ПОГОДА, НОВОСТИ И ГОРОСКОП
ФБР нашла русский след в атаках на древние Cisco // dl // 22.08.25 22:43
ФБР объявила о том, что русские хакеры используют уязвимость семилетней давности для проникновения в американские критические инфраструктурные сети и для сбора информации о промышленных системах. Злоумышленники, атрибутированные как 16 Центр ФСБ, они же Static Tundra, они же Berserk Bear, они же Dragonfly, предположительно более десятка лет занимались атаками устаревших устройств, использующих незашифрованные протоколы типа Cisco Smart Install (SMI) и SNMP. В последнем раунде атак использовалась уязвимость CVE-2018-0171, исправленная аж в марте 2018 года. В качестве целей называется ряд телекоммуникационных, образовательных и промышленных организаций из Северной Америки, Азии, Африки и Европы, отобранных "в соответствии со стратегическими интересами российского правительства". Компании из Южной Америки, Австралии и Антарктиды могут спать спокойно. Cisco настоятельно рекомендовала своим пользователям наконец-то обновить свое оборудование.
Источник: The Register
ФБР объявила о том, что русские хакеры используют уязвимость семилетней давности для проникновения в американские критические инфраструктурные сети и для сбора информации о промышленных системах. Злоумышленники, атрибутированные как 16 Центр ФСБ, они же Static Tundra, они же Berserk Bear, они же Dragonfly, предположительно более десятка лет занимались атаками устаревших устройств, использующих незашифрованные протоколы типа Cisco Smart Install (SMI) и SNMP. В последнем раунде атак использовалась уязвимость CVE-2018-0171, исправленная аж в марте 2018 года. В качестве целей называется ряд телекоммуникационных, образовательных и промышленных организаций из Северной Америки, Азии, Африки и Европы, отобранных "в соответствии со стратегическими интересами российского правительства". Компании из Южной Америки, Австралии и Антарктиды могут спать спокойно. Cisco настоятельно рекомендовала своим пользователям наконец-то обновить свое оборудование.
Источник: The Register
Массовый взлом SharePoint // dl // 23.07.25 22:07
Eye Security сообщает о четерых волнах взломов организаций, использующих MS SharePoint, начиная с прошлого четверга. Используется уязвимость нулевого дня, существование которой Microsoft подтвердила 19 июля и выпустила срочный патч для совсем другой уязвимости и не для всех версий SharePoint. Окончательные патчи для всех версий SharePoint вышли только во вторник. Среди пострадавших свыше 400 организаций, включая министерство энергетики США, в том числе входящее в него национальное управление ядерной безопасности (National Nuclear Security Administration, NNSA).
Источник: The Register
Eye Security сообщает о четерых волнах взломов организаций, использующих MS SharePoint, начиная с прошлого четверга. Используется уязвимость нулевого дня, существование которой Microsoft подтвердила 19 июля и выпустила срочный патч для совсем другой уязвимости и не для всех версий SharePoint. Окончательные патчи для всех версий SharePoint вышли только во вторник. Среди пострадавших свыше 400 организаций, включая министерство энергетики США, в том числе входящее в него национальное управление ядерной безопасности (National Nuclear Security Administration, NNSA).
Источник: The Register
Microsoft Authenticator прекращает поддержку паролей // dl // 30.06.25 21:19
Microsoft выпиливает работу с паролями из Microsoft Authenticator для того, чтобы упростить использование автозаполнения на различных устройствах (не спрашивайте, мне эта логика тоже непонятна). С июня 2025 Authenticator перестанет генерировать и импортировать пароли, с июля Authenticator перестанет работать с автозаполнением, с августа паролей в Authenticator не останется вообще. При этом сохраненная в аккаунте Microsoft информация о паролях останется доступной через Edge. Плюс в Authenticator останется поддержка passkeys.
Источник: Microsoft
Microsoft выпиливает работу с паролями из Microsoft Authenticator для того, чтобы упростить использование автозаполнения на различных устройствах (не спрашивайте, мне эта логика тоже непонятна). С июня 2025 Authenticator перестанет генерировать и импортировать пароли, с июля Authenticator перестанет работать с автозаполнением, с августа паролей в Authenticator не останется вообще. При этом сохраненная в аккаунте Microsoft информация о паролях останется доступной через Edge. Плюс в Authenticator останется поддержка passkeys.
