• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа. Пока на улице невыносимое пекло, дома пекло чуть менее невыносимое (на момент публикации погода стала более дружелюбной :) ). Но я не метеоролог и пришёл к вам не с новостями погоды, а с новостями высоких технологий. Приятного времяпрепровождения.​

IBIT.jpg


Open Voice Network

Именно такое название получила новая организация, созданная Linux Foundation. Целью этой организации является разработка стандартов технологий распознавания речи. Кроме основателя есть и соучредители, а именно Target, Microsoft, Veritone. Разработка самой технологии не входит в обязанности организации, она лишь будет решать вопросы обеспечения этичности и инклюзивности технологий распознавания голоса, выявление и распространение передовых методов разговорного ИИ. Кроме того, OVN (Open Voice Network) будет участвовать в решении правовых и законодательных вопросов, включая конфиденциальность данных. Компании, ставшие членами организации должны поддерживать исследования и принимать участие в конференциях и семинарах. Есть членство трёх уровней: Platinum, Gold и Advocate. Расценки следующие: $100 тысяч, $50 тысяч и $7,5 тысяч соответственно. Купившие платиновый статус получат место в руководящем составе организации. Маленькие же фирмы и другие бедные студенты (частные лица) могут поддержать OVN, став «друзьями сети», что не подразумевает членских взносов.

Цифровой рубль на подходе!

Центробанк выбрал 12 банков, которые примут участие в тестировании платформы цифровой валюты, а именно:​
  • «Сбер»;​
  • ВТБ;​
  • «Ак Барс Банк»;​
  • «Альфа-банк»;​
  • «ДОМ.РФ»;​
  • «Газпромбанк»;​
  • «Тинькофф Банк»;​
  • «Промсвязьбанк»;​
  • «Росбанк»;​
  • «СКБ-банк»;​
  • банк «Союз»;​
  • «ТКБ банк».​
Реализацию проекта поделили на два этапа. До декабря 2021 года планируется создание прототипа платформы цифрового рубля, потом весь 2022 год будет проводиться её тестирование и разработка плана по внедрению с учётом тестирования. Также ведётся разработка законодательной базы для цифровой валюты.

LinkedIn опять поплыл?

На одном из форумов на продажу были выставлены 700 миллионов строк с данными пользователей LinkedIn. В пору кричать о массовом взломе, но вот что пишет об этом телеграм-канал «Утечки Информации»:
«Невыносимо скучно комментировать заявления “экспертов” про то, что в этот раз это точно утечка, а никакой не парсинг профилей социальных сетей т.к. данные содержат геолокацию.
К несчастью для “экспертов” данные геолокации являются стандартными параметрами профиля, которые возвращаются через API ( ) соцсети.»
Один из порталов, исследовавших ситуацию связался с продавцом базы и тот подтвердил, что данные были вытащены через API.
Позже, в официальном заявлении для прессы LinkedIn написали следующее:
«Хотя мы все еще изучаем эту проблему, наш первоначальный анализ показывает, что набор данных включает информацию, полученную из LinkedIn, а также информацию, полученную из других источников. Это не было утечкой данных LinkedIn, и наше расследование показало, что личные данные участников LinkedIn не были раскрыты. Сбор данных из LinkedIn является нарушением наших условий использования, и мы постоянно работаем над обеспечением защиты конфиденциальности наших участников».
Утечки информации

Немного дополню

В прошлый раз я писал о том, как Microsoft подписывает руткиты и по этому поводу появилась новая информация. Как полагает Microsoft, основной целью злоумышленника были геймеры (преимущественно, китайские), а всё что он хотел – преимущество в играх. Сейчас компания расследует инцидент, но предварительно заявляют, что нет доказательств утечки сертификата подписи Microsoft, а значит всё произошло из-за внутренней ошибки или намеренной подписи зловреда. Компания уверяет, что впредь будет гораздо более внимательно вести процедуру подписи.

