Size: a a a

Sys-Admin & InfoSec Channel

2020 April 24
Sys-Admin & InfoSec Channel
Запуск вредоносного кода через RDP, обход Windows AppLocker (Application Locker). Во Всем виноват MSTSC (клиент службы терминалов Windows)

В общем и целом - обход контроля безопасности через библиотеку mstscax.dll которую использует mstsc, что в итоге приводит к возможности выполнять вредоносный код в контексте цифровой подписи mstsc

Microsoft отказалась исправлять данную уязвимость, так как по их словам эксплаутация требует привилегий в рамках системы (смеюсь)

Описание + PoC

https://cymulate.com/news/cymulate-discovers-hidden-malware-mstsc/
источник
Sys-Admin & InfoSec Channel
Множественные уязвимости в промышленных контроллерах ABB 800xA - RCE, повышение привилегий, доступ к чувствительной информации…

https://applied-risk.com/resources/ar-2020-02
источник
2020 April 25
Sys-Admin & InfoSec Channel
Fedora Workstation как предустановленная система на ноутбуках Lenovo ThinkPad. Скоро.

https://fedoramagazine.org/coming-soon-fedora-on-lenovo-laptops/
источник
Sys-Admin & InfoSec Channel
SQL инъекция в Sohpos firewall:

https://community.sophos.com/kb/en-us/135412

+++

Расширенное руководство AWS Security Ramp-up

https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
источник
2020 April 27
Sys-Admin & InfoSec Channel
Распространение через флешки старо но актуально, новая волна ботнета использует именно этот способ

На флешке размещены вроде бы вполне не опасные файлы - bmp, pdf, lnk… запуская один из файлов, запускается autoit скрипт, который в виде метаданных уже присутсвует в файле в результате чего подгружается модуль написанный на .NET среди кучи мусора в коде моделуль содержит сжатую, зашифрованную dll библиотеку в которой тоже содержится autoit скрипт, который инжектится в полне легитимные Windows процессы vbc.exe (компилятор Visual Basic) или csc.exe (компилятор Visual C#). В результате запускается monero майнинг.

PoC:

https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/
источник
Sys-Admin & InfoSec Channel
Кто помнит, в январе в Windows была уязвимость, когда можно было поднять привилегии / выполнить произвольный код в Win32k компонентах ( https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0624 )

Были подвержены:

▪ Windows 10 Version 1903
▪ Windows 10 Version 1909
▪ Windows Server Version 1903 (Core)

PoC for Windows 10 Vulnerability CVE-2020-0624

https://borncity.com/win/2020/04/24/poc-fr-windows-10-schwachstelle-cve-2020-0624/

https://github.com/james0x40/CVE-2020-0624
источник
2020 April 28
Sys-Admin & InfoSec Channel
CentOS-7.8 (2003) Release Notes

https://wiki.centos.org/Manuals/ReleaseNotes/CentOS7.2003

https://lists.centos.org/pipermail/centos-announce/2020-April/035696.html

Загрузить свежий релиз можно с ближайшего зеркала

http://isoredirect.centos.org/centos/7/isos/x86_64/
источник
Sys-Admin & InfoSec Channel
Как простой gif, может помочь в угоне аккаунта MS Teams

https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/
источник
Sys-Admin & InfoSec Channel
День RPM релизов. Fedora 32 is officially here! 🙂

https://fedoramagazine.org/announcing-fedora-32/
источник
2020 April 29
Sys-Admin & InfoSec Channel
источник
Sys-Admin & InfoSec Channel
Чит лист по некоторым инструментам Kali Linux (и не только)

https://github.com/NoorQureshi/kali-linux-cheatsheet/blob/master/README.md
источник
Sys-Admin & InfoSec Channel
Новый релиз Burp Suite 2020.4

Что нового:
https://portswigger.net/burp/releases/professional-community-2020-4
источник
Sys-Admin & InfoSec Channel
KB4549951 - удаляет / перемещает файлы, ломает Bluetooth / Wi-Fi, влияет на производительность системы и вызывает даже BSOD

В Microsoft говорят - данные телеметрии (!) показывают что проблем нет, но проблемы высказанные в соц. медиа дают повод для расследования проблем:

https://support.microsoft.com/en-au/help/4549951/windows-10-update-kb4549951

Проблемы кумулятивного обновления (April 14 2020)

https://answers.microsoft.com/en-us/windows/forum/all/cumulative-updates-april-14-2020/32905c44-194c-45cc-8cac-16c38b914534

