Продолжаем отслеживать наиболее трендовые уязвимости и начнем с «трендовой».

1. Trend Micro выпустила обновление для исправления RCE-уязвимости в своем устройстве безопасности Cloud Edge с CVSS 9,8/10.

CVE-2024-48904 может быть использована неаутентифицированными злоумышленниками для внедрения и запуска команд на устройстве, в связи с чем поставщик попросил клиентов исправить ее как можно скорее.

2. VMware предпринимает вторую попытку для исправления RCE-уязвимости в vCenter Server, обнаруженной еще в июне на Matrix Cup 2024 в КНР.

Как оказалось, исправления vCenter, выпущенные 17 сентября 2024 года, не полной мере устраняли CVE-2024-38812 с CVSS 9,8/10, подробностей по этому поводу поставщик не предоставил.

Уязвимость связана с переполнением кучи в реализации протокола распределенной вычислительной среды/удалённого вызова процедур (DCERPC) в vCenter Server.

Злоумышленник, имеющий сетевой доступ к vCenter Server, может активировать эту уязвимость, отправив специально созданный сетевой пакет, потенциально приводящий к удаленному выполнению кода.

При этом новый патч VCenter Server также устраняет уязвимость CVE-2024-38813 (CVSS 7,5/10), связанную с EoP и также вызываемую отправкой специально созданного сетевого пакета.

3. Разработчики античит-системы BattlEye сообщают о нейтрализации эксплойта, который позволял злоумышленникам банить аккаунты других игроков.

Уязвимость затронула сразу несколько игр, включая PvP-игры, такие как PUBG, Rainbow Six Siege и Escape from Tarkov.

Команда проекта сейчас работает совместно с производителями игр над аннулированием «кривых» банов.

При этом ошибка BattlEye была раскрыта на следующий день после того, как Activision исправила аналогичный баг в античите Call of Duty.

4. Atlassian выпустила исправления для уязвимостей высокой степени серьезности в Bitbucket, Confluence и Jira Service Management.

Обновления Bitbucket Data Center и Server устраняют уязвимость серьезную CVE-2024-21147 в Java Runtime Environment (JRE), которая может привести к несанкционированному доступу к критически важным данным и их изменению.

Обновления Confluence Data Center и Server затрагивают четыре серьезные проблемы, в том числе две в библиотеке дат JavaScript Moment.js, которые были публично раскрыты в 2022 году.

CVE-2022-24785 и CVE-2022-31129 описываются как уязвимости обхода пути и ReDoS, которые можно эксплуатировать без аутентификации.

Компания также анонсировала исправления для CVE-2024-4367, ошибки XSS, которая может позволить аутентифицированным злоумышленникам выполнить произвольный код HTML или JavaScript в браузере пользователя, а также для CVE-2024-29131, уязвимости Apache Commons Configuration, которая может привести к DoS.

Обновления для Jira Service Management Data Center и Server устраняют CVE-2024-7254 - проблему переполнения буфера Protobuf, которая может позволить злоумышленникам повлиять на доступность сервиса.

Данных об эксплуатации в реальных условиях не получено, во всяком случае пока.

🦜 Parrot OS.

• Дистрибутивов для пентеста множество. Одни популярны, другие — не очень, но все они преследуют цель дать специалистам удобный и надежный инструмент на все случаи жизни. На этот раз мы поговорим об очень красивой и функциональной ОС — Parrot.

• Parrot базируется на Debian и по концепции близок к Kali Linux, но предлагает больше предустановленного ПО для «мирного» повседневного использования. Впрочем, внутри хватает и специализированных утилит: в состав дистрибутива включено больше 600 инструментов для Red и Blue Teaming, сгруппированных в меню по назначению.

• Parrot доступен в виде образов VirtualBox, Parallels и VMware. Также эту ОС можно развернуть в Docker-контейнере. Она поддерживает криминалистический режим, в котором не оставляет следов на хост-системе. Пускай Parrot менее популярна, но не уступает #Kali по удобству использования.

