Запуск вредоносного кода через RDP, обход Windows AppLocker (Application Locker). Во Всем виноват MSTSC (клиент службы терминалов Windows)

В общем и целом - обход контроля безопасности через библиотеку mstscax.dll которую использует mstsc, что в итоге приводит к возможности выполнять вредоносный код в контексте цифровой подписи mstsc

Microsoft отказалась исправлять данную уязвимость, так как по их словам эксплаутация требует привилегий в рамках системы (смеюсь)

Описание + PoC

https://cymulate.com/news/cymulate-discovers-hidden-malware-mstsc/

Множественные уязвимости в промышленных контроллерах ABB 800xA - RCE, повышение привилегий, доступ к чувствительной информации…

https://applied-risk.com/resources/ar-2020-02

Fedora Workstation как предустановленная система на ноутбуках Lenovo ThinkPad. Скоро.

https://fedoramagazine.org/coming-soon-fedora-on-lenovo-laptops/

SQL инъекция в Sohpos firewall:

https://community.sophos.com/kb/en-us/135412

+++

Расширенное руководство AWS Security Ramp-up

https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/

Распространение через флешки старо но актуально, новая волна ботнета использует именно этот способ

На флешке размещены вроде бы вполне не опасные файлы - bmp, pdf, lnk… запуская один из файлов, запускается autoit скрипт, который в виде метаданных уже присутсвует в файле в результате чего подгружается модуль написанный на .NET среди кучи мусора в коде моделуль содержит сжатую, зашифрованную dll библиотеку в которой тоже содержится autoit скрипт, который инжектится в полне легитимные Windows процессы vbc.exe (компилятор Visual Basic) или csc.exe (компилятор Visual C#). В результате запускается monero майнинг.

PoC:

https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/

Кто помнит, в январе в Windows была уязвимость, когда можно было поднять привилегии / выполнить произвольный код в Win32k компонентах ( https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0624 )

Были подвержены:

▪ Windows 10 Version 1903
▪ Windows 10 Version 1909
▪ Windows Server Version 1903 (Core)

PoC for Windows 10 Vulnerability CVE-2020-0624

https://borncity.com/win/2020/04/24/poc-fr-windows-10-schwachstelle-cve-2020-0624/

https://github.com/james0x40/CVE-2020-0624

CentOS-7.8 (2003) Release Notes

https://wiki.centos.org/Manuals/ReleaseNotes/CentOS7.2003

https://lists.centos.org/pipermail/centos-announce/2020-April/035696.html

Загрузить свежий релиз можно с ближайшего зеркала

http://isoredirect.centos.org/centos/7/isos/x86_64/

Как простой gif, может помочь в угоне аккаунта MS Teams

https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

День RPM релизов. Fedora 32 is officially here! 🙂

https://fedoramagazine.org/announcing-fedora-32/

Hacking Tools Cheat Sheet

https://github.com/CompassSecurity/Hacking_Tools_Cheat_Sheet/blob/master/README.md

Чит лист по некоторым инструментам Kali Linux (и не только)

https://github.com/NoorQureshi/kali-linux-cheatsheet/blob/master/README.md

Новый релиз Burp Suite 2020.4

Что нового:
https://portswigger.net/burp/releases/professional-community-2020-4

KB4549951 - удаляет / перемещает файлы, ломает Bluetooth / Wi-Fi, влияет на производительность системы и вызывает даже BSOD

В Microsoft говорят - данные телеметрии (!) показывают что проблем нет, но проблемы высказанные в соц. медиа дают повод для расследования проблем:

https://support.microsoft.com/en-au/help/4549951/windows-10-update-kb4549951

Проблемы кумулятивного обновления (April 14 2020)

https://answers.microsoft.com/en-us/windows/forum/all/cumulative-updates-april-14-2020/32905c44-194c-45cc-8cac-16c38b914534