Глаз или не Глаз,
Вот в чём вопрос

Роскомнадзор подал иск в Таганский районный суд Москвы. Ответчиком стал основатель Telegram-бота «Глаз Бога» Евгений Антипов. Чиновники требуют признать деятельность бота незаконной и нарушающей неприкосновенность частной жизни, личную и семейную тайны. Юристы сервиса уже частично ознакомились с иском и считают его необоснованным.
«Мы хотим сотрудничать с регулятором и делать все по закону, но Роскомнадзор не берёт трубки и не отвечает на письма, поэтому даже не понимаем, в чём претензия».
Можно было бы сказать, что господину Антипову грозит штраф от 60 до 100 тысяч рублей и, возможно, лишение свободы на срок до 5 лет, но к чему это, если суд уже прошёл.
По итогам суда бот был заблокирован, но не оригинальный, а лишь клон, который, собственно, и нарушал закон.
«Заблокированный бот нарушал ФЗ о персональных данных, он не наш. Сам Роскомнадзор на втором заседании даже представил доказательства. К нашему претензий нет».

Дополнительно о WD

В прошлый раз я написал, что в массовых взломах устройств Western Digital My Book Live и его же версии Duo виновата уязвимость, обнаруженная в 2018 году, а значит, неисправленная в прошивке 2015 года (последняя версия прошивки для этих устройств).
Однако, как выяснилось позже, открытой дверью в эти устройства являлась не уязвимость 2018 года, а самая обыкновенная невнимательность, повлекшая за собой ошибку в процедуре аутентификации, а, следовательно, новый 0-day CVE-2021-35941. В результате этого появилась возможность подключится к устройству и выполнять произвольные команды от root-пользователя. В WD признали ошибку и пообещали пострадавшим предоставить средства восстановления и скидку на новые устройства серии WD Cloud.

ПечатьНочнойкошмар

Именно таков дословный перевод уязвимости, о которой я сейчас поведаю. Речь сегодня пойдёт о PrintNightmare. Чтобы заранее дать вам понимание проблемы, скажу, что эта уязвимость даёт возможность исполнять произвольный код от имени любого пользователя. Думаю, вопросов о серьёзности не осталось.
Ещё 8 июня об этой уязвимости стало известно благодаря июньскому вторнику обновлений от Microsoft. Там она была представлена, как уязвимость, не представляющая особенной опасности и служащая лишь для повышения привилегий. Но уже 21 июня статус её был изменён на критическую, ведь теперь она стала rce-уязвимостью. 27 числа группа исследователей QiAnXin опубликовала Gif в своём Twitter. Там они продемонстрировали rce, но не показали никаких технических подробностей. Через пару дней, 29 июня исследователи из другой группы, Sangfor, выложили на Github полную техническую документацию PoC-эксплойт. Репозиторий был закрыт через несколько часов, но этого времени хватило, чтобы предприимчивые граждане клонировали его себе.
Microsoft наскоро собрав всех умных сотрудников, исправили уявимость CVE-2021-1675, которой приписывались все эти чудесные свойства, но, о чудо, это не помогло! Это значит лишь одно –
PrintNightmare ≠ CVE-2021-1675
2 июля Microsoft идентифицировали сию ошибку, теперь она CVE-2021-34527.
На данный момент (5:00 UTC 04.07.2021) есть только неофициальное исправление от 0patch (об этом позже), но, тем не менее, службу, которая представляет такую опасность, лучше отключить до появления официального патча от Microsoft. Служба эта spoolsv.exe. Хотя если вы хотите поиграть в отражателя хакерских атак – милости прошу.
Кроме того, эксплойт для этой уязвимости был добавлен в утилиту WinPwn.


S3cur3Th1sSh1t/WinPwn
За информацию благодарю специалистов, в том числе бывших, группы компаний «Анлим».

Бабук?

Да, бабук. Согласен, название презабавное, но не стоит судить о проблеме по названию, ведь проникая в суть дела, становится не так весело, ведь Babuk – это локер, обнаруженный в начале этого года исследователем из McAfee Labs. Вирусы этого семейства уже были применены, более того, они были замечены в атаках на крупные компании. Чуть позже другой ИБ исследователь подметил, что оригинальное название этого вируса – Vasa Locker. По предположению некоторых исследователей, этот вирус произошёл из русскоговорящих стран.
На момент обнаружения, вирус уже был замечен в атаках на следующие структуры:​
  • Здравоохранение;​
  • Банки, финансы;​
  • Торговые площадки;​
  • Транспорт.​
По отчёту McAfee, атакам подвергались следующие страны:​
  • Израиль;​
  • США;​
  • Индия;​
  • Люксембург;​
  • Италия;​
  • Испания;​
  • Южная Африка;​
  • ОАЭ;​
  • Великобритания;​
  • Китай;​
  • Германия.​
Локер не использует абсолютно никаких методов шифрования или обфускации, что значительно облегчило задачу реверс-инженерам.
Более подробную техническую информацию (и информацию с деаноном автора вируса) вы можете найти по ссылке.
Вся статья затевалась того, чтобы сообщить вам одну новость, билдер бабука слили в открытый доступ…

За информацию благодарю специалистов, в том числе бывших, группы компаний «Анлим».

