Полетели первые пташки последних громких утечек - вероятно мошенники сообразили про credential stuffing.
Банк «Точка» заявил, что пострадал от утечки данных 8,7 млн пользователей домашнего интернета «Билайн»: мошенники вывели деньги со счетов 10 клиентов. По словам представителей банка, пароль для входа в интернет-банк совпадал с паролем от личного кабинета «Билайн». У клиентов была включена переадресация, которую они не включали.
Билайн ответил классическим "ВЫВСЁВРЕТИ", и напомнил, что смс таким образом не переадресуешь.
Уверенные пользователи чата заявляют, что в утекшей базе ШПД Билайна(8713510 записей), которая гуляет по рукам с 2016 года, небыло никаких паролей к личным кабинетам.
При этом там есть текстовые пометки к абонентам с кодовыми словами и паролями, которые могли пересечься с учетками в Точке.
Использует ли банк Точка двухфакторную аутентификацию по смс, или у них можно подтвердить операцию голосом - непонятно.
Такие вот дела 🤷🏻♂️🤷🏻♂️🤷🏻♂️
Банк «Точка» заявил, что пострадал от утечки данных 8,7 млн пользователей домашнего интернета «Билайн»: мошенники вывели деньги со счетов 10 клиентов. По словам представителей банка, пароль для входа в интернет-банк совпадал с паролем от личного кабинета «Билайн». У клиентов была включена переадресация, которую они не включали.
Билайн ответил классическим "ВЫВСЁВРЕТИ", и напомнил, что смс таким образом не переадресуешь.
Уверенные пользователи чата заявляют, что в утекшей базе ШПД Билайна(8713510 записей), которая гуляет по рукам с 2016 года, небыло никаких паролей к личным кабинетам.
При этом там есть текстовые пометки к абонентам с кодовыми словами и паролями, которые могли пересечься с учетками в Точке.
Использует ли банк Точка двухфакторную аутентификацию по смс, или у них можно подтвердить операцию голосом - непонятно.
Такие вот дела 🤷🏻♂️🤷🏻♂️🤷🏻♂️
Кажись Ревизор умер 🧟♂️
АС Ревизор - это программно-аппаратный комплекс, разработанный для мониторинга доступа к сайтам из реестра РКН со стороны провайдеров компанией «МФИ Софт» по тендеру за скромные 84 миллиона рублей.
Слепленный из бобра и палок на тыщщарублевом TP-Link MR3020, клиентский ревизор не осилил распухшие списки выгрузки блокировок под два миллиона адресов, и просто устал так жить.
Операторы связи сообщают о проблемах с устройством с 23 сентября, а РКН отмахивается профилактическими работами с неопределенным сроком выполнения.
Помните, как у Герберта Уэлса в "Войне миров" технически более развитых пришельцев в итоге победили не танки и масштабное сопротивление армий всех стран, а маленькие земные бактерии, медленно убившие их изнутри.
Так и тут, великодержавное желание заблокировать 4 миллиарда вражеских ип адресов столкнулось с непреодолимой культурной традицией родного и заботливого чиновника спиздить бабло на каждом винтике 🏆
Парам-пам-пам.
АС Ревизор - это программно-аппаратный комплекс, разработанный для мониторинга доступа к сайтам из реестра РКН со стороны провайдеров компанией «МФИ Софт» по тендеру за скромные 84 миллиона рублей.
Слепленный из бобра и палок на тыщщарублевом TP-Link MR3020, клиентский ревизор не осилил распухшие списки выгрузки блокировок под два миллиона адресов, и просто устал так жить.
Операторы связи сообщают о проблемах с устройством с 23 сентября, а РКН отмахивается профилактическими работами с неопределенным сроком выполнения.
Помните, как у Герберта Уэлса в "Войне миров" технически более развитых пришельцев в итоге победили не танки и масштабное сопротивление армий всех стран, а маленькие земные бактерии, медленно убившие их изнутри.
Так и тут, великодержавное желание заблокировать 4 миллиарда вражеских ип адресов столкнулось с непреодолимой культурной традицией родного и заботливого чиновника спиздить бабло на каждом винтике 🏆
Парам-пам-пам.
Давеча ребята из Fortinet's FortiGuard Labs нашли очередную RCE (FG-VD-19-117/CVE-2019-16920) в D-Link роутерах, доступную без какой-либо аутентификации.