Возможно у себя или на WSUS'е есть смысл этот апдейт на пока отключить

Интернет Контроль Сервер (ИКС) — интернет-шлюз на базе операционной системы FreeBSD
⁠
Отечественная разработка, есть бесплатная редакция на 8 пользователей. Судя по демо, довольно много и гибко можно настраивать доступ в интернет для пользователей, есть предустановленные правила для школ, встроенные антивирусы, фаервол, встроенный модуль IP-телефонии (входящие, исходящие, переадресация), утилита авторизации xauth, fail2ban, отчеты и сбор статистики по активности юзеров и много чего еще 🙂

Есть демо-доступ - https://demo.a-real.ru/#/ (root, 00000)

Документация здесь - https://doc.a-real.ru/doku.php (есть инструкции как установить в виртуальную среду, например VirtualBox, ESXi, Hyper-V)

Полезность для удаленки. Пошаговая настройка VPN и OpenVPN - https://youtu.be/7jXH03Hy7cA

Скачать и протестировать можно здесь
⁠

Вышел новый Sysmon:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Для чего он и как может быть полезен в работе системного администратора / специалиста информационной безопасности:

https://m.habr.com/ru/company/microsoft/blog/352692/

Новый релиз Parrot 4.9, дистрибутив для проведения пентестов, альтернатива Kali Linux. В качесте DE используется MATE. В качестве ключевых обновлений:
- Linux 5.5
- Испраления ошибок WIFI / intel GPU
- Включает исправления Debian
- Включает исправления для Anonsurf
- GUI фиксы

Новости релиза:
https://parrotsec.org/blog/parrot-4.9-release-notes/

Произвольное чтение файлов на серверах в результате кривой обработки Markdown, удалённое выполнение кода, возможность получения доступа к конфиденциальным данным в GitLab.

PoC:

https://hackerone.com/reports/827052

Выход из песочницы Chrome в Windows. Метод использует механизм управления маркерами доступа Windows.

Если кратко, для побега из песочницы необходимо

- получить неограниченный токен
- продублировать его маркер, с целью создать новый основной маркер, сделать его доступным для записи
- вызвать CreateProcessAsUser с новым маркером
- совершить побег из песочницы

Технические детали. PoC:

https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html

Механизм песочницы Chrome работает годами и как это уже в порядке вещей, все сломал хотфикс от Microsoft, они (MS) это признали и выпустили в рамках апрельских обновлений хотфикс для хотфикса:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0981

Между тем, как произошло изменение кода касающегося обработки маркеров остается загадкой "конечно, это не было намеренно, так как Microsoft быстро выпустила исправление для него" отметил исследователь Google Project Zero Джеймс Форшоу

7 уязвимостей, которые исправлены в новой версии WordPress:

- проблема маркеров (опять маркеры безопасности) сброса пароля
- просмотр сообщений пользователей не аутентифицированными пользователями
- набор XSS уязвимостей

https://www.wordfence.com/blog/2020/04/unpacking-the-7-vulnerabilities-fixed-in-todays-wordpress-5-4-1-security-update/

Новый релиз WordPress вышел пару дней назад (кто не обновился > обновляйтесь), новости релиза

https://wordpress.org/news/2020/04/wordpress-5-4-1/

EventBot ворует с Android устройств максимально возможный набор информации включая данные банковских карт, платежных приложений, SMS...

Троян EventBot ориентирован на более чем 200 различных финансовых приложений, включающих банковские услуги, услуги по переводу денег, криптовалютные кошельки (Paypal Business , Revolut , Barclays , UniCredit , CapitalOne UK , HSBC UK , Santander UK , TransferWise , Coinbase , paysafecard и многие другие)

Пока ориентирован (пока) на страны Европы, США.

Маскируется под известные приложения (Microsoft Word, Антивирусы, продукты Adobe)

Основные рекомендации по профилактике угроз:

 - обновлённый Android / установленные приложения
 - включенный Google Play Protect
 - не загружайте приложения из неизвестных источников
 - анализируйте предоставляемые разрешения для приложений
 - если ставите неизвестный APK, проверяйте на VirusTotal
 - антивирус или любое анти-малварное решение

https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born