Архив рубрики: Уязвимость

Об уязвимости "EvilVideo" в Telegram for Android

Добавить комментарий

Об уязвимости EvilVideo в Telegram for Android

Об уязвимости "EvilVideo" в Telegram for Android. Пост вышел в блоге компании ESET. Они сообщают, что эксплоит для уязвимости продаётся в даркнете.

🔻 Злоумышленник создаёт payload, который отображается в Telegram for Android не как файл, а как превьюшка видео. По умолчанию медиафайлы в Telegram скачиваются автоматически, когда пользователь видит сообщение в чате. Этот payload также скачается.
Если пользователь жмёт на превьюшку, ему показывается ошибка Telegram с предложением использовать внешний медиа плеер.
Если пользователь соглашается, идёт попытка поставить APK.
Если пользователь разрешает установку APK из Telegram и ещё раз кликает на превьюшку, высвечивается окошко об установке приложения.
Если пользователь жмёт install, то получает зловреда. 👾
🎞 Есть видео демонстрация.

🔻 Уязвимость исправили в версии 10.14.5, все версии старше уязвимы.

Это далеко не 0click, но при грамотной социалке (превьюшка, название APK приложения и т.п.), эффективность может быть высокой.

Немного про возможности разблокировки смартфонов на примере кейса с пенсильванским стрелком

Добавить комментарий

Немного про возможности разблокировки смартфонов на примере кейса с пенсильванским стрелком

Немного про возможности разблокировки смартфонов на примере кейса с пенсильванским стрелком.

🔹 Bloomberg сообщает, что у него была новая модель Samsung, работающая под Android.

🔹 Для разблокировки использовалось ПО компании Cellebrite. Это израильская компания разрабатывает инструменты для сбора, проверки, анализа и управления цифровыми данными. Компания довольно известная. Несколько лет назад наделала много шума их пикировка с разработчиками мессенджера Signal (обе компании обвиняли друг друга в небезопасности продуктов). 🍿😏

🔹 Эксплуатировалась ли 0day уязвимость для получения доступа к устройству? Непонятно. Но есть признаки, что, возможно, и да. Bloomberg пишет, что ПО Cellebrite для разблокировки смартфонов, которое было в распоряжении ФБР, с задачей не справилось. Но эксперты Cellebrite оказали расширенную поддержку и предоставили некоторое новое ПО, которое всё ещё находится в разработке. 🤔

В итоге разблокировка заняла всего 40 минут. 🤷‍♂️

Верный признак хорошего вендора средств детектирования уязвимости - это то, что его сотрудники делится экспертизой по детектированию уязвимостей на конференциях, в статьях, видео-роликах и т.д

Добавить комментарий

Верный признак хорошего вендора средств детектирования уязвимости - это то, что его сотрудники делится экспертизой по детектированию уязвимостей на конференциях, в статьях, видео-роликах и т.д

Верный признак хорошего вендора средств детектирования уязвимости - это то, что его сотрудники делится экспертизой по детектированию уязвимостей на конференциях, в статьях, видео-роликах и т.д.

Когда люди всерьёз занимаются какой-то темой, они неизбежно сталкиваются с проблемами (иногда весьма курьёзными), приходят к каким-то решениям и у них возникает желание поделиться опытом.

А когда этого нет, возникают вопросы:

🔹 Может детектирование уязвимостей это примитивная сфера деятельности и обсуждать там нечего? Но мы-то знаем, что сложностей там хватает. 😉

🔹 Или, возможно, для вендора качество и полнота детектирования уязвимостей не являются приоритетом? 😏 Разработчики правил детектирования что-то пилят на расслабоне. Клиентам вроде норм. В этом случае акцентировать лишнее внимание на детектах невыгодно, так ведь? 🙈🙊

В общем, техническим статьям про детект уязвимостей всегда рад, стараюсь читать и подсвечивать. 😉 Если вдруг что-то пропустил, пишите в личку - исправлюсь.

Июльский Linux Patch Wednesday

1 комментарий

Июльский Linux Patch Wednesday

Июльский Linux Patch Wednesday. Всего 705 уязвимостей, из них 498 в Linux Kernel. С признаком эксплуатации вживую уязвимостей пока нет, у 11 есть признак наличия публичного эксплоита:

🔻 В абсолютном топе RCE - OpenSSH "regreSSHion" (CVE-2024-6387) со множеством вариантов эксплоитов на GitHub. Среди них могут быть и зловредные фейки (❗️). Здесь же упомяну похожую уязвимость RCE - OpenSSH (CVE-2024-6409), для которой эксплоитов пока нет.
🔻 В паблике есть ссылки на PoC-и для DoS уязвимостей Suricata (CVE-2024-38536) и QEMU (CVE-2024-3567).

Согласно БДУ, существуют публичные эксплоиты для:

🔸 AuthBypass - RADIUS Protocol (CVE-2024-3596), её фиксили и в июльском MSPT
🔸 Security Feature Bypass - Exim (CVE-2024-39929) - обход блокировок по mime_filename, а также в Nextcloud (CVE-2024-22403) - вечные OAuth коды
🔸 DoS - OpenTelemetry (CVE-2023-45142)
🔸 Memory Corruption - 7-Zip (CVE-2023-52168)

🗒 Отчёт Vulristics по июльскому Linux Patch Wednesday

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

2 комментария

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

🔻 По данным Check Point, злоумышленники используют в атаках специальные ".url" файлы, иконка которых похожа на иконку pdf документа. Если пользователь кликает на файл и игнорирует 2 малоинформативных warning-а, то в устаревшем браузере Internet Explorer, встроенном в Windows, запускается зловредное HTA приложение. 😱 Почему именно в IE? Вcё из-за обработки префикса "mhtml:" в ".url" файле. Июльское обновление это блочит. 👍

🔻 Check Point находили образцы таких ".url" файлов аж от января 2023 года. По данным Trend Micro, уязвимость эксплуатируется APT группой Void Banshee для установки зловреда Atlantida Stealer и сбора паролей, cookies и других чувствительных данных. Void Banshee добавляют вредоносные ".url" файлы в архивы с PDF-книгами и распространяют их через сайты, мессенджеры и фишинговые рассылки.

3 июля Telegram-каналу "Управление Уязвимостями и прочее" исполнилось 2 года

Добавить комментарий

3 июля Telegram-каналу Управление Уязвимостями и прочее исполнилось 2 года

3 июля Telegram-каналу "Управление Уязвимостями и прочее" исполнилось 2 года. Год назад у канала было ~1740 подписчиков, а буквально вчера мы перевалили за 6000. 🥳 Темпы роста просто за гранью. Спасибо вам всем огромное за то, что читаете, лайкаете и шарите посты! Мне это всегда очень приятно! 😊

Планирую продолжать в том же духе. Буду писать про трендовые уязвимости и важные новости VM-а, делать мини-обзоры Microsoft Patch Tuesday и Linux Patch Wednesday (upd. добавил июльский), рассказывать про Vulristics и другие мои open source проекты, делиться мыслями про Vulnerability Management практики. Ну и изредка буду вкидывать всякий оффтоп. 😉

Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT

Добавить комментарий

Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT

Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT.

🔻 Уязвимость 2022 года. На NVD она в статусе "Rejected", хотя эксплуатабельность её подтверждена. 🤷‍♂️ В чём суть. CMS Bitrix можно развернуть из вендорского образа "1C-Битрикс: Виртуальная машина". После включения виртуалки нужно без аутентификации зайти на вебинтерфейс и провести настройку. На определённом шаге есть опция "Загрузка резервной копии". Вместо резервной копии туда можно подсунуть веб-шелл, который успешно установится. 🫠

🔻 И какой риск? Не будут же интерфейс первоначальной настройки в Интернет выставлять? 🤔 А вот выставляют, ищется гуглдорком. 😏

🔻 Так произошло и в кейсе с дефейсом сайта Jet CSIRT. В ноябре 2023 интерфейс настройки был выставлен в Интернет на 3 дня. Злоумышленники его нашли и залили шелл. 🤷‍♂️

Jet-ы пишут, что Bitrix-ы такое поведение настройщика уязвимостью не считают. Так что рекомендация одна: не выставлять его в Интернет. 😅🤡