Эволюция макро-вооружения в Excel

Макросы и офисные продукты являются отличной платформой для проведения атак. Макросы, как оружие - уже не первый год (а именно почти 30 лет уже как используется этот функционал в Excel) доказывают, что это оружие может быть эффективным не только в благих, но и в наступательных и злонамеренных целях

За эти годы произошла целая эволюция в отношении того, как связывать маларь и офисные продукты, Excel в частности

- проверка защищенности среды
- выход из песочницы
- web запросы
- белый шрифт на белом фоне)
- скрытые макро-листы
- вызов внешних сценариев
- использование непечатаемых, ASCII и тп символов
- обращение к реестру Windows
- планировка запуска малвари с проверкой даты
- обфускация

Макросы Excel за всю историю доказали свою эффективность для злоумышленников, историческая подоборка с описаниями и скриншотами:

https://www.lastline.com/labsblog/evolution-of-excel-4-0-macro-weaponization/

Cisco выпустила полугодовую публикацию Cisco IOS и IOS XE

Много патчей, порядка ~30-ти при этом из них 90% с приоритетом High

https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73388

RIPGREP - аналог GREP, ACK, написан на RUST, быстрый поиск содержимого в файлах с возможностью замены

В репозитории ripgrep есть готовые пакеты под Linux, macOS, Windows

- понимает .gitignore, не следует за символическими ссылками, пропускает бинарные и скрытые файлы, можно использовать регулярные выражения
- быстрый, сотни файлов, в разы быстрее чем аналоги

Быстрое введение в ripgrep, со ссылками на репу, ссылки на сравнительные тесты там же в статье (скорость действительно впечатляет)

https://sys-adm.in/systadm/905-ripgrep-bystryj-umnyj-poisk-soderzhimogo-v-fajlakh-ustanovka-v-linux-macos.html

Сетевой трафик. Ntopng, до этого с ним не работал (за ссылку спасибо подписчику ✌️)

Посмотрел, пощупал, годная вещь:

https://sys-adm.in/systadm/906-centos-ustanovka-analizatora-setevogo-trafika-ntopng.html

Команда Fedora CoreOS выпустила первый тестовый релиз Fedora CoreOS, основанный на Fedora 32

Попутно с этим событием будет организован так называемый тестовый день, где каждый может принять участие совместно с членами сообщества Fedora:

https://fedoramagazine.org/contribute-at-the-fedora-coreos-test-day/

Если кто то использует Intune и у вас остались Android-устройства с Device Administrator, то у вас время до Q4 2020, прежде чем они превратятся в тыкву

https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935

За ссылку спасибо @zenkyo
https://t.me/sysadm_in/122198

Массовые сбои Телеграм. Со всеми бывает..

За наводку спасибо @Anykey76

Cloudflare анонсировал свое собственное TV. Пока только музыка, но говорят будут "передачи":

https://blog.cloudflare.com/ladies-and-gentlemen-cloudflare-tv/amp/

Live:

https://cloudflare.tv/live

SMB Ghost (CVE-2020-0796) RCE - PoC

Уязвимость была обнаружена в марте текущего года и вот появился PoC... Напомню чем чревата данная уязвимость - потенциальный атакующий может использовать эту уязвимость для того, чтобы исполнить произвольный код на стороне SMB-сервера или SMB-клиента. Ну а что такое SMB, надеюсь все помнят: SMB - сетевой протокол для удалённого доступа к файлам, принтерам и прочим сетевым ресурсам, используется в реализации "Сети Microsoft Windows" и "Совместного использования файлов и принтеров", если кто-либо использует эти фичи и до сих пор не пропатчился, то есть очередной повод задуматься над этим)

PoC:

https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/README.md

Маленькое дополнение

Уязвимость была обнаружена в протоколе SMB 3.1.1, который используется во всех последних версиях Windows

Linux Kernel Maps

Полезно для общего понимания. Диаграмма, изображающая основные подсистемы ядра Linux и их взаимодействие:

https://makelinux.github.io/kernel/map/

Для кучи - карта средств защиты ядра Linux со ссылкой на тулзу (репозиторий обновляемый несмотря на то, что статья 19ого года) для проверки проверки опций безопасности в конфигурационном файле ядра Linux:

https://www.securitylab.ru/blog/company/pt/346577.php

Новая уязвимость CallStranger

Уязвимость CallStranger, обнаруженная в миллиардах устройств UPNP, может быть использована для эксфильтрации данных (даже если у вас есть средства защиты, типа DLP), сканирования сети или даже для участия вашей сети в DDoS-атаке:

https://callstranger.com

https://github.com/yunuscadirci/CallStranger

Что такое UPnP

Universal Plug and Play (UPnP) используется для обеспечения автоматического обнаружения устройств в сети и обеспечения взаимодействия с ними. Он предназначен для локального использования в доверенной сети, поскольку отсутствует аутентификация или проверка подлинности.

Уязвимость позволяющая MITM. Gnutls, tls v1.3

https://bugzilla.redhat.com/show_bug.cgi?id=1843723

Опять дырявый Flash, аффектится на Windows, macOS, Linux.

Выполнение произвольного кода. Статус critical:

https://helpx.adobe.com/security/products/flash-player/apsb20-30.html

GPO выходит из-под контроля

Механизм групповой политики Windows существует уже много лет, механизм который считается относительно безопасным способом распространения настроек в доменной среде, от принтеров до устройств резервного копирования, настроек операционных систем и тп и тд

Новая атака, которая позволяет обойти средства антивирусной защиты, настроек безопасности систем...

О том, как механизмы по работе с GPO могут нести в себе другой эффект. Детальный разбор:

https://www.cyberark.com/resources/threat-research-blog/group-policies-going-rogue

При изучении уязвимой функции SMBGhost, была обнаружена еще одна уязвимость: SMBleed (CVE-2020-1206).

В сочетании с SMBGhost, который был исправлен три месяца назад, SMBleed позволяет добиться предварительного автоматического удаленного выполнения кода (RCE)

Описание + PoC:

https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/

thx for the link, for subscriber ✌️

Уязвимость выхода за пределы VMWare (ESXi, Workstation Pro / Player, Fusion Pro / Fusion) - CVE-2020-3960

https://www.vmware.com/security/advisories/VMSA-2020-0012.html

Уязвимость повышения привилегий VMWare Horizon Client for Windows - CVE-2020-3961

https://www.vmware.com/security/advisories/VMSA-2020-0013.html

Уязвимость удаленного выполнения кода в Firefox

Созданная специальным образом HTML веб-страница может создать условия для реализации уязвимости. Ясно, что жертва должна посетить вредоносный веб-сайт.

PoC:

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1053

Нет предела уязвимостям продуктов MS Office, на сегодня это Excel, SharePoint 2010, 2013, 2016, 2019

Множественные уязвимости, есть даже RCE под версии Excel под Mac, Windows, пачка продуктов Microsoft 365 Apps for Enterprise тоже содержит кучу пюрешек совместно с возможностью удаленно выполнять кода:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1226

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1225

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1321

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1181

Доступен для загрузки образ Linux Mint 20 "Ulyana" Beta

Зеркала (каталог testing):

https://www.linuxmint.com/mirrors.php

Детали релиза:

https://blog.linuxmint.com/?p=3890

Немного деталей о vmstat (virtual memory statistics) с примерами использования:

https://www.redhat.com/sysadmin/linux-commands-vmstat