Обновил свой F+ R570E до Аврора 5

Добавить комментарий

Обновил свой F+ R570E до Аврора 5

Обновил свой F+ R570E до Аврора 5. А точнее до (Петропавловск-Камчатский). Это было не так тривиально. 🙄

🔹 Я умудрился забыть пароль для входа в устройство. 🤦‍♂️ Как оказалось, без пароля устройство до заводских настроек штатным образом не откатишь. 😱 Помог и сброс пароля в recov­ery режиме. 🙂 Пароль в Авроре это важно, не забывайте!

🔹 Обновление до 5‑ой версии доступно с 23 июля. Нужно прислать на почту чек о покупке устройства (чудесным образом сохранился с прошлого года 🙏🏻), IMEI и серийный номер устройства (+ их фото с наклейки на телефоне). Фото с паспортом не требовали. 😅

🔹 В ответ присылают лицензионное соглашение (а‑ля "обязуюсь не помогать конкурентам ковырять Аврору"), мануал по обновлению и QR-код для "Корпоративной активации" через Аврора Центр.

Как видите, список предустановленных приложений +- такой же и долгожданного RuS­tore там нет. 🤷‍♂️ Только привычный Маркет с витринами, подключаемыми через QR-коды.

Какие меры предлагает CrowdStrike, чтобы BSODStrike не повторился?

Добавить комментарий

Какие меры предлагает CrowdStrike, чтобы BSODStrike не повторился?

Какие меры предлагает Crowd­Strike, чтобы BSOD­Strike не повторился? Во всё том же официальном посте.

🔻 Констатируют, что обновления самого агента они не пушат. Пользователи могут обновлять агенты с задержкой версии (N‑1, N‑2).

🔻 Обещают лучше тестить Rapid Response Con­tent (RRC). Ожидаемое, но малоконтролируемое бла-бла. 🤷‍♂️

🔻 Обещают дать пользователям больше контроля над раскаткой RRC. Вендорам подобных сервисов следует к этому присмотреться ❗️:

🆕 Реализуют стратегию поэтапного развертывания (ПР), начиная с канареечного.
🆕 Улучшат мониторинг производительности cенсоров и системы для управления ПР.
🆕 Предоставят пользователям гранулярный выбор когда и где обновления будут развёрнуты.
🆕 Будут выпускать RRC release notes. 😏

В общем, вольницу с обновлениями слегка прикрутят. Однако это улучшения на уровне Web-GUI. 😉 Вендор облачного сервиса продолжит сидеть агентами в инфре клиентов. Риски аналогичного сбоя и риски компрометации вендора останутся. 🤷‍♂️

Вышел официальный пост о причинах BSODStrike

Добавить комментарий

Вышел официальный пост о причинах BSODStrike

Вышел официальный пост о причинах BSOD­Strike.

🔻 Хосты ломало обновление Rapid Response Con­tent. Это интерпретируемый бинарь с конфигурационными данными ("поведенческими эвристиками"). Это не код и не драйвер ядра. Эти обновления инициировал сам вендор "at oper­a­tional speed".

🔻 В посте масса подробностей по устройству Crowd­Strike Fal­con. Суть же в том, что при подготовке контента валидатор работал неправильно: "Due to a bug in the Con­tent Val­ida­tor, one of the two Tem­plate Instances passed val­i­da­tion despite con­tain­ing prob­lem­at­ic con­tent data." При интерпретации контента на хосте возникала ошибка out-of-bounds mem­o­ry read и BSOD.

🔻 Обновление катали 19 июля с 04:09 UTC по 05:27 UTC на Win­dows хосты с сенсорами версии 7.11, которые были в онлайне.

В общем, всё как в моих предыдущих постах про вендоров облачных сервисов и безусловное доверие к обновлениям контента. Вендор пушил обновление контента из облака по собственному усмотрению и умудрился ушатать хосты. 🤷‍♂️

Про уязвимость Jetpack Navigation

Добавить комментарий

Про уязвимость Jetpack Navigation

Про уязвимость Jet­pack Nav­i­ga­tion. В марте мои коллеги из PT SWARM выложили ресёрч по уязвимости Android Jet­pack Nav­i­ga­tion, которая позволяет открыть произвольный экран внутри приложения, в том числе в обход экрана аутентификации. 😨 Google уязвимость не признали (поэтому CVE нет 🤷‍♂️) и ограничились рекомендациями в документации. 😏

📃 Вчера команда экспертов из Стингрей презентовала на Хабре подробный обзор этой уязвимости с примерами и демонстрациями. 👍

📊 Кроме того, они проверили 1000 приложений разных категорий из публичных магазинов и выяснили, что 21% из них используют библиотеку Jet­pack Nav­i­ga­tion и могут быть уязвимы. Подробную статистику отдают на сайте.

