• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа, начиная печатать сей текст я осознаю, что мне придётся не легко, ведь пишу я это в пятницу, одновременно с подготовкой статьи про WSR. Для меня она уже почти готова, но для вас она уже готова полностью и вы, надеюсь, её уже прочли. Но сейчас не об этом, сейчас новости. Ах да, как вы, наверное, заметили, в нашей виртуальной серверной выросли тюльпаны, с праздником, дамы!​

IBIT8march.jpg


В такие моменты хочется работать в Microsoft

Вы когда-нибудь сталкивались с выгоранием? Мне вот приходилось, и это не самое лучшее, что может с вами произойти. К чему это я? В Microsoft знают о вреде выгорания и стараются с ним бороться. Для этого они запустили программу Perks Plus, в рамках которой все сотрудники в течении года получат по 1200$ на оплату занятий спортом, покупок в рамках хобби или же оплату образовательных курсов. По мнению компании, таким образом сотрудникам будет легче справиться с выгоранием. Неплохая идея, на мой взгляд, ведь иногда, чтобы отвлечься от работы нужны дополнительные ресурсы. А вместо того, чтобы дать время на отдых, Microsoft даёт деньги на отдых, что может сработать.​


GeckoVPN, SuperVPN и ChatVPN

Признавайтесь, пользовались? Если ваш ответ вдруг оказался положительным, то советую сжечь телефон поменять пароли. А причиной такой срочности являются слитые базы этих трёх приложений. В базах этих содержатся логины, пароли, адреса электронных почт, данные о мобильных устройствах и даже платежах. Не помню, где я это слышал, но “Если вы пользуетесь чем-то бесплатно, значит цена – ваши данные”. Как утверждают некоторые из понимающих людей, скорее всего эти данные сохранялись для дальнейшей продажи рекламодателям, но, как мы можем видеть, что-то пошло не по плану. Кстати, число записей в базе – минимум 110 миллионов, ведь количество загрузок SuperVPN – 100 млн, GeckoVPN – 10 млн, а количество загрузок ChatVPN – всего около 50 тысяч, что при таких масштабах легко скинуть на погрешность. Как утверждает продавец, он смог получить доступ к базам лишь потому, что там долго не менялись пароли.​


Код красный!

Этот заголовок полностью оправдывает содержание, ведь грядёт нечто опасное для вообще всех пользователей (кроме владеющих устройствами на базе процессоров с архитектурой RISK). Так вот, существует такая уязвимость, как Spectre (CVE-2017-5753), позволяющая при эксплуатации реализовать чтение произвольных данных из кэш-памяти процессора. Иными словами, она позволяет злоумышленнику при запуске специальной программы получить доступ к содержимому памяти других программ. Впрочем, её эксплуатация является очень сложной задачей, ведь необходимо соблюсти целую гору условий и отключить множество механизмов защиты современных операционных систем. Стоп. Было необходимо. Ведь не так давно господа из CANVAS разработали скрипт, позволяющий все эти условия и механизмы обходить и взламывать практически всё что угодно буквально одной кнопкой. Их скрипт в первую очередь предназначен для излечения Kerberos ticket-ов, что приводит к полной компрометации доменной инфраструктуры. Казалось бы, ну сделали и молодцы, но то, что они сделали, слили в тот же день. Причем, не только этот скрипт с инструкцией по применению, но и примерно 800 готовых эксплойтов для 1-day уязвимостей. В общем то, что может вскоре начаться, не обрадует никого, ведь теперь уязвимо абсолютно всё. Теоретическая угроза эксплуатации Spectre стала реальной. Если вдруг мне удастся раздобыть этот бриллиант, я обязательно об этом напишу.​

Благодарю за информацию специалистов Группы Компаний “Анлим”.