• Стоит отметить, что Parrot OS подходит не только для тестов на проникновение, она может и служить ОС для ежедневного использования тем, кто знает, зачем им это нужно. Ну и в качестве дополнения держите ссылки, которые помогут найти единомышленников или найти нужную документацию по установке:

Полезные ссылки:
- ParrotOS Download Page;
- ParrotOS Mirror List;
- Official ParrotOS Gitlab repo;
- Official ParrotOS Github repo;
- Official ParrotOS SubReddit;

Гайды и документация:
- ParrotOS Installation Guide;
- Dualboot with Windows;
- Fix guide for the Kernel Panic issue;
- ParrotOS Documentation;
- Parrot OpenBooks.

Комьюнити:
- Telegram;
- Facebook;
- Twitter;
- Instagram;
- Discord;
- LinkedIn.

#Разное #ИБ

Исследователи SentinelOne предупреждают о негативной тенденции, связанной с появлением нового штамме лansomware, созданного на основе кода LockBit и нацеленного на системы macOS, который получил условное наименование macOS.NotLockBit.

Впервые об обнаружении образца на прошлой неделе сообщала Trend Micro. Он имел неплохие возможности блокировки файлов и эксфильтрации данных, маскировался под вымогателя LockBit при успешном шифровании файлов пользователя.

До сих пор угрозы вымогателей для компьютеров Mac были в лучшем случае являлись лишь «доказательством концепции», а в худшем — совершенно неспособными достичь своей очевидной цели.

Несмотря на то, что одна из наиболее близких попыток ранее была предпринята самими LockBit, это последнее открытие, по-видимому, связано с совершенно другим субъектом угрозы, присвоившим себе авторитетное имя.

Исследователи SentinelOne обнаружили пять связанных между собой образцов Mach-O в дополнение к тому, о котором сообщили предыдущие исследователи.

Программа-вымогатель написана на Go и распространяется как двоичный файл x86_64, что означает, что она будет работать только на компьютерах Mac на базе Intel или Apple Silicon с установленным программным обеспечением для эмуляции Rosetta.

При выполнении программа-вымогатель собирает системную информацию с хоста (имя продукта, версию и сборку, сборку архитектуры).

Поиск заголовков Magic в бинарном файле реализует обнаружение встроенного открытого ключа. Это допускает возможность асимметричного шифрования, делая расшифровку невозможной без доступа к закрытому ключу, хранящемуся у злоумышленника.

Вредоносная ПО использует этот встроенный открытый ключ для шифрования случайно сгенерированного главного ключа, который, в свою очередь, используется в последующем процессе шифрования файлов и записывается в README.txt, размещенный в каждой папке с зашифрованными файлами.

После завершения процесса шифрования вредоносная ПО пытается заменить фоновый рисунок рабочего стола баннером LockBit 2.0.

Перед операцией блокировки файла вредоносная ПО пытается извлечь данные пользователя на удаленный сервер. Для этой цели злоумышленник использует облачное хранилище AWS S3 с учетными данными, жестко закодированными в двоичном файле.

Во всех версиях этого вредоносного ПО злоумышленникам в некоторой степени будут мешать средства защиты TCC от Apple. Однако учитывая, что обход TCC является достаточно тривиальным, развитие ПО по этой части, вероятно, будет отражено в будущих версиях.

К настоящему времени вредоносное ПО NotLockBit находится в стадии активной разработки. На данный момент учетные записи злоумышленников AWS удалены, и нет никаких известных жертв или методов распространения.

Тем не менее, как заключили в SentinelOne, учитывая объем работы, который был проделан на данный момент, следует ожидать проявление злоумышленника в краткосрочной или среднесрочной перспективе.

Индикаторы компрометации и технический разбор изученных образцов - в отчете.

Исследователь SafeBreach Алон Левиев продолжает наседать на Microsoft, которая до сих пор не устранила уязвимости, приводящие к понижению версий компонентов ядра Windows, позволяя обходить проверку подписи драйверов и развернуть руткиты на полностью исправленных системах.

Это реализуется путем взятия под контроль процесса обновления Windows и установки устаревших, уязвимых компонентов ПО на обновленную машину без изменения операционной системой статуса полностью исправленного ПО (CVE-2024-21302 и CVE-2024-38202).

Microsoft опровергла уязвимость, заявив, что она не пересекает определенную границу безопасности, хотя и возможна при получении доступа к выполнению кода ядра от имени администратора.