Возможно у себя или на WSUS'е есть смысл этот апдейт на пока отключить
источник
Sys-Admin & InfoSec Channel
Интернет Контроль Сервер (ИКС) — интернет-шлюз на базе операционной системы FreeBSD

Отечественная разработка, есть бесплатная редакция на 8 пользователей. Судя по демо, довольно много и гибко можно настраивать доступ в интернет для пользователей, есть предустановленные правила для школ, встроенные антивирусы, фаервол, встроенный модуль IP-телефонии (входящие, исходящие, переадресация), утилита авторизации xauth, fail2ban, отчеты и сбор статистики по активности юзеров и много чего еще 🙂

Есть демо-доступ - https://demo.a-real.ru/#/ (root, 00000)

Документация здесь - https://doc.a-real.ru/doku.php (есть инструкции как установить в виртуальную среду, например VirtualBox, ESXi, Hyper-V)

Полезность для удаленки. Пошаговая настройка VPN и OpenVPN - https://youtu.be/7jXH03Hy7cA

Скачать и протестировать можно здесь
источник
2020 April 30
Sys-Admin & InfoSec Channel
Вышел новый Sysmon:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Для чего он и как может быть полезен в работе системного администратора / специалиста информационной безопасности:

https://m.habr.com/ru/company/microsoft/blog/352692/
источник
Sys-Admin & InfoSec Channel
Новый релиз Parrot 4.9, дистрибутив для проведения пентестов, альтернатива Kali Linux. В качесте DE используется MATE. В качестве ключевых обновлений:
- Linux 5.5
- Испраления ошибок WIFI / intel GPU
- Включает исправления Debian
- Включает исправления для Anonsurf
- GUI фиксы

Новости релиза:
https://parrotsec.org/blog/parrot-4.9-release-notes/
источник
2020 May 01
Sys-Admin & InfoSec Channel
Произвольное чтение файлов на серверах в результате кривой обработки Markdown, удалённое выполнение кода, возможность получения доступа к конфиденциальным данным в GitLab.

PoC:

https://hackerone.com/reports/827052
источник
Sys-Admin & InfoSec Channel
Выход из песочницы Chrome в Windows. Метод использует механизм управления маркерами доступа Windows.

Если кратко, для побега из песочницы необходимо

- получить неограниченный токен
- продублировать его маркер, с целью создать новый основной маркер, сделать его доступным для записи
- вызвать CreateProcessAsUser с новым маркером
- совершить побег из песочницы

Технические детали. PoC:

https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html

Механизм песочницы Chrome работает годами и как это уже в порядке вещей, все сломал хотфикс от Microsoft, они (MS) это признали и выпустили в рамках апрельских обновлений хотфикс для хотфикса:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0981

Между тем, как произошло изменение кода касающегося обработки маркеров остается загадкой "конечно, это не было намеренно, так как Microsoft быстро выпустила исправление для него" отметил исследователь Google Project Zero Джеймс Форшоу
источник
Sys-Admin & InfoSec Channel
7 уязвимостей, которые исправлены в новой версии WordPress:

- проблема маркеров (опять маркеры безопасности) сброса пароля
- просмотр сообщений пользователей не аутентифицированными пользователями
- набор XSS уязвимостей

https://www.wordfence.com/blog/2020/04/unpacking-the-7-vulnerabilities-fixed-in-todays-wordpress-5-4-1-security-update/

Новый релиз WordPress вышел пару дней назад (кто не обновился > обновляйтесь), новости релиза

https://wordpress.org/news/2020/04/wordpress-5-4-1/
источник
2020 May 02
Sys-Admin & InfoSec Channel
EventBot ворует с Android устройств максимально возможный набор информации включая данные банковских карт, платежных приложений, SMS...

Троян EventBot ориентирован на более чем 200 различных финансовых приложений, включающих банковские услуги, услуги по переводу денег, криптовалютные кошельки (Paypal Business , Revolut , Barclays , UniCredit , CapitalOne UK , HSBC UK , Santander UK , TransferWise , Coinbase , paysafecard и многие другие)

Пока ориентирован (пока) на страны Европы, США.

Маскируется под известные приложения (Microsoft Word, Антивирусы, продукты Adobe)

Основные рекомендации по профилактике угроз:

 - обновлённый Android / установленные приложения
 - включенный Google Play Protect
 - не загружайте приложения из неизвестных источников
 - анализируйте предоставляемые разрешения для приложений
 - если ставите неизвестный APK, проверяйте на VirusTotal
 - антивирус или любое анти-малварное решение

https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born
источник