Microsoft Exchange опасен

Был, ровно до того момента, как вышло обновление (KB5000871), исправляющее: 4 RCE уязвимости, одна из которых позволяет исполнять код с максимальными привилегиями. Две уязвимости, открывающие доступ к записи файлов в любом каталоге. И ещё одну для произвольной аутентификации любого пользователя. Патчи были выпущены для всех уязвимых версий, а именно Exchange Server 2013, Exchange Server 2016 и Exchange Server 2019. Такая срочность была необходима не только из-за серьёзности уязвимостей, но и из-за того, что прямо сейчас некая “проправительственная хакерская группировка” ведёт атаку на сервера крупных государственных компании в разных странах, в том числе и в России.
Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021
Дополняю. Microsoft заявила, что на них совершались атаки из Китая. “В ходе атак злоумышленники использовали уязвимости, чтобы получить доступ к учетным записям электронной почты и устанавливать вредоносные программы для получения постоянного доступа к среде. Microsoft Threat Intelligence Center (MSTIC) с высокой степенью уверенности считает, что эта кампания осуществляется группой HAFNIUM, деятельность которой, по сведениям, оплачивается правительством Китая”. Также в компании заявили, что целью атаки не были конкретные пользователи, однако ранее атаки совершались против “организаций, которые занимаются исследованиями инфекционных заболеваний, против юридических фирм, высших учебных заведений, оборонных подрядчиков, аналитических центров и неправительственных организаций”. В посольстве Китая в США заявили:
“Китай неоднократно повторял, что, учитывая виртуальную природу киберпространства и тот факт, что существуют всевозможные онлайн-игроки, которых трудно отследить, выявить источник кибератак — сложная техническая задача, Мы надеемся, что СМИ и компания подчеркнут важность наличия доказательств и не будут выдвигать необоснованные обвинения”. Абсолютно верно, ведь бездоказательные обвинения – это крайне плохо.​

Снова дополняю. Microsoft выпустила скрипт для автоматической проверки на факт взлома вашего почтового сервера.
microsoft/CSS-Exchange

Power FX

Видимо Microsoft так сильно обрадовались тому, что Excel признали языком, полным по Тьюрингу, что на его основе решили создать настоящий ЯП, название которого вы уже увидели в заголовке. Сделано это было для того, чтобы понизить порог входа в разработку до уровня продвинутого пользователя Excel. Так, например, девиз этого языка - “Вы можете создать приложение так же легко, как электронную таблицу”. Ну что ж, господа табличные программисты, я вас поздравляю, теперь вы можете разрабатывать не только таблицы.​


Google больше не будет использовать cookie

Прочитав этот заголовок, можно задуматься о том, что из-за таких решений доход компании ощутимо упадёт, ведь реклама приносит приличную часть от общего заработка, а без печенек таргетинг рекламы упадет, значит упадёт и её эффективность, вследствие чего произойдёт отток рекламодателей, а вместе с ними и денег. Но отойти от cookie – не значит отказаться от рекламы, ведь как я писал недавно, в компании разработали алгоритм FloC, который позволяет полностью обезличить данные за счёт объединения людей в кластеры со схожими интересами. Это значит, что никто больше не будет хранить ваш личный “цифровой отпечаток”, теперь вы будете лишь одним из представителей группы. Возможно, эффективность рекламы слегка ухудшится, но зато очень ощутимо возрастёт доверие пользователей, что в настоящий момент гораздо важнее.​


Brave Search

Браузер Brave, о котором я вообще узнал, когда упомянул его в одной из новостей, запускает собственный поисковик, основой для которого является Tailcat - свободная поисковая система, которую недавно купили Brave. Поскольку основным принципом компании является сохранение конфиденциальности, поисковик будет соответствующим. IP-адреса собираться не будут, личные данные для корректировки результатов выдачи использоваться не будут, а выдача не будет опираться ни на какие сторонние данные, то есть будет работать по принципу “всё своё ношу с собой”. Поисковик, разумеется, будет монетизироваться, правда каким именно образом – пока неизвестно. Рассматривают два варианта: платный поиск и отсутствие рекламы или же бесплатный, но с рекламой. При том никто не исключал вариант, в котором у пользователя будет выбор. Пойду хоть скачаю это чудо, а то пишу, а сам не пользовался. :)


Остановите землю, я сойду

От этой новости я как-то прифигел, то же самое сейчас грозит и вам. Минцифры внесло предложение разрешить торговлю персональными данными (далее ПДн) россиян. Удивлены? Теперь ещё раз. Министерство цифровизации Российской Федерации хочет, чтобы торговля вашими данными стала законной. Уловили глубину того места, в котором может оказаться безопасность ваших данных? Ведомство уточнило, что операторы не будут иметь права передавать вместе с обезличенными ПДн ту информацию, которая может помочь идентифицировать конкретного человека. Но как мы помним, сейчас незаконно торгуют данными с привязкой к личности, теперь же незаконно будут торговать только самой привязкой к личности. Это, как мне кажется, далеко не самая лучшая инициатива, но сделать с ней всё равно ничего не получится, так что остаётся лишь молча негодовать.​