REvil вышел на охоту

Вымогатель REvil поразил уже более 1000 компаний. Во взломе виновна Kaseya VSA – облачная платформа предоставления услуг обновления, позволяющая поставщикам осуществлять управление исправлениями и мониторинг своих клиентов. Платформа была взломана и вирус распространяется дальше. В связи со случившейся ситуацией, Kaseya VSA опубликовала предупреждение:
«Мы столкнулись с потенциальной атакой на VSA, которая была ограничена небольшим количеством локальных клиентов только по состоянию на 14:00 по восточноевропейскому времени сегодня.
Мы очень осторожно расследуем основную причину инцидента, но рекомендуем НЕМЕДЛЕННО выключить сервер VSA, пока вы не получите от нас дальнейшее уведомление.
Очень важно, чтобы вы сделали это немедленно, потому что одно из первых действий злоумышленника - это отключение административного доступа к VSA».
Распространение осуществляется через обновление. Один из образцов попал в руки исследователей из Bleeping Computer и, в ходе препарирования было выяснено, что злоумышленники требуют 5 миллионов долларов за расшифровку системы.
Чуть позже стало известно, что во время старта атак на платформу, уязвимость находилась в процессе исправления. Kaseya узнала о существовании бреши от ИБ-исследователей из Голландского института раскрытия уязвимостей. Вот что сам институт говорит по этому поводу:
«После этого кризиса встанет вопрос о том, кто виноват. С нашей стороны, мы хотели бы отметить, что Касея была очень отзывчивой. Как только компания узнала о наших обнаруженных уязвимостях, мы были в постоянном контакте и сотрудничестве с ними. Когда пункты в нашем отчёте были неясными, они задавали правильные вопросы. Кроме того, нам предоставили частичные исправления, чтобы проверить их эффективность. В течение всего процесса Kaseya демонстрировала, что они готовы приложить максимум усилий и инициатив в этом деле, как для исправления этой проблемы, так и для исправления своих клиентов. Они показали искреннее стремление поступать правильно. К сожалению, в финальном спринте REvil обошел нас, так как они могли использовать уязвимости ещё до того, как клиенты успели исправить их».
Когда группировку, совершающую все эти взломы, спросили о том, как они узнали об уязвимости, они сказали:
«Если бы вы видели PoC, вы бы сами поняли, что и как. Элементарно».
После выхода предупреждения о количестве подключенных к сети серверов VSA, упало более чем 2200 до 100 и продолжает падать, что говорит об эффективности мер.
BleepingComputer уже назвали эту атаку крупнейшей за всю историю, чуть ниже это будет разобрано подробнее.
Сеть гипермаркетов в Швеции пострадала от атаки, из-за чего около 500 магазинов Coop приостановили работу. На официальном сайте имеется следующее уведомление:
«Сейчас многие наши магазины временно закрыты. Следующие магазины НЕ затронуты и открыты: Интернет-магазин на сайте coop.se, магазины в Вермланде, Оскарсхамне, Табергсдалене, Норрботтене и на острове Готланд. Один из наших поставщиков подвергся ИТ-атаке, поэтому кассовые аппараты не работают. Мы сожалеем об этом и делаем всё, чтобы вскоре снова открыться», – Coop.
Позже представитель сети уточнил, что атаке подверглись не они, а их поставщик — Vissma Esscom. О проблеме он высказался следующим образом:
«Вчера вечером около 19:00 мы получили сигналы от некоторых из наших магазинов, что возникли проблемы с кассовыми аппаратами. Поскольку клиенты не могли платить, некоторые магазины закрылись рано вечером. Ночью мы работали над проблемой, и в 8 утра мы приняли решение закрыть магазины, за исключением нескольких регионов, которые не пострадали, чтобы иметь возможность решить проблему без вмешательства.
Итак, не все из наших 800 магазинов пострадали, но большинство из них. Сегодня в субботу они были закрыты весь день».