На конференциях по безопасности BlackHat и DEFCON в этом году Левиев продемонстрировал, что атака осуществима, тем не менее проблема не устранена полностью, что оставляет открытыми возможности для атак с понижением версии/откатом.

Исследователь представил инструмент под названием Windows Downdate, который позволяет создавать пользовательские понижения версии и подвергать, казалось бы, полностью обновленную целевую систему через устаревшие компоненты, такие как библиотеки DLL, драйверы и ядро NT.

Несмотря на то, что безопасность ядра значительно улучшилась за последние годы, Левиеву удалось обойти функцию принудительной подписи драйверов DSE, показав, как злоумышленник может загрузить неподписанные драйверы ядра для развертывания вредоносного руткита.

Исследователь поясняет, что хотя новые меры защиты затрудняют взлом ядра, возможность понижения версии компонентов, находящихся в ядре, значительно упрощает задачу злоумышленникам.

Левиев называет свой метод обходом DSE ItsNotASecurityBoundary, поскольку он представляет собой более раннюю версию одноименного эксплойта, использующего ложные уязвимости неизменности файлов.

В новом исследовании Левиев показал, как злоумышленник с правами администратора на целевом компьютере может использовать процесс обновления Windows, чтобы обойти защиту DSE путем понижения версии компонента, даже на полностью обновленных системах Windows 11.

Атака возможна путем замены ci.dll, файла, отвечающего за реализацию DSE, на неисправленную версию, которая игнорирует подписи драйверов, что по сути обходит защитные проверки Windows.

Кроме того, Левиев также описал возможности отключения или обхода Microsoft Virtualization-based Security (VBS).

VBS обычно использует средства защиты (блокировки UEFI и конфигурации реестра для предотвращения несанкционированных изменений), но их можно отключить, если не настроен максимальный уровень безопасности, выполнив целевое изменение раздела реестра.

При частичном включении ключевые файлы VBS, такие как SecureKernel.exe, могут быть заменены поврежденными версиями, которые нарушают работу VBS и открывают путь для обхода ItsNotASecurityBoundary и замены ci.dll.

Работа Левиева показывает, что атаки с понижением уровня безопасности все еще возможны, даже если для них иногда требуются серьезные привилегии.

Пока одни работают, другие микромягко разрабатывают меры по снижению рисков, но пока безуспешно.

🔑 Смена пароля по графику - устаревшая практика.

• В большинстве IT-системах и различных компаниях распространяется обязательное правило переодической смены паролей. В моей компании необходимо менять пароль 1 раз в 3 месяца. Как Вы считаете, такой подход является правильным? Ведь такая практика вызывает массу неудобств у обычных сотрудников и пользователи каждый раз просто добавляют (или меняют) цифру в конце своего пароля.

• В мае 2019 года даже компания Microsoft убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10. Об этом можно прочитать вот тут: https://blogs.technet.microsoft.com

Dropping the password-expiration policies that require periodic password changes.

• Обязательная смена паролей — устаревшая практика, практически официально. Даже аудит безопасности теперь не будет проверять это требование (если ориентироваться на официальные правила по базовой защите компьютеров под Windows).

• А еще майки объясняют, почему отказались от правила обязательной смены пароля:

«Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».

«Если известно, что пароль, вероятно, будет украден, сколько дней является приемлемым периодом времени, чтобы позволить вору использовать этот украденный пароль? Значение по умолчанию — 42 дня. Разве это не кажется смехотворно долгим временем? Действительно, это очень долго, и всё же наш текущий базовый показатель был установлен на 60 дней — а раньше на 90 дней — потому что форсирование частого истечения вводит свои собственные проблемы. И если пароль не обязательно будет украден, то вы приобретаете эти проблемы без пользы. Кроме того, если ваши пользователи готовы обменять пароль на конфетку, никакая политика истечения срока действия паролей не поможет».

Базовые политики безопасности Microsoft предназначены для использования хорошо управляемыми, заботящимися о безопасности предприятиями. Они также призваны служить руководством для аудиторов. Если такая организация внедрила списки запрещённых паролей, многофакторную аутентификацию, обнаружение атак с брутфорсом паролей и обнаружение аномальных попыток входа в систему, требуется ли периодическое истечение срока действия пароля? А если они не внедрили современные средства защиты, то поможет ли им истечение срока действия пароля?

• Логика Microsoft убедительна, верно? По итогу получается, что у нас два варианта: либо компания внедрила современные меры защиты, либо не внедрила...

• В первом случае периодическая смена пароля не даёт дополнительных преимуществ. Во втором случае периодическая смена пароля бесполезна.

• Таким образом, вместо срока действия пароля нужно использовать, в первую очередь, многофакторную аутентификацию. Дополнительные меры защиты перечислены выше: списки запрещённых паролей, обнаружение брутфорса и других аномальных попыток входа в систему.

«Периодическое истечение срока действия пароля является древней и устаревшей мерой защиты, и мы не считаем, что для нашего уровня базовой защиты стоит применять какое-либо конкретное значение. Удаляя его из нашего базового уровня, организации могут выбирать то, что наилучшим образом соответствует их предполагаемым потребностям, не противореча нашим рекомендациям».

• Исходя из всего вышеперечисленного, можно сделать определенный вывод, что периодическая смена паролей делает компанию более привлекательной мишенью для атак.

#Разное

В США назревает серьезный скандал по поводу китайской APT Salt Typhoon, которая, по мнению национальных спецслужб, причастна к атакам на сети AT&T, Lumen и Verizon.

DHS намерена обратиться в Cyber Safety Review Board (CSRB) с запросом на проверку всех обстоятельств, которые позволили китайцам совершить крупный взлом американских телекоммуникационных компаний и попутно заполучить доступ к системам контроля телефонных переговоров и Интертнет-трафика.

В настоящее время в DHS ожидают окончания расследования ФБР и CISA, в котором наиболее интересная часть будет посвящена участию Salt Typhoon в перехвате звонков Дональда Трампа, Дж.Д. Вэнса, лидера большинства в Сенате Чака Шумера, а также некоторых членов штаба Харрис-Вальца.

Главное в любом расследовании не выйти на самих себя, а по всей видимости - риски такого сценария имеют место быть.

Ведь, согласно недавним разоблачениям китайских партнеров, аналогичная Volt Typhoon оказалась фейком, под флагом которого шпионажем в реальности занималась АНБ США, умело эмулируя «правильную» атрибуцию и привлекая для расследований «ручные» инфосек-компании.

А если это так, то выводы делайте сами.

Уверены, что окончания расследования ФБР и CISA дождутся и в Поднебесной, после чего ознакомят мировую общественность с результатами уже своего.

Но будем посмотреть.

👨🏻‍💻 Awesome Memory Forensics.

• Главная задача в цифровой криминалистике — сбор информации, а именно — получение образов жестких дисков, оперативной памяти и дампов сетевых соединений.

• Если говорить об анализе RAM, то по такому дампу можно определить, какие приложения запускались во время сеанса, потому что, пока человек не выключил или не перезагрузил ПК, в оперативной памяти хранится вся интересующая нас информация (например, данные процессов).

• Для ана­лиза дам­пов памяти сущес­тву­ет множество инструментов, которые собраны в репозитории: https://github.com/digitalisx/awesome-memory-forensics

• Помимо инструментов, в репозитории можно найти массу информации в виде ссылок на мануалы, видеоматериал, книги, презентации и отчеты.

#Форензика

В Колорадо случайно выложили в сеть пароли к системе голосования, на сайте секретаря штата они публично размещались в течение нескольких месяцев, прежде чем их обнаружили и удалили.

Но, как заявили в интервью 9News представители избирательной комиссии штата, эта ошибка никаким образом не представляла непосредственной угрозы предстоящим выборам и вообще нет никаких оснований полагать, что имело место нарушение безопасности.

А Колорадо назвали золотым стандартом безопасности выборов, даже вопреки тому, что в прошлом случались некоторые сбои.

Так, под эту категорию попала секретарь округа Тина Питерс, которая была приговорена к девяти годам лишения свободы за мошенничество с утечкой данных в ходе использования машин для голосования в президентской гонке 2020 года.

Так что, все под контролем✊