GRUB’ые патчи

В прошлом году была найдена BootHole, позволявшая обходить режим безопасной загрузки со всеми вытекающими. В компании заявили:
“Благодаря BootHole за последние несколько месяцев мы получили приличное количество уведомлений об уязвимостях загрузчика. Дополнительно мы сами также находили бреши в GRUB”.
Были устранены следующие уязвимости:
  • CVE-2020-14372 (7,5 баллов, высокая степень опасности) — неполный список некорректного ввода;
  • CVE-2020-27749 (7,5 баллов, высокая степень опасности) — переполнение буфера;
  • CVE-2020-27779 (7,5 баллов, высокая степень опасности) — некорректная авторизация;
  • CVE-2021-20225 и CVE-2021-20233 (7,5 баллов, высокая степень опасности) — запись за пределами границ;
  • CVE-2020-25632 (7,5 баллов, высокая степень опасности) — Use-after-free;
  • CVE-2020-25647 (6,9 баллов, средняя степень опасности) — запись за пределами границ;
  • CVE-2021-3418 (6,4 баллов, средняя степень опасности) — некорректное хранение разрешений.


Вафлю в каждую школу!

(Вафля – Wi-Fi). Именно с такой инициативой выступил Сергей Кравцов, министр просвещения РФ. Разумеется, его заявление звучало не так, но суть я передал, а теперь подробнее. Господин Кравцов пообещал, что до конца года все школы страны будут обеспечены точкой доступа Wi-Fi. Городским пообещали скорость не менее 100Мбит/с, а сельским и поселковым – 50. А в отдалённых школах и вовсе спутниковое подключение.
Но есть и ложка дёгтя в этой бочке интернета. Сегодня ею стала новость, что в этих сетях будет ограничен доступ к “негативному” контенту. А заходить будет разрешено только на верифицированные ресурсы. Что именно подразумевается под “негативной информацией” никто, разумеется, не уточнил. Но это не сильно важно, поговорим об это когда хотя бы интернет протянут.​


Хакнули хакеров

За прошедший месяц было взломано 4 крупных российских хакерских форума. А именно:
  • Mazafaka – слита база с почтами, паролями и номерами ICQ. Количество строк составляет не менее 3000. Компания Intel 471, занимающаяся цифровой разведкой, считает, что база настоящая. Сервис являлся одним из старейших русскоязычных хакерских форумов.
  • Verified – взломан биткоин-кошелёк, но администратор не отрицает, что данные также могли пострадать. Но они уже сброшены, а пользователям предложили… едва ли это можно назвать “предложили”, ведь база сброшена, у них просто нет выбора. Отвлёкся, прошу меня извинить. Так вот, пользователям “предложили” использовать новые данные. Кстати, позже утечка всё-таки подтвердилась.
  • Exploit – тут всё как-то без подробностей, но хоть что-то. Сначала были скомпрометированы данные прокси-сервера, а через неделю был замечен несанкционированный доступ к серверу и попытка сброса сетевого трафика.
  • Crdclub – просто, но со вкусом. Взломали учётку одного из админов и от его имени публиковали что-то вроде “Переводи деньги тут, отвечаю, не обманут”. Текст был не такой, но смысл ясен. Кстати, позже администрация форума пообещала возместить материальный ущерб тем, кто пострадал от рук мошенника.
Участники некоторых из пострадавших форумов высказывали мнение о том, что это может быть правительственная операция.


Брутфорс не катит?

Брутфорсом ведь называется поочерёдный перебор чего либо, так ведь? А если перебор происходит одномоментно? Этот вопрос посетил Лаксмана Матхияха. Но этому предшествовало несколько событий. Он начал анализировать процедуру восстановления пароля учетной записи Microsoft и обнаружил, что не все варианты 7-значных кодов вызывают ошибку при ошибочном вводе, но это было лишь мелочью. Ведь именно тогда он понял, что можно отсылать коды одновременно, так, чтобы система не успевала обнаружить атаку и закрыть доступ. И, вот же фокус, ему это удалось. Одномоментно (с максимальной разницей в несколько миллисекунд) отправив множество запросов с различными значениями, он смог подобрать верный код восстановления и обойти блокировку брутфорса. К слову, точно таким же способом можно вскрыть и двухфакторную аутентификацию. Но теперь уже нельзя. На сайте Microsoft нельзя, но никто ведь не говорил, что эта уязвимость вдруг пропала из всех систем. Кстати, по программе bugbounty господин Матхиях получил 50 000$.


