple-iphone-fbi/

https://www.vice.com/en/article/xgzbmk/azimuth-security-san-bernardino-iphone

подвезли новые санкции от америцы российским компаниям, с вполне знакомыми именами. за «агрессивные и вредоносные активности правительства РФ», в том числе «вредоносные киберактивности против США»

The following companies are designated for operating in the technology sector of the Russian Federation economy:  ERA Technopolis; Pasit, AO (Pasit); Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA); Neobit, OOO (Neobit); Advanced System Technology, AO (AST); and Pozitiv Teknolodzhiz, AO (Positive Technologies).

https://home.treasury.gov/news/press-releases/jy0127

NSA encourages its customers to mitigate against the following publicly known vulnerabilities:
▪ CVE-2018-13379 Fortinet FortiGate VPN
▪ CVE-2019-9670 Synacor Zimbra Collaboration Suite
▪ CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
▪ CVE-2019-19781 Citrix Application Delivery Controller and Gateway
▪ CVE-2020-4006 VMware Workspace ONE Access


https://www.fbi.gov/news/pressrel/press-releases/russian-foreign-intelligence-service-exploiting-five-publicly-known-vulnerabilities-to-compromise-us-and-allied-networks

А вот красиво с уязвимостью, которая затрагивает массу популярных приложений, включая Телеграм

https://positive.security/blog/url-open-rce

Ну и для баланса — ответ Positive Technologies по поводу вчерашних санкций

https://www.ptsecurity.com/ru-ru/about/news/oficialnoe-zayavlenie-positive-technologies-po-sankciyam-ssha/

Между тем, опасносте не только информация, но и сыр. Из-за атаки вируса-вымогателя на компанию по логистике доставок сыров, в Нидерландах начались перебои с сыром в магазинах

https://www.bleepingcomputer.com/news/security/dutch-supermarkets-run-out-of-cheese-after-ransomware-attack/

https://twitter.com/MarietjeSchaake/status/1382971475729252354

А Реддит тут напомнил про «взлом» почтового сервиса Hotmail в 1999 году. Когда оказалось, что в любой аккаунт Hotmail можно было войти с паролем «eh» (без кавычек). Хорошие времена были, простые.

https://smartermsp.com/tech-time-warp-quite-the-hotmail-hack-eh/

https://www.wired.com/1999/08/hotmail-hackers-we-did-it/

С утра понедельника только хорошие новости про девять уязвимостей в TCP/IP, и про 100 млн IoT устройств, которые подвержены этой уязвимости. Встречайте Name:Wreck, набор уязвимостей в имплементации работы с DNS, что позволяет злооумышленникам закрешить устройство или получить контроль над ним. This is fine.jpg

https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/namewreck-dns-vulnerabilities

https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/

IoT + уязвимости + безответственный производитель - что может пойти не так? Начать можно с того, что зачем фритюрнице вайфай в принципе, а закончить тем, что уязвимость даёт возможность управлять устройством удалённо.

https://blog.talosintelligence.com/2021/04/vuln-spotlight-co.html

Никто не учится

Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе. Эти организации размещали информацию на досках бесплатного онлайн-менеджера проектов Trello. Злоумышленники используют подобные ресурсы для организации атак на сотрудников компаний и взлома корпоративных Instagram-аккаунтов, предупреждают специалисты по кибербезопасности. Кроме того, за размещение персональных данных сотрудников и клиентов в публичном доступе компаниям могут грозить штрафы по закону о защите персональных данных.

https://www.kommersant.ru/doc/4781538

я знаю, что сегодня не пятница, и вообще тема не совсем про информационную безопасность, но это невероятно интересный лонгрид про компьютеризированные автоматы мороженого в Макдональдсах и других фастфудах, и борьбе с производителем этих машин. (там суть такая, что есть «хакеры», которые научились считывать информацию в этих автоматах и продают устройства, которые умеют диагностировать автоматы до их поломки. Я лично с удовольствием почитал, и если ваш английский (или автоматический переводчик) позволяет, то рекомендую

https://www.wired.com/story/they-hacked-mcdonalds-ice-cream-makers-started-cold-war/

ДОПОЛНЕНИЕ от читателя
«Я сделал пересказ лонгрида, вот: https://t.me/notboring_tech/1729»

Вот это будет интересно. Хакеры взломали сеть компании Quanta - производителя ноутбуков для разных компаний, включая Apple. И якобы получили схемы нового ноутбука, а теперь требуют выкуп 50млн доллларов за то, чтобы не публиковать украденную информацию

https://www.bloomberg.com/news/articles/2021-04-21/apple-targeted-in-50-million-ransomware-hack-of-supplier-quanta

блииииииииииин, ну это же невозможно просто. Cellebrite, компания, которая занимается добыванием данных с телефонов, недавно объявила, что теперь «поддерживает данные Signal». Ребята в Signal не обиделись, а случайно нашли упавший с грузовика гаджет Cellebrite, изучили его и нашли в нем уязвимости, о которых радостно опубликовали пост. (например, библиотека FFmpeg, которая не обновлялась с 2012 года, к которой просто мегатонна исправлений безопасности была). Поэтому теперь, например, если разместить на смартфоне невинный файл, и подключить устройство к Cellebrite, на нем можно начать исполнять код. Сама тема исполнения кода путем размещения файла на изучаемом устройстве — не новость, но Signal нашли новые способы. Молодцы.

А еще они нашли чужие библиотеки в коде Cellebrite, на использование которых компания вряд ли получала разрешение (например, DLL от iTunes).

какая прелесть всетаки. Хорошо представляю себе панику в Cellebrite, которая там царит.

https://signal.org/blog/cellebrite-vulnerabilities/

Берегите свои QNAP-ы!

https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qnap-nas-devices-per-day/

Просто хороший тред в твиттере https://twitter.com/christogrozev/status/1384885575073902592

У второй по размерам страховой в США что-то там взломали и что-то там украли, возможно, номера водительских удостоверений. А непонятно потому что они толком рассказать не могут пока что

https://www.theverge.com/2021/4/19/22392566/geico-data-breach-exposed-customer-drivers-license-numbers-security

Сегодня у Apple день апдейтов (не так, конечно, как у MSFT patch tuesday, но все равно). Функциональность функциональностью, а список фиксов безопасности в iOS/macOS еще предстоит разобрать, но! Если у вас Мак, рекомендуется установить вышедший апдейт 11.3 как можно скорее. Апдейт для macOS содержит в себе исправление уязвимости, которая позволяла обходить многие защитные механизмы macOS. Баг тривиально эксплуатировать двойным кликом по файлу, и, что даже важнее, уязвимость вроде как действительно эксплуатировалась в 2021 году. Некоторые исследователи уже назвали эту уязвимость одной из худших в macOS за последние годы. Большой пост с разбором уязвимости и механизма её эксплуатации тут:

https://objective-see.com/blog/blog_0x64.html

Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/