Источник: Microsoft
Очередное исследование 19 миллиардов паролей показало, что с ними по-прежнему все плохо // dl // 02.05.25 20:42
Анализ 19 миллиардов паролей, утекших за последний год, в очередной раз продемонстрировал, что пользователи ничему не учатся. Большинство людей (42%) использует пароли длиной 8-10 символов, причем чаще 8, чем 10. Практически треть (27%) использует пароли только из цифр и букв нижнего регистра (и на самом деле это нормально).
Анализ 19 миллиардов паролей, утекших за последний год, в очередной раз продемонстрировал, что пользователи ничему не учатся. Большинство людей (42%) использует пароли длиной 8-10 символов, причем чаще 8, чем 10. Практически треть (27%) использует пароли только из цифр и букв нижнего регистра (и на самом деле это нормально).
Традиционно первое место с 4% (более 727 миллионов) удерживает "1234". Чуть отстает с 338 миллионами "123456". Большой проблемой остаются пароли по умолчанию — "password" и "admin" встречаются 56 и 53 миллиона раз соответственно.
Источник: Cybernews
Оптимизация ввода-вывода как инструмент обхода антивирусов // dl // 30.04.25 23:29
Представленный в 2019 году в Linux 5.1 асинхронный интерфейс io_uring предназначен для оптимизации операций ввода-вывода за счет буферизации пользовательских запросов к ядру и тем самым снижения числа переключений из пользовательского режима в режим ядра. Но внезапно выяснилось, что этот интерфейс позволяет прекрасно обходить мониторящие антивирусы, которые следят за системными вызовами. Ну как внезапно, первые публикации на тему потенциального использования io_uring в руткитах вышли еще три года назад, теперь же дело дошло до демонстрационного прототипа, получившего название Curing, который обошел таким образом стандартные конфигурации Falco, Tetragon и Microsoft Defender.
Представленный в 2019 году в Linux 5.1 асинхронный интерфейс io_uring предназначен для оптимизации операций ввода-вывода за счет буферизации пользовательских запросов к ядру и тем самым снижения числа переключений из пользовательского режима в режим ядра. Но внезапно выяснилось, что этот интерфейс позволяет прекрасно обходить мониторящие антивирусы, которые следят за системными вызовами. Ну как внезапно, первые публикации на тему потенциального использования io_uring в руткитах вышли еще три года назад, теперь же дело дошло до демонстрационного прототипа, получившего название Curing, который обошел таким образом стандартные конфигурации Falco, Tetragon и Microsoft Defender.
Антивирусы теперь планируют помечать конфигурации с разрешенным io_uring как потенциально опасные, а пользователям предлагается запретить этот интерфейс с помощью команды sysctl -w kernel.io_uring_disabled=2. Причем именно это еще в середине 2023 года сделала Google, запретив его в ChromeOS и Android.
Источник: The Register
Зловреды выбирают Lisp и Delphi // dl // 30.03.25 23:26
Исследователи из Пирейского унверситета, Афинского исследовательского центра и Делфтского технического университета на днях опубликовали любопытный препринт «Coding Malware in Fancy Programming Languages for Fun and Profit». Как отмечается в исследовании, в текущей ситуации с обвальным появлением нового вредоносного кода (26 миллионов образцов только за начало 2025 года) одним из основных способов его идентификации остается статический анализ. Естественно, авторы зловредов это прекрасно знают и стараются по возможности применять всевозможные техники обфускации. И внезапно проще всего оказывается использовать не такой популярный язык, как традиционные C/C++. Так, недавний противоукраинский зловред от APT29 Masepie (видимо, Мазепа) был написан на Питоне, их же Zebrocy использует смесь Delphi, Python, C# и Go, Akira переехал с С++ на Rust, BlackByte с C# на Go и т.п. С одной стороны, здесь есть признаки наивного security through obscurity — чем меньше людей знают язык, тем сложней ожидать ручного распознавания,...»»
Источник: The Register
Исследователи из Пирейского унверситета, Афинского исследовательского центра и Делфтского технического университета на днях опубликовали любопытный препринт «Coding Malware in Fancy Programming Languages for Fun and Profit». Как отмечается в исследовании, в текущей ситуации с обвальным появлением нового вредоносного кода (26 миллионов образцов только за начало 2025 года) одним из основных способов его идентификации остается статический анализ. Естественно, авторы зловредов это прекрасно знают и стараются по возможности применять всевозможные техники обфускации. И внезапно проще всего оказывается использовать не такой популярный язык, как традиционные C/C++. Так, недавний противоукраинский зловред от APT29 Masepie (видимо, Мазепа) был написан на Питоне, их же Zebrocy использует смесь Delphi, Python, C# и Go, Akira переехал с С++ на Rust, BlackByte с C# на Go и т.п. С одной стороны, здесь есть признаки наивного security through obscurity — чем меньше людей знают язык, тем сложней ожидать ручного распознавания,...»»