В описании заявляют, что уязвимы последние версии прошивок этих моделей:
DIR-655
DIR-866L
DIR-652
DHP-1565
Железки довольно старые, и вероятно производитель не будет выпускать исправленные прошивки для этих устройств.
https://www.fortinet.com/blog/threat-research/d-link-routers-found-vulnerable-rce.html
В описании заявляют, что уязвимы последние версии прошивок этих моделей:
DIR-655
DIR-866L
DIR-652
DHP-1565
Железки довольно старые, и вероятно производитель не будет выпускать исправленные прошивки для этих устройств.
https://www.fortinet.com/blog/threat-research/d-link-routers-found-vulnerable-rce.html
Ребята из FireEye на мероприятии CYBER DEFENCE SUMMIT 2019 сделали детальный обзор APT41.
FireEye конечно ни на что не намекают, но уже напрямую говорят, что несмотря на отсутствие прямых свидетельств из первых рук про взлом инфраструктуры TeamViewer, они неоднократно наблюдали, как точкой входа во многие пострадавшие организации становились именно скомпрометированные учетные данные к программе TeamViewer.
Где, кто и как получает учетные данные к TeamViewer - пока непонятно.
APT41 известна своей особой "любовью" к supply chain attack - взлому популярных производителей ПО, таких как CCleaner, с целью проникновения в организации, использующие это ПО.
Возможно и TeamViewer попал под раздачу, но пока об этом говорить рано.
Сложно ожидать, что с признанием выступит сам TeamViewer - не так легко будет компании заявить на весь мир, что 2 миллиарда устройств в мире открыли двери перед неизвестной группой вроде бы китайских лиц, скрывающихся за APT41.
Что ж, будем наблюдать 🦸♂️🦸♂️🦸♂️
#apt41 #teamviewer
FireEye конечно ни на что не намекают, но уже напрямую говорят, что несмотря на отсутствие прямых свидетельств из первых рук про взлом инфраструктуры TeamViewer, они неоднократно наблюдали, как точкой входа во многие пострадавшие организации становились именно скомпрометированные учетные данные к программе TeamViewer.
Где, кто и как получает учетные данные к TeamViewer - пока непонятно.
APT41 известна своей особой "любовью" к supply chain attack - взлому популярных производителей ПО, таких как CCleaner, с целью проникновения в организации, использующие это ПО.
Возможно и TeamViewer попал под раздачу, но пока об этом говорить рано.
Сложно ожидать, что с признанием выступит сам TeamViewer - не так легко будет компании заявить на весь мир, что 2 миллиарда устройств в мире открыли двери перед неизвестной группой вроде бы китайских лиц, скрывающихся за APT41.
Что ж, будем наблюдать 🦸♂️🦸♂️🦸♂️
#apt41 #teamviewer
SoK: Make JIT-Spray Great Again
In this paper, we survey and systematize the jungle of
JIT compilers of major (client-side) programs, and provide a categorization of offensive techniques for abusing
JIT compilation. Thereby, we present techniques used in
academic as well as in non-academic works which try to
break various defenses against memory-corruption vulnerabilities. Additionally, we discuss what mitigations
arouse to harden JIT compilers to impede exploitation by
skilled attackers wanting to abuse Just-In-Time compilers.
https://www.usenix.org/system/files/conference/woot18/woot18-paper-gawlik.pdf
In this paper, we survey and systematize the jungle of
JIT compilers of major (client-side) programs, and provide a categorization of offensive techniques for abusing
JIT compilation. Thereby, we present techniques used in
academic as well as in non-academic works which try to
break various defenses against memory-corruption vulnerabilities. Additionally, we discuss what mitigations
arouse to harden JIT compilers to impede exploitation by
skilled attackers wanting to abuse Just-In-Time compilers.
https://www.usenix.org/system/files/conference/woot18/woot18-paper-gawlik.pdf
⭕️ Если у вас Mikrotik с версией до 6.45.7, и открытым наружу tcp портом 8291 (Winbox), то как вам такое:
CVE-2019-3979 - DNS Cache Poisoning без аутентификации.
Через winbox_dns_request можно попросить ваш микротик отрезолвить любой домен через контролируемый вами dns сервер.
DNS ответ будет заботливо закеширован микротиком, и таким образом можно заставить его думать, что добрый download.mikrotik.com переехал на злой сервер 1.2.3.4
Если вдруг этот ваш микротик полезет обновляться, или вы сумеете триггернуть обновление, то прошивка будет стянута с 1.2.3.4 и привет admin без пароля (да, это микротик) и версия постарше, а то и с бекдорами.
⚠️Читайте детали https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21 и смотрите демонстрацию https://youtu.be/5SW7z0eUDuA
#mikrotik #winbox
CVE-2019-3979 - DNS Cache Poisoning без аутентификации.
Через winbox_dns_request можно попросить ваш микротик отрезолвить любой домен через контролируемый вами dns сервер.
