И снова с нами трудо выебудни! На прошлой неделе Microsoft анонсировала Windows 11! И под капотом красивой шкурки есть еще и всякие улучшения безопасности операционной системы, помимо того, что в требованиях есть TPM 2.0. (нет, конечно, за требование TPM 2.0 Microsoft еще будет достаточно долго огребать, особенно в эпоху нехватки чипов, но не TPM единым!) В общем, статья о том, какие же улучшения появятся в Windows 11, как программные, так и аппаратные:

https://www.microsoft.com/security/blog/2021/06/25/windows-11-enables-security-by-design-from-the-chip-to-the-cloud/

Но раз уж мы про Microsoft, то нельзя не упомянуть и эту историю — про то, как Microsoft подписала драйвер Netfilter, который оказался руткитом, активно общающимся с серверами в Китае. На прошлой неделе Сатья Наделла, анонсируя Windows 11, рассказывал о том, как «миру нужно больше открытых платформ». Да, все так, но не настолько же!

https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/

=== РЕКЛАМА ====

Проверим вашу сеть на прочность. Основательно. Бесплатно

Кража данных, вирусы и другие киберугрозы — это риски, с которыми сегодня должна считаться компания любой отрасли и масштаба.

Можно считаться, а можно знать, исправить и не думать о них.

Закажите Security CheckUP для комплексной оценки безопасности сети. Инструмент разработан одним из лидеров мирового рынка информационной безопасности — компанией Check Point. Сервис в России — от крупнейшего на рынке OCS Distribution.

Как это происходит?

Вы пишете нам на почту checkpoint@ocs.ru, заказываете чекап, мы все делаем и показываем вам все уязвимости вашего бизнеса. При этом вам ничего делать не надо, и проверка никак не влияет на работу вашей сети.

Приступим?

Ничего такого, что было бы неожиданным сюрпризом, но в целом интересный лонгрид о том, как ЦРУ на протяжении нескольких лет разрабатывало ПО для взлома iPhone и Маков

https://theintercept.com/2015/03/10/ispy-cia-campaign-steal-apples-secrets/

ArsTechnica провели расследование истории с Western Digital и удалением данных на устройствах My Book Live. «у нас была одна уязвимость, одна критичная дыра в безопасности и закоментированный код, который не требовал пароля пользователя при заводском сбросе»:

As the following script shows, however, a Western Digital developer created five lines of code to password-protect the reset command. For unknown reasons, the authentication check was cancelled, or in developer parlance, it was commented out as indicated by the double / character at the beginning of each line.

function post($urlPath, $queryParams = null, $ouputFormat = 'xml') {
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }

https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/

Поскольку несколько человек мне уже прислали ссылку на новости из серии «украли 700 тысяч миллиардов аккаунтов LinkedIn”, чувствую обязанность написать, что это данные не взлома, а скрейпинга- все «утёкшие» данные и так были публичными в сети

https://ndrdaily.exeon.com/2021/06/29/data-for-700m-linkedin-users-posted-for-sale-in-cyber-underground/

Расслабились тут? а вот Роскомнадзор решил заблокировать шесть VPN-сервисов!

Под блокировку, вероятно, попадут:

Hola! VPN
ExpressVPN
KeepSolid VPN Unlimited
Nord VPN
Speedify VPN
IPVanish VPN

«Работу с ними могут разрешить продолжить компаниям, в которых они используются для обеспечения работы технологических процессов, как в случае с Opera VPN»

https://www.rbc.ru/technology_and_media/30/06/2021/60dcc2ff9a79470e089055ac

несколько ссылок, которые накопились за неделю, но не получили вовремя своего поста.

