Sys-Admin & InfoSec Channel
16.6K members
105 photos
2 videos
50 files
2K links
Посты с ИТ-ресурсов, новости, тулзы, хакинг, администрирование, возможны бредовые посты с мемами, поздравлениями, может даже хейтами..
* Our forum - https://forum.sys-adm.in
* Our chat - @sysadm_in
* Job - @sysadm_in_job
* All questions - @sysadminkz
Download Telegram
to view and join the conversation
Adobe - новые патчи для Flash Player (critical)

Аффект - Windows, macOS and Linux. Произвольное выполнение кода из-под контекста пользователя:

https://helpx.adobe.com/security/products/flash-player/apsb20-58.html
Уязвимость Windows TCP/IP Remote Code Execution

Уязвимость удаленного выполнения кода возникает, когда стек Windows TCP / IP неправильно обрабатывает пакеты ICMPv6. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить возможность выполнять код на целевом сервере или клиенте.

Чтобы воспользоваться этой уязвимостью, злоумышленник должен отправить специально созданные пакеты ICMPv6 на удаленный компьютер Windows.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

Спасибо за ссылку другу канала ✌️
Проблемы Windows и драйверов

Обычное дело. Описание актуальных проблем с драйверами и возможностью их решения:

https://docs.microsoft.com/en-us/windows/release-information/resolved-issues-windows-10-2004#1492msgdesc
Шпионское ПО для Fitbit или как обойти проверки Google и Apple

В итоге собрать информацию об устройстве, местоположении, а так же - пол, возраст, вес, частота сердечных сокращений, так же можно получить доступ к данным календаря

Исследование на заданную тему от первого лица:

https://www.immersivelabs.com/resources/blog/fitbit-spyware/
Lemon Duck или "злая утка-минер"

По сути это автоматически распространяющийся ботнет с целью майнинга Monero (XMR), со слов исследователей, это один из самых сложных ботнет с "несколькими интересными трюками в рукаве"

- Инфекционный Windows вектор - SMB, MSSQL, RDP, USB, EMAIL, MSHTA
- Linux вектор - Redis, Yarn, Sshcopy

География распространения почти по всему миру. Очень хороший разбор с примерами кода и workflow:

https://blog.talosintelligence.com/2020/10/lemon-duck-brings-cryptocurrency-miners.html
Уязвимость BlueZ (Zero-Click) компроментирует Linux-based устройства

BlueZ - это официальный стек протоколов Bluetooth для Linux, уязвимость позволяет повысить привилегии, раскрыть информацию. Уязвимости подвержены Linux ядра начиная с версии 2.4.6 до 5.9

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

PoC (от Google)

https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq

Детали о BlueZ

http://www.bluez.org/about/
Критические уязвимости SAP

Сапёры снова патчат свои продукты. Уязвимостей две:

1. Обход механизмов аутентификации
2. Инжектирование команд

Статус критичности по 10 бальной шкале - 10

Описание уязвимостей от исследователей:

https://onapsis.com/blog/sap-security-notes-October-2020

21 и 22 октября - Открытые практикумы Linux и DevOps by REBRAIN

Linux by Rebrain: Мониторинг на примере Prometheus
• Виды мониторинга. Что такое prometheus.
• Обзор необходимых компонентов. Установка и настройка.

• 21 октября, 20.00 МСК. Регистрация: https://kutt.it/C0GQt7
• Ведет Буранов Андрей - Специалист по UNIX-системам в компании Mail.Ru Group. Опыт работы с ОС Linux более 7 лет.

Rebrain x Database Lab: Выравниваем баланс Dev и Ops в DevOps: тонкие копии PostgreSQL баз для тестирования и разработки
• Где проводить эксперименты с БД
• Как развернуть 10 независимых копий базы данных размером 1 ТБ, используя только 1 ТБ диск
• Как настроить проверку миграций баз данных в CI
• Как ускорить разработку, связанную с БД, и перестать ронять прод

• 22 октября 20.00 МСК. Регистрация: https://kutt.it/5TT5xm
• Ведут Николай Самохвалов - Основатель Postgres.ai и Анатолий Станслер - Разработчик платформы Database Lab.
Уязвимости SonicWall VPN

Критическая ошибка безопасности VPN-портала SonicWall может быть использована для DoS'а устройства, предотвращения подключения пользователей к корпоративным ресурсам, что также может открыть возможность для удаленного выполнения кода (RCE)

https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/
HiveJack или дамп кред учетных записей Windows

Позволяет дампить данные реестра - SYSTEM, SECURITY, SAM, так же может удалить дампы

Нюансы - не дампит если на диске C нет каталога temp. Антивирус не дремлет...) Проверено, работает на Windows Server 2016

https://github.com/Viralmaniar/HiveJack
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Анонс HashiCorp Waypoint

Инструмент, который обеспечивает рабочий процесс разработчика в разрезе создания, развертывания и выпуска приложений на любой платформе (большое количество поддерживаемых платформ):

https://www.hashicorp.com/blog/announcing-waypoint
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Announcing HashiCorp Boundary

Open Source единый менеджер удаленных подключений (ssh, vpn и тп):

https://www.hashicorp.com/blog/hashicorp-boundary
В Visual Studio Code обнаружена уязвимость удаленного выполнения кода

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023
Выполнение произвольного кода Juniper

Эксплуатируется, если поднят telnetd. Workaround:

# delete system services telnet
# set system services ssh
# commit

Детали в официальном бюллетене:

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11057&cat=SIRT_1&actp=LIST
Множественные уязвимости HPE Intelligent Management Center (iMC)

Remote: Code Execution, Unauthorized Data Injection. Высокий уровень критичности.

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbnw04036en_us

За ссылку спасибо другу канала ✌️
Новая малварь "Vizom" нацелена на пользователей банков

В данном случае Бразильских банков. Вредоносное ПО выдает себя за легитимное, использует подмену DLL (DLL hijack), подменяет значение ярлыков для фактически всех известных браузеров (Opera, Firefox, Chrome, Edge) и специфичного банковского ПО, что интересно в итоге все ярлыка "завязываются" на другой, инфицированный браузер Vivaldi, который в свою очередь загружает Vizom.

К чему это приводит:
- К мониторингу браузера
- Соединению компьютера с сервером управления в реальном времени
- Возможности удаленного доступа
- Вредносному оверлею экрана

PoC:

https://securityintelligence.com/posts/vizom-malware-targets-brazilian-bank-customers-remote-overlay/
GravityRAT возвращение шпиона

Есть варианты под видом Android приложения для путешественников - Travel Mate, причем само приложение обладает достаточно полезными функциями для самих путешественников (маршруты, погода, интересные факты о местах назначений, создание списка путешественника и тп), под капотом - отсылка данных об устройстве, контактах, email адресов, различных форматов документов и изображений.

Есть вариации на .NET, Python, Electron. Исследование на заданную тему:

https://securelist.com/gravityrat-the-spy-returns/99097/
NTLMRawUnhide - Python3 скрипт предназначенный для парсинга cap* файлов и извлечения из них NTLMv2 хешей

Поддерживаемые форматы:
• *.pcap
• *.pcapng
• *.cap
• *.etl

https://github.com/mlgualtieri/NTLMRawUnHide