DNS ответ будет заботливо закеширован микротиком, и таким образом можно заставить его думать, что добрый download.mikrotik.com переехал на злой сервер 1.2.3.4
Если вдруг этот ваш микротик полезет обновляться, или вы сумеете триггернуть обновление, то прошивка будет стянута с 1.2.3.4 и привет admin без пароля (да, это микротик) и версия постарше, а то и с бекдорами.
⚠️Читайте детали https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21 и смотрите демонстрацию https://youtu.be/5SW7z0eUDuA
#mikrotik #winbox
⚠️Обновляйте Google Chrome до 78.0.3904.87
CVE-2019-13720: Use-after-free in audio.
Google is aware of reports that an exploit for CVE-2019-13720 exists in the wild.
#chrome #exploit #in_the_wild
CVE-2019-13720: Use-after-free in audio.
Google is aware of reports that an exploit for CVE-2019-13720 exists in the wild.
#chrome #exploit #in_the_wild
🥇 Fileless Malware and Process Injection in Linux
(Linux post-exploitation from a blue-teamer’s point of view)
2019.hack.lu
Hendrick, Adrian - unixfreaxjp
Cyber Emergency Center, LACERT / LAC
Contents
(Linux post-exploitation from a blue-teamer’s point of view)
2019.hack.lu
Hendrick, Adrian - unixfreaxjp
Cyber Emergency Center, LACERT / LAC
Contents
1. Backgroundhttps://2019.hack.lu/archive/2019/Fileless-Malware-Infection-and-Linux-Process-Injection-in-Linux-OS.pdf
2. Post exploitation in Linux
○ Concept, Supporting tools
3. Process injection in Linux
○ Concept, Supporting tools
○ Fileless method,
4. Frameworks components to make all of these possible
○ Frameworks: concept, specifics, examples
○ Components: Shellcodes, Privilege Escalating & Payloads
5. A concept in defending our boxes
○ Forensics perspective
○ IR and resource management model
6. Appendix
🔶 Новые детали по CVE-2019-13720 в Google Chrome от GReAT
В общем они на сенсорах KEP словили 0day под Chrome, и репортнули его гуглу. Тот конечно экстренно подлечил браузер.
Эксплоит использовался в атаках, которым присвоили имя WizardOpium.
Однозначно связать инцидент с какой-либо APT группой у ребят из GReAT не получилось, вроде и Lazarus, а вроде и DarkHotel. Но это не точно.
Впрочем вполне понятно почему - ведь после активного освещения инцидентов последние несколько лет, у APT групп появилась устойчивая привычка оставлять ложный след для усложнения аттрибуции атаки к определенной группе.
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
#chrome #exploit #in_the_wild #wizardopium #lazarus #darkhotel #GReAT
В общем они на сенсорах KEP словили 0day под Chrome, и репортнули его гуглу. Тот конечно экстренно подлечил браузер.
Эксплоит использовался в атаках, которым присвоили имя WizardOpium.
Однозначно связать инцидент с какой-либо APT группой у ребят из GReAT не получилось, вроде и Lazarus, а вроде и DarkHotel. Но это не точно.
Впрочем вполне понятно почему - ведь после активного освещения инцидентов последние несколько лет, у APT групп появилась устойчивая привычка оставлять ложный след для усложнения аттрибуции атаки к определенной группе.
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
#chrome #exploit #in_the_wild #wizardopium #lazarus #darkhotel #GReAT
Подробные детали истории WizardOpium
В общем кто-то подломил корейский портал, и разместил там свой js с закосом под jQuery компонент.
JS выполнял первую стадию атаки - валидацию Chrome браузера на x64 архитектуру и версию >=65, и в случае успеха серией ajax запросов загружал и расшифровывал основную начинку.
Обфусцированная часть снова валидировала версию, но уже 76 и 77, что может намекать на то, что 0day под 65+ еще небыл адаптирован, но планировалось.
Далее через уязвимость пытались вычитать адреса из памяти процесса для обхода ASLR, забили кучу, и загрузили шеллкод(аллё, песочница!).
Стянули им пошифрованный бинарь из "worst.jpg" и дропнули updata.exe. Для персистентности заюзали Task Sheduler.
Далее из updata.exe, которая на самом деле была rar sfx архивом, вылезло два бинаря, один из которых - msdisp64.exe - полез на удаленный сервер за доп нагрузкой в папочку, которая там была, и волшебным образом совпала с именем пробитого компьютера.
Это может говорить, что эксплоит писался под конкретную цель.
Что он там пытался стянуть, кто цель - неизвестно.