Хороший повод поинтересоваться у ваших разрабов мобильных приложений под Android используют ли они Jet­pack Nav­i­ga­tion и знают ли об этой уязвимости. 😉

Заодно подпишитесь на ТГ канал Mobile AppSec World — лучший канал по мобильному аппесеку от Юры Шабалина и команды Стингрей.

"Загадка Дыры": Remote Code Execution — Internet Explorer (CVE-2012–4792)

Добавить комментарий

Загадка Дыры: Remote Code Execution - Internet Explorer (CVE-2012-4792)

"Загадка Дыры": Remote Code Exe­cu­tion — Inter­net Explor­er (CVE-2012–4792). Вчера в CISA KEV добавили старую уязвимость "CDwn­Bind­In­fo" из 2012 года: пользователь открывает в MS Inter­net Explor­er 6–8 зловредный вебсайт и злоумышленник получает RCE на его хосте. Уязвимость активно эксплуатировалась с конца 2012 года как 0day в water­ing hole атаках на организации США. В частности, зловредный код размещали на взломанном сайте Coun­cil on For­eign Rela­tions (CFR).

Почему уязвимость добавили в CISA KEV только сейчас?

🔹 Обнаружили новые атаки с использованием этой уязвимости на lega­cy системы, для которых выпускали патчи (Win XP/Vista/7, Win­Serv­er 2003/2008)? 🤪 Вряд ли.

🔹 Для проформы: увидели уязвимость с подтверждёнными инцидентами, а в CISA KEV её нет, вот и добавили? Вероятнее, но почему только её? 🧐

🔹 В аудитах нашли уязвимые легаси-системы и не было формального предлога для их срочного обновления? Странновато. 🤷‍♂️

Будем наблюдать. 🙂

Об уязвимости "EvilVideo" в Telegram for Android

Добавить комментарий

Об уязвимости EvilVideo в Telegram for Android

Об уязвимости "Evil­Video" в Telegram for Android. Пост вышел в блоге компании ESET. Они сообщают, что эксплоит для уязвимости продаётся в даркнете.

🔻 Злоумышленник создаёт pay­load, который отображается в Telegram for Android не как файл, а как превьюшка видео. По умолчанию медиафайлы в Telegram скачиваются автоматически, когда пользователь видит сообщение в чате. Этот pay­load также скачается.
Если пользователь жмёт на превьюшку, ему показывается ошибка Telegram с предложением использовать внешний медиа плеер.
Если пользователь соглашается, идёт попытка поставить APK.
Если пользователь разрешает установку APK из Telegram и ещё раз кликает на превьюшку, высвечивается окошко об установке приложения.
Если пользователь жмёт install, то получает зловреда. 👾
🎞 Есть видео демонстрация.

🔻 Уязвимость исправили в версии 10.14.5, все версии старше уязвимы.

Это далеко не 0click, но при грамотной социалке (превьюшка, название APK приложения и т.п.), эффективность может быть высокой.

Ещё одним аспектом инцидента с CrowdStrike является то, что Windows хосты сломало не функциональное обновление агента, а обновление "контента обнаружения"

Добавить комментарий

Ещё одним аспектом инцидента с CrowdStrike является то, что Windows хосты сломало не функциональное обновление агента, а обновление контента обнаружения

Ещё одним аспектом инцидента с Crowd­Strike является то, что Win­dows хосты сломало не функциональное обновление агента, а обновление "контента обнаружения". Дальше процитирую блогпост Алексея Лукацкого про Crowd­Stike (весьма годный 👍):

"Да и вообще, признайтесь, кто из вас проверяет прилетающий контент обнаружения в любом из ваших средств защиты — антивирусу, EDR, IDS, WAF, NGFW, SIEM, NTA, XDR?.. Ведь никто же!"

Я бы ещё и VM сюда добавил до кучи. 😉

И это беда. Почему-то считается, что "контенту обнаружения", который зачастую представляет собой те же мутные бинари, можно слепо доверять и автоматом пробрасывать его на хосты. BSOD­Strike показал к чему это может привести.

Имхо, необходимо разбираться, что же это за "контент обнаружения" такой и, при любой непрозрачности, также прогонять его на тестовом скоупе. А как иначе, если они и контентом хосты ушатывают. 🤷‍♂️🤦‍♂️ А на убеждения вендоров, что у них всё "просчитано до муллиметра", вестись не следует.