Блиц

На этом новости подошли к концу. Но на самом деле нет. Есть ещё кое-что. Я запускаю свой сайт, там будет много всяких интересных статей, вести его буду не только я. Статьи, которые я публикую на форуме, будут опубликованы и там, но, разумеется, со ссылкой на форум. Но там будет появляться то, чего не будет здесь, например, я планирую начать вести, скажем так, журнал обучения системному администрированию, который будет выполнен в виде не то гайдов, не то блога. Сейчас, разумеется, контента там мало, но это ненадолго. Если вдруг возникнет вопрос, зачем я создал сайт, то ответ будет достаточно прост. Я хочу писать больше, и развивать что-то своё. Если вы читаете только на форуме, то для вас совершенно ничего не изменится, а если хотите почитать что-то ещё, то добро пожаловать.

А за сим я откланяюсь. Ещё раз с праздником, дамы.
 

Mogen

Red Team
27.08.2019
314
612
BIT
8
Дамы, господа! Внимание! Я раздобыл CANVAS. Сейчас буду экспериментировать. :)
Спасибо за новости! Как всегда, на высоте! (y)
Помню, когда на конференции Black Hat вроде ( точно не помню ) доклад по обходу ssl предоставил человек, тогда почти все сайты уязвимы были. Нечто подобное наблюдаю сейчас, но только теперь почти всё уязвимо.
 
  • Нравится
Реакции: dieZel

dieZel

Green Team
08.04.2018
227
597
BIT
0
Помню, когда на конференции Black Hat вроде ( точно не помню ) доклад по обходу ssl предоставил человек, тогда почти все сайты уязвимы были. Нечто подобное наблюдаю сейчас, но только теперь почти всё уязвимо.
Эхх, было время, когда ssl впринципе не было, сидели с другом, перехватывали чужой трафик с помощью zAnti. А сейчас куда не плюнь, то в сертификат попадешь. :(
 
  • Нравится
Реакции: Mogen

dieZel

Green Team
08.04.2018
227
597
BIT
0
Я так понял что исправления этой уязвимости есть, так что ничего страшного ждать нестоит)
Причина этой уязвимости в строении процессора. Так что да, исправление есть. Замена процессора. Кстати, те процессоры, которые защищены от этой уязвимости работают на ~40% медленнее.
Проще говоря, стоит ждать что-то страшное.

P.S. Программного фикса на данный момент нет и врядли будет.
P.P.S. Я не знаю почему об этом не написал, как-то запамятовал.
 

Wenzel

Green Team
10.08.2020
194
74
BIT
1
Причина этой уязвимости в строении процессора. Так что да, исправление есть. Замена процессора. Кстати, те процессоры, которые защищены от этой уязвимости работают на ~40% медленнее.
Проще говоря, стоит ждать что-то страшное.

P.S. Программного фикса на данный момент нет и врядли будет.
P.P.S. Я не знаю почему об этом не написал, как-то запамятовал.
Пишут что софтово попатчили это дело.

 
  • Нравится
Реакции: dieZel

yamakasy

Green Team
30.10.2020
158
113
BIT
0
Не знаю насколько в тему, но хотелось бы дополнить статью новостью, которая ,меня лично, очень сильно потрясла. Умер репакер Хатаб. Да я понимаю, что наверное все это слышали, и кому-то эта новость даже успела надоесть, но все же. Как то не поделиться тут , наверное, было бы упущением. Я видел комент, кто-то написал, что :" с хатабом ушла эпоха" , незнаю почему, но почему то именно так и чувствуется...
 
  • Нравится
Реакции: Adrian Grum и dieZel

dieZel

Green Team
08.04.2018
227
597
BIT
0
С Canvas'ом проблемы. Он отказывается как-либо запускаться и я не понимаю почему. Так что пока статья по нему откладывается...
 

Kaylandarri

Green Team
13.02.2020
10
10
BIT
0
Как всегда всё кратко и по делу. И главное отличная подача материала. Спасибо автору за труд.
 
  • Нравится
Реакции: dieZel
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!