Источник: The Register
Уязвимости в Mongoose ставят под удар MongoDB // dl // 20.02.25 18:23
Библиотека Mongoose используется для интеграции MongoDB в Node.js-приложения, обеспечивая дополнительный уровень абстракции для отображения объектов JS в базы MongoDB. Две обнародованные сегодня (и уже закрытые сначала в актуальной версии) уязвимости приводят к классической SQL-инъекции (хотя для NOSQL базы звучит забавно) со всеми вытекающими последствиями вплоть до удаленного исполнения кода.
Источник: The Register
Библиотека Mongoose используется для интеграции MongoDB в Node.js-приложения, обеспечивая дополнительный уровень абстракции для отображения объектов JS в базы MongoDB. Две обнародованные сегодня (и уже закрытые сначала в актуальной версии) уязвимости приводят к классической SQL-инъекции (хотя для NOSQL базы звучит забавно) со всеми вытекающими последствиями вплоть до удаленного исполнения кода.
Источник: The Register
По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом" // dl // 27.01.25 17:33
Исследователи из Black Lotus Labs сообщают о том, что с середины 2023 года ряд корпоративных роутеров Juniper с Junos OS, половина из которых была сконфигурирована как VPN-шлюз, тихо и незаметно заражается вариантом "невидимого" бэкдора cd00r, заточенного под максимально незаметное исполнение в атакованной системе. В отличие от традиционных бэкдоров, которые незатейливо открывают какой-нибудь порт и ожидают поступления команд, J-Magic мониторит стандартный трафик, проходящий через роутер, на предмет обнаружения "магического пакета", содержащего определенные значения в TCP-заголовке. Далее отправителю этого пакета отсылается случайная строка из пяти символов, зашифрованная публичным RSA-ключом, и если отправителю удается ее расшифровать и отправить роутеру для верификации, тот начинает выполнять удаленные команды.
Источник: The Register
Исследователи из Black Lotus Labs сообщают о том, что с середины 2023 года ряд корпоративных роутеров Juniper с Junos OS, половина из которых была сконфигурирована как VPN-шлюз, тихо и незаметно заражается вариантом "невидимого" бэкдора cd00r, заточенного под максимально незаметное исполнение в атакованной системе. В отличие от традиционных бэкдоров, которые незатейливо открывают какой-нибудь порт и ожидают поступления команд, J-Magic мониторит стандартный трафик, проходящий через роутер, на предмет обнаружения "магического пакета", содержащего определенные значения в TCP-заголовке. Далее отправителю этого пакета отсылается случайная строка из пяти символов, зашифрованная публичным RSA-ключом, и если отправителю удается ее расшифровать и отправить роутеру для верификации, тот начинает выполнять удаленные команды.
Источник: The Register
С наступающим // dl // 31.12.24 23:59
Всех присутствующих — с неумолимо надвигающимися 5*5 и 45*45.
Источник:
Всех присутствующих — с неумолимо надвигающимися 5*5 и 45*45.
Источник:
Microsoft обещает радикально усилить безопасность Windows в следующем году // dl // 19.11.24 17:09
Традиционно любой крупный провал в области безопасности (будь то червь Морриса, эпидемия Blaster и т.п.) приводил серьезной перетряске устоявшихся правил и практик. Не исключением стала и летняя катастрофа с CrowdStrike, обрушившая 8 с лишним миллионов пользовательских компьютеров и серверов, что обошлось пострадавшим в не один миллиард долларов. Для предотвращения подобных инцидентов в будущем Microsoft выступила с инициативой Windows Resiliency. Самые заметные изменения, ожидаемые в следующем году, включают быстрое восстановление (Quick Machine Recovery) позволяющее удаленно вытащить систему из постоянной перезагрузки, и защиту администратора (Administrator Protection), требующую для выполнения критичных действий не просто подтверждения в диалоге, а биометрическую аутентификацию через Windows Hello либо ввода отдельного пин-кода. Наконец, включенный по умолчанию Smart App Control не даст запускать неизвестные приложения и скачанные из сети скрипты,...»»
Источник: ZDNet
Традиционно любой крупный провал в области безопасности (будь то червь Морриса, эпидемия Blaster и т.п.) приводил серьезной перетряске устоявшихся правил и практик. Не исключением стала и летняя катастрофа с CrowdStrike, обрушившая 8 с лишним миллионов пользовательских компьютеров и серверов, что обошлось пострадