Архив метки: Ransomware

Трендовые уязвимости июня по версии Positive Technologies

Добавить комментарий

Трендовые уязвимости июня по версии Pos­i­tive Tech­nolo­gies. Традиционно в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab‑а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 EoP в Microsoft Win­dows CSC (CVE-2024–26229)
🔻 EoP в Microsoft Win­dows Error Report­ing (CVE-2024–26169)
🔻 EoP в Microsoft Win­dows Ker­nel (CVE-2024–30088)
🔻 RCE в PHP (CVE-2024–4577)
🔻 EoP в Lin­ux Ker­nel (CVE-2024–1086)
🔻 InfDis­clo­sure в Check Point Secu­ri­ty Gate­ways (CVE-2024–24919)
🔻 RCE в VMware vCen­ter (CVE-2024–37079, CVE-2024–37080)
🔻 Auth­By­pass в Veeam Back­up & Repli­ca­tion (CVE-2024–29849)

Повышение критичности уязвимости Elevation of Privilege — Windows Error Reporting Service (CVE-2024–26169)

Добавить комментарий

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169)

Повышение критичности уязвимости Ele­va­tion of Priv­i­lege — Win­dows Error Report­ing Ser­vice (CVE-2024–26169). В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM. Уязвимость была исправлена в мартовском Microsoft Patch Tues­day. Как это частенько бывает, тогда эту уязвимость никто не выделял. 🤷‍♂️

Однако, через 3 месяца, 12 июня, исследователи Syman­tec сообщили об атаках, связанных с известным шифровальщиком Black Bas­ta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔

13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.

Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений — лучше.

Не удержался, побаловался с Suno — встречайте трек "Непреодолимые силы"

Добавить комментарий

Не удержался, побаловался с Suno — встречайте трек "Непреодолимые силы". 😅 В стиле "hap­py hard­core, rave, tech­no, house, trance". Все персонажи и события вымышлены, любые совпадения случайны. 😉

Мы выполнили все требования действующего
законодательства по обеспечению кибербезопасности
Все требования действующего законодательства.
Мы их честно выполнили.

А тут…

Припев:
Непреодолимые силы…
Непреодолимые силы…
Непреодолимые силы…
Непреодолимые!

Мы имеем соответствующие лицензии и сертификаты.
Все лицензии и все сертификаты.
И лицензии, и сертификаты.
Они всем соответствуют. И мы их имеем.

Но тут…

[припев]

Вопреки всем принятым мерам безопасности
Злоумышленники получили неправомерный доступ.
Неправомерный доступ. Вопреки всему.
Они получили. Вопреки лицензиям. И сертификатам.

Такие вот…

[припев]

Они зашифровали собственным программным обеспечением всю имеющуюся информацию.
Своим собственным программным обеспечением.
Они принесли его сами. Какие нахалы!
И данные клиентов пошифровали в наших облаках.

Мы тут ни при чём!

[припев]

Учимся говорит правильно

Добавить комментарий

Учимся говорит правильно

Учимся говорит правильно. 😏

⛔ Мы положили болт на безопасность, включая Vul­ner­a­bil­i­ty Man­age­ment, нас поломали и пошифровали. 🔩

✅ Мы выполнили все требования действующего законодательства по обеспечению кибербезопасности, имеем соответствующие лицензии и сертификаты. Вопреки всем принятым мерам безопасности злоумышленники получили неправомерный доступ и зашифровали собственным программным обеспечением всю имеющуюся информацию, включая данные клиентов, находившиеся на серверах облачного сервиса. 🤷‍♂️

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass — TeamCity (CVE-2024–27198, CVE-2024–27199)

Добавить комментарий

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют Auth­By­pass — Team­C­i­ty (CVE-2024–27198, CVE-2024–27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jas­min
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain dis­cov­ery and per­sis­tence)

Для каждой цели эксплуатации приводят описание как именно это происходит.

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shad­owserv­er, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shad­owserv­er и Shodan?
09:38 Уязвимость Cis­co ASA (CVE-2020–3259), обнаруженная исследователями Pos­i­tive Tech­nolo­gies 4 года назад, используется шифровальщиком Aki­ra для получения первоначального доступа
11:54 "Oper­a­tion Cronos" против группировки вымогателей Lock­Bit, возможная эксплуатация уязвимости Remote Code Exe­cu­tion — PHP (CVE-2023–3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Lin­ux Patch Wednes­day и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Secu­ri­ty Report".
25:20 RCE в Screen­Con­nect (CVE-2024–1708, CVE-2024–1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению pay­load-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cac­tus украли 1,5 ТБ внутренних данных техногиганта Schnei­der Elec­tric
55:53 Прощание от Mr. X

В нескольких источниках пишут, что в операции Cronos против LockBit могла эксплуатироваться уязвимость Remote Code Execution — PHP (CVE-2023–3824)

Добавить комментарий

В нескольких источниках пишут, что в операции Cronos против LockBit могла эксплуатироваться уязвимость Remote Code Execution - PHP (CVE-2023-3824)В нескольких источниках пишут, что в операции Cronos против LockBit могла эксплуатироваться уязвимость Remote Code Execution - PHP (CVE-2023-3824)

В нескольких источниках пишут, что в операции Cronos против Lock­Bit могла эксплуатироваться уязвимость Remote Code Exe­cu­tion — PHP (CVE-2023–3824). Для уязвимости есть PoC buffer over­flow на GitHub, но признаков эксплуатации вживую с докруткой до RCE до сегодняшнего дня не было.

Если выяснится, что действительно эта уязвимость эксплуатировалась, то это будет очередным подтверждением старой истины: не ждите пока PoC доведут до боевого эксплоита и появятся железобетонные доказательства эксплуатации уязвимости вживую, обновляйтесь загодя!