WordPress + плагин = уязвимость. 1 миллион сайтов, снова:

https://www.wordfence.com/blog/2020/02/active-attack-on-recently-patched-duplicator-plugin-vulnerability-affects-over-1-million-sites/

И это не все :)

https://www.wordfence.com/blog/2020/02/critical-vulnerability-in-profile-builder-plugin-allowed-site-takeover/

Microsoft выпиливает из Windows возможность создавать локальную учётную запись, вынуждая пользователей использовать онлайн запись Microsoft...

Решить вопрос можно, если лишить возможности коннекта машины к сети интернет

С другой стороны, это еще один хороший повод начать изучать другие ОС / дистрибутивы / технологии :)

https://www.windowslatest.com/2020/02/22/microsoft-is-making-it-harder-to-use-windows-10-local-accounts/

KR00K - Уязвимость которая позволяет несанкционированно расшифровывать WPA2 трафик

Уязвимость затрагивает непатченные устройства с чипами Broadcom и Cypress FullMac Wi-Fi. Это распространенные чипы Wi-Fi, используемые в современных устройствах, изготовленные известными производителями, включая Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy)

https://www.eset.com/int/kr00k/

Снова скиммеры на веб-сайтах, маскировка под CDN службы с использованием Ngrok

Скомпрометированный сайт, где осуществляется ввод данных платежных карт, загружает скиммер с фиктивного CDN домена (типа cdn-sources.org, cdn-mediafiles.org и т.п.). Данные собираются, когда покупатель собирается совершить платеж, после чего отправляются на сервер ngrok при помощи обычного перенаправления:

https://blog.malwarebytes.com/threat-analysis/2020/02/fraudsters-cloak-credit-card-skimmer-with-fake-content-delivery-network-ngrok-server/

Cisco FXOS - выполнение произвольного кода (hight):
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cmdinj
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-nxos-cdp
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-fxos-ucs-cli-cmdinj

SophosLab опубликовал отчет о новой вредоносной программе - Cloud Snooper, которая может поставить под угрозу безопасность любого сервера Linux или других ОС, используя драйвер ядра

Cloud Snooper - это возможно инновация, которая может установить связь с сервером облачных вычислений, минуя брандмауэр

Помимо всего прочего в отчете есть очень прикольные аналогии с курятником, баранами, курами, прикольно и познавательно

30 страниц PoC'a:

https://news.sophos.com/wp-content/uploads/2020/02/CloudSnooper_report.pdf

Группа исследователей создала фреймворк песочницы, который может повысить безопасность Firefox путем изоляции сторонних библиотек, используемых браузером... Во как ☝️

Сложно, но для некоторых товарищей думаю будет самое то :)

https://github.com/shravanrn/LibrarySandboxing

Не прошло и пары суток, цискари уже успели выпустить патч от kr00k'a (CVE-2019-15126):

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure

Удалённое выполнение кода на серверах MS Exchange. Патч от этой уязвимости только вышел, а обновлять exchange сервера не всегда все торопятся по ряду причин...

Уязвимость может быть эксплуатирована специальным письмом, в частности уязвимость обнаружена в компоненте управления Exchange (ECP)

PoC + видеодемонстрация:

https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

Кот-призрак, уязвимость Ghostcat затрагивает все версии tomcat

Суть - используя уязвимость Ghostcat, злоумышленник может прочитать содержимое файлов конфигурации и файлов исходного кода всех веб-приложений, развернутых на Tomcat (собственно Ахтунг!:))

Описание, как фиксить, детектить:

https://www.chaitin.cn/en/ghostcat

MS идет большими шагами в облака и всех тащит туда же :) Я не фанат VS Code, но вот тут говорят, что им и Visual Studio IDE уже можно пользоваться прям в браузере. В общем, кому интересен сабж, описание в их блоге:

https://devblogs.microsoft.com/visualstudio/whats-new-in-visual-studio-online-feb-2020/

Security обновления Nvidia драйверов под Windows, собственно фиксы:

- отказа в обслуживании
- эскалации привилегий
- раскрытия информации

Бюллетень:

https://nvidia.custhelp.com/app/answers/detail/a_id/4996/kw/Security%20Bulletin

Дрова качать можно с офф сайта:

https://www.nvidia.com/Download/index.aspx

Подборка программных методов, при помощи которых вредоносное ПО обнаруживает работает ли оно в виртуальной среде или нет:

https://evasions.checkpoint.com/

Прикольная подборка шаблонов для выпечки Windows packer образов (vagrant box’ов):
https://github.com/jacqinthebox/packer-templates

Ультразвуковая волна против голосовых помощников

От SurfingAttack не спасают даже силиконовые чехлы, для атаки уязвимы устройства от - Apple, Google, Samsung, Huawei, Xiaomi...

Атака позволяет совершать звонки, читать SMS, взаимодействовать с голосовым помощником...

Атака происходит через колебания передаваемые через твердые поверхности (например стол).

Защита - более толстый чехол, уменьшение площади касания телефона с твердыми поверхностями, отключение голосового помощника

Детали:

https://surfingattack.github.io/

VSCode-python - inject_dll_x86.exe is detected like malware

Антивирусы ругаются на малварь в офф коде от MS VSCode - McAfee, Sophos, Cisco AMP for Endpoints

Народ жалуется:

- https://github.com/microsoft/vscode-python/issues/9474

Но вроде как все сходится к false positive, но тут что-то вспонилось - "суслика видишь? нет? а он есть!"

За ссылку спасибо @rustc

Как происходит установка Net Support Manager RAT (rat - remote access trojan)

- Word документ, замаскированный под защищенный документ NortonLifeLock
- Пользователь вводит пароль от документа (именно правильный пароль, который возможно указан в письме куда прикреплен word документ)
- После ввода пароля, запускается VBA скрипт, который запускает cmd в результате чего создается bat файл в temp каталоге пользователя
- Далее загружается msi файл, выполняется и снова в temp уже устанавливается powershell скрипт
- Далее происходит остановка антивирусного ПО (Avast, AVG)
- Готово, RAT отправляет данные на сервер управления (включая гео-локационные)

Собственно детали:

https://unit42.paloaltonetworks.com/cortex-xdr-detects-netsupport-manager-rat-campaign/

Фаззинг — техника тестирования программного обеспечения, часто автоматическая или полуавтоматическая...

Гугл выложил в паблик инструмент FizzBanch:

https://github.com/google/fuzzbench

Анонс (пример генерируемого отчета там тоже имеется):

https://security.googleblog.com/2020/03/fuzzbench-fuzzer-benchmarking-as-service.html?m=1