Патчер

0patch выпустили неофициальное исправление для уязвимости PrintNightmare. Патч был выпущен для операционных систем Windows Server версий 2019, 2016, 2012 (с обновлениями за июнь 2021 года) и 2008 R2 (с установленными обновлениями января 2020 года и без расширенных обновлений безопасности).

Powershell уязвим!

Microsoft предупреждает об обнаружении критической уязвимости .NET Core для удалённого выполнения кода в PowerShell 7, вызванной тем, как выполняется кодирование текста в .NET 5 и .NET Core.
Компания заявляет, что отсутствуют какие-либо меры по предотвращению использования уязвимости, отмеченной как CVE-2021-26701.
Клиентам настоятельно рекомендуется, как можно скорее установить обновлённые версии PowerShell 7.0.6 и 7.1.3, чтобы защитить свои системы от потенциальных атак.
Первоначальные рекомендации Microsoft также предоставляют разработчикам рекомендации по обновлению своих приложений для устранения этой уязвимости.
«Уязвимым пакетом является System.Text.Encodings.Web. Обновление вашего пакета и повторное развертывание приложения должно быть достаточным для устранения этой уязвимости», - пояснила Microsoft в апреле, когда брешь в системе безопасности была исправлена.
Любое приложение на основе .NET 5, .NET Core или .NET Framework, использующее версию пакета System.Text.Encodings.Web, указанную ниже, подвержено атакам.​
Уязвимые версии Безопасные версии
4.0.0 - 4.5.0 4.5.1+
4.6.0-4.7.1 4.7.2+
5.0.0 5.0.1+
Хотя Visual Studio также содержит двоичные файлы для .NET, согласно рекомендациям, Microsoft по безопасности, она не подвержена этой проблеме.
В обновлении предлагается включить файлы .NET, чтобы приложения, созданные с использованием Visual Studio, включая функциональные возможности .NET, были защищены от этой проблемы безопасности.
«Если у вас есть вопросы, задавайте их на GitHub, где команда разработчиков Microsoft и сообщество экспертов внимательно следят за появлением новых проблем и дадут ответы в кратчайшие сроки», - добавила Microsoft.

Неделя программ-вымогателей

В пятницу днём банда вымогателей REvil использовала уязвимость нулевого дня в управляющем программном обеспечении Kaseya VSA для шифрования MSP и их клиентов по всему миру. В то время как Kaseya заявляет, что пострадали только 40 MSP, у каждого MSP потенциально могут быть тысячи, если не миллионы индивидуальных бизнес-клиентов, что делает эту атаку с использованием программ-вымогателей наиболее значительной из когда-либо проводившихся.
С тех пор, как два известных русскоязычных форума по борьбе с киберпреступностью запретили темы, связанные с программами-вымогателями, преступные организации были вынуждены продвигать свои услуги с помощью альтернативных методов - теперь они создают собственные сайты.
Вымогатель REvil теперь использует шифровальщик Linux, который нацеливается и шифрует виртуальные машины Vmware ESXi.
Голландская компания по кибербезопасности Tesorion выпустила бесплатный дешифратор для программы-вымогателя Lorenz, позволяющий жертвам бесплатно восстанавливать некоторые свои файлы без уплаты выкупа.
Утечка инструмента, используемого Babuk Locker для создания настраиваемых исполняемых файлов вымогателей, теперь используется другим злоумышленником в очень активной кампании, нацеленной на жертв по всему миру.
ESET опубликовала список стран, становящимися мишенями для атаки через Kaseya VSA.

Блиц

  • Намёки от Microsoft.
  • 10 протоколов он РКН. 3 на Google, 3 на Telegram, 2 на Twitter, 2 на Facebook.
  • BSoD теперь Black Screen of Death.
  • Госуслуги напряглись из-за запуска новых сервисов.
  • Поддельный QR коды распространять нельзя!
  • Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.
  • Может замедлить этот ТикТок? Уж больно там модерация плохая.
  • «У него иностранное происхождение!!!» - Компания о Конкуренте.
Эта неделя, как вы можете заметить, выдалась очень насыщенной на новости, и они отнюдь не положительные. Было найдено огромное количество уязвимостей, взломано огромное количество систем и на фоне всего этого те события, которым я бы посвятил отдельный блок, ушли бы в «Блиц». На этом все новости закончены, а за сим я откланяюсь, всем спасибо за внимание.​
 
  • Нравится
Реакции: tjskfgpzmla111 и MLNK
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!