#wizardopium
В общем кто-то подломил корейский портал, и разместил там свой js с закосом под jQuery компонент.
JS выполнял первую стадию атаки - валидацию Chrome браузера на x64 архитектуру и версию >=65, и в случае успеха серией ajax запросов загружал и расшифровывал основную начинку.
Обфусцированная часть снова валидировала версию, но уже 76 и 77, что может намекать на то, что 0day под 65+ еще небыл адаптирован, но планировалось.
Далее через уязвимость пытались вычитать адреса из памяти процесса для обхода ASLR, забили кучу, и загрузили шеллкод(аллё, песочница!).
Стянули им пошифрованный бинарь из "worst.jpg" и дропнули updata.exe. Для персистентности заюзали Task Sheduler.
Далее из updata.exe, которая на самом деле была rar sfx архивом, вылезло два бинаря, один из которых - msdisp64.exe - полез на удаленный сервер за доп нагрузкой в папочку, которая там была, и волшебным образом совпала с именем пробитого компьютера.
Это может говорить, что эксплоит писался под конкретную цель.
Что он там пытался стянуть, кто цель - неизвестно.
#wizardopium
getmonero.org был взломан.
Security Warning: CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. - Monero
https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
#monero
Security Warning: CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. - Monero
https://www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
#monero
Ребята из Project Zero описали CVE-2019-2215, используемую в качестве 0day уязвимости в удаленных установках шпиона Pegasus от NSO Group.
Кратко:
Исходя из материалов NSO Group - работает удаленно, через браузер, давно. Функциональная часть процесса по установке Pegasus, очень универсально.
Исходя из анализа гугла - UAF, в драйвере Binder, ядро, Linux kernel >= 4.14, SELinux isolated_app не спасает, эксплуатируется из Chrome, песочница не спасает.
о Pegasus:
Модульная коммерческая спайварь от NSO Group.
Читает sms, переписку, делает скриншоты, пишет звук, логгирует ввод, экспортирует контакты - полный набор для солидных господ.
об NSO Group:
Израильская компания, разрабатывающая и продающая методы удаленного слежения через интернет, как минимум Pegasus и Chrysaor.
# https://googleprojectzero.blogspot.com/2019/11/bad-binder-android-in-wild-exploit.html
# https://www.kaspersky.ru/blog/pegasus-spyware/14569/
# https://en.wikipedia.org/wiki/NSO_Group
Кратко:
Исходя из материалов NSO Group - работает удаленно, через браузер, давно. Функциональная часть процесса по установке Pegasus, очень универсально.
Исходя из анализа гугла - UAF, в драйвере Binder, ядро, Linux kernel >= 4.14, SELinux isolated_app не спасает, эксплуатируется из Chrome, песочница не спасает.
о Pegasus:
Модульная коммерческая спайварь от NSO Group.
Читает sms, переписку, делает скриншоты, пишет звук, логгирует ввод, экспортирует контакты - полный набор для солидных господ.
об NSO Group:
Израильская компания, разрабатывающая и продающая методы удаленного слежения через интернет, как минимум Pegasus и Chrysaor.
# https://googleprojectzero.blogspot.com/2019/11/bad-binder-android-in-wild-exploit.html
# https://www.kaspersky.ru/blog/pegasus-spyware/14569/
# https://en.wikipedia.org/wiki/NSO_Group
CVE-2019-19521 - обход подсистемы аутентификации в OpenBSD (ldapd/radiusd/smtpd как минимум).
Ресерчеры из Qualys обнаружили документированные особенности в реализации аутентификации в обертках
без проблем завершится успешной аутентификацией!
В репорте показали обход аутентификации в smtpd, ldapd и radiusd, просто передавая имя пользователя -schallenge
sshd, благодаря дополнительной проверке, не подвержен, хотя через него и можно проверить наличие уязвимости в системе.
⚠️Читайте детали https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt
#openbsd #login_passwd
Ресерчеры из Qualys обнаружили документированные особенности в реализации аутентификации в обертках
/usr/libexec/auth/login_*
Например /usr/libexec/auth/login_passwd работает так: login_passwd [-s service] [-v wheel=yes|no] [-v lastchance=yes|no] user
[class]
И получается, что если передать на аутентификацию юзернейм -schallenge или -schallenge:passwd, то login_passwdбез проблем завершится успешной аутентификацией!
В репорте показали обход аутентификации в smtpd, ldapd и radiusd, просто передавая имя пользователя -schallenge
sshd, благодаря дополнительной проверке, не подвержен, хотя через него и можно проверить наличие уязвимости в системе.