1. например, уязвимость нулевого дня PrintNightmare в Windows Print Spooler

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/07/printnightmare-0-day-can-be-used-to-take-over-windows-domain-controllers/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

и на русском об этом же
https://xakep.ru/2021/06/30/printnightmare/

и 2 — отчет компании NSO Group (которая часто фигурирует в новостях канала как участник всевозможных взломов против журналистов и других активистов) о прозрачности (хахаха).

https://www.nsogroup.com/wp-content/uploads/2021/06/ReportBooklet.pdf

вот тред в твиттере с разбором этого отчета и комментариями
https://twitter.com/maddiestone/status/1410382179629113345?s=21
но суть такая, что, конечно же, ничего по сути они там не рассказали.

и 3 — что-то что-то там про уязвимости в роутерах NETGEAR, но я честно скажу, что не вникал
https://www.microsoft.com/security/blog/2021/06/30/microsoft-finds-new-netgear-firmware-vulnerabilities-that-could-lead-to-identity-theft-and-full-system-compromise/

Конечно же, в пятницу вечером началось. Большая атака вируса-вымогателя группировки REvil через одного провайдера - компанию Kaseya. Компания предоставляет платформу для управления апдейтами и мониторинга клиентов.

Заявление компании http://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

Статья с деталями https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

Ещё хорошие детали про взлом Kaseya

https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b

А вот сеть супермаркетов Wegmans, в которой я часто покупаю продукты и записан в программу лояльности зачем-то, прислала уведомление о том, что они слегка криво сконфигурировали базу своих клиентов. В результате база торчала голой жопой в интернет, и информация клиентов была доступна кому попало, как попало. В информации - адреса почты, и хешированные и засоленные пароли. С кем не бывает, ага.

Есть такое популярное приложение для записи звука - Audacity, проект в открытом исходном коде - заработал звание шпионского ПО. Оказывается, проект купила компания Muse Group, и в политике конфиденциальности приложения появились неприятные пункты. В частности, речь идёт о сборе различной информации с компьютера пользователя и ее передаче правоохранительным органам по запросу (или непонятным разным третьим сторонам). Причём это сопровождается весьма размытыми формулировками об этих самых данных, плюс сервера хранят IP~адреса пользователей, что может позволять идентификацию в случае необходимости. Ну и главный офис компании в России:

«However, we are occasionally required to share your personal data with our main office in Russia and our external counsel in the USA.»

Короче, проект уже форкнули, отрезали от него телеметрию, и начали пилить замену.

https://fosspost.org/audacity-is-now-a-spyware/

https://www.audacityteam.org/about/desktop-privacy-notice/

я недавно постил ссылку на отчет о прозрачности компании NSO - который они сами написали, и рассказывают, какие они молодцы, как противостоят различным угрозам, и вообще ни разу не сотрудничают с кем нельзя сотрудничать. А вот внешнее расследование о компании, как устроена их платформа, какие цели использоваются для заражения инструментами компании, и как при этом нарушаются права граждан, которые становятся целями вредоносного ПО компании NSO

https://forensic-architecture.org/investigation/digital-violence-how-the-nso-group-enables-state-terror

Про менеджер паролей ЛК веселое

https://donjon.ledger.com/kaspersky-password-manager/

Тут вышел апдейт для исправления уязвимости с PrintSpooler

https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#1646

(Я писал об этом раньше тут https://t.me/alexmakus/4152)

И, конечно же, недавно запущенную социальную сеть для правых в США -Gettr - тут же поскрейпили через дырявое API, вытащив оттуда всю информацию о тех 90 тысячах пользователей, которые там имели несчастье зарегистрироваться

https://www.vice.com/en/article/dyv44m/hackers-scrape-90000-gettr-user-emails-surprising-no-one

This is fine

«Вот это история: хакер изучал уязвимые компьютеры и случайно нашел на одном из таких коллекцию детского порно. Пришлось выбирать: сдать чувака полиции, но тем самым сознаться, что ты взломал чужой компьютер, или никому ничего не говорить.»

Спойлер: удалось и рыбку съесть…

https://www.thedailybeast.com/hacker-risks-jail-to-out-middlebury-college-employee-for-alleged-child-porn

отсюда: https://twitter.com/sult/status/1413164674942652417