⚠️Читайте детали https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt
#openbsd #login_passwd
Помните тот 0-day в Google Chrome, который использовался в кампании, которую обнаружили GReAT, которые прозвали все это WizardOpium?
Так вот. Выяснилось, что там эксплуатировалось две уязвимости:
* CVE-2019-13720 в Google Chrome
* CVE-2019-1458 в win32k.sys
Сбежать из песочницы хрома в том эксплоите помогала CVE-2019-1458 в win32k.sys, позволяющая оперировать GDI примитивами (классика sandbox escaping последних лет, почитайте разборы после pwn2own, и j00ru).
GReAT заявляют, что эксплоит очень похож на то, что делает Volodya aka BuggyCorp.
Этот разработчик давненько продает зеродеи заинтересованным лицам, активно дрючит win32k.sys и при любом удобном случае сбегает прямо в ядро.
* https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/
* https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
* https://www.zdnet.com/article/mysterious-hacker-has-been-selling-windows-0-days-to-apt-groups-for-three-years/
#wizardopium #volodya #0day
Так вот. Выяснилось, что там эксплуатировалось две уязвимости:
* CVE-2019-13720 в Google Chrome
* CVE-2019-1458 в win32k.sys
Сбежать из песочницы хрома в том эксплоите помогала CVE-2019-1458 в win32k.sys, позволяющая оперировать GDI примитивами (классика sandbox escaping последних лет, почитайте разборы после pwn2own, и j00ru).
GReAT заявляют, что эксплоит очень похож на то, что делает Volodya aka BuggyCorp.
Этот разработчик давненько продает зеродеи заинтересованным лицам, активно дрючит win32k.sys и при любом удобном случае сбегает прямо в ядро.
* https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/
* https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1458
* https://www.zdnet.com/article/mysterious-hacker-has-been-selling-windows-0-days-to-apt-groups-for-three-years/
#wizardopium #volodya #0day
Багбаунтеры, смотрите. Есть в убунте ErrorTracker
Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com
Код бекенда конечно открыт, и код этот воняет.
Например есть там такое место:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366
Так формируется crash_signature на клиенте:
https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292
Последний коммит намекает, что там есть проблема с бекслешем:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907
Похоже там такое:
Когда на убунте что-то внезапно падает, он пуляет креш-репорт в виде bson на daisy.ubuntu.com
Код бекенда конечно открыт, и код этот воняет.
Например есть там такое место:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/view/head:/daisy/submit.py#L366
crash_signature = report.crash_signature()
...
cql_crash_sig = crash_signature.replace("'", "''")
_session.execute(
SimpleStatement("INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '%s')"
% ('OOPS', hex_oopsid, cql_crash_sig)))
Так формируется crash_signature на клиенте:
https://bazaar.launchpad.net/~apport-hackers/apport/trunk/view/head:/apport/report.py#L1292
Последний коммит намекает, что там есть проблема с бекслешем:
https://bazaar.launchpad.net/~daisy-pluckers/daisy/trunk/revision/907
Похоже там такое:
INSERT INTO \"%s\" (key, column1, value) VALUES (%s, 'DuplicateSignature', '\''[SQLI]')
⚠️Обновляйте Firefox
CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion.
⭕️ We are aware of targeted attacks in the wild abusing this flaw.
Схожая уязвимость в прошлом году была на на pwn2own:
https://www.thezdi.com/blog/2019/4/18/the-story-of-two-winning-pwn2own-jit-vulnerabilities-in-mozilla-firefox
Даже патчи идентичны:
1. https://github.com/mozilla/gecko-dev/commit/369406707f9fef96ac8405fb9cbb58da4bcc4f1d
2. https://github.com/mozilla/gecko-dev/commit/2e7bcc8dfa4fce5c8f3d8b224abde0627e1dee0e
Подробный разбор и эксплоит:
https://doar-e.github.io/blog/2019/06/17/a-journey-into-ionmonkey-root-causing-cve-2019-9810/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion.
⭕️ We are aware of targeted attacks in the wild abusing this flaw.
Схожая уязвимость в прошлом году была на на pwn2own:
https://www.thezdi.com/blog/2019/4/18/the-story-of-two-winning-pwn2own-jit-vulnerabilities-in-mozilla-firefox
Даже патчи идентичны:
1. https://github.com/mozilla/gecko-dev/commit/369406707f9fef96ac8405fb9cbb58da4bcc4f1d
2. https://github.com/mozilla/gecko-dev/commit/2e7bcc8dfa4fce5c8f3d8b224abde0627e1dee0e
Подробный разбор и эксплоит:
https://doar-e.github.io/blog/2019/06/17/a-journey-into-ionmonkey-root-causing-cve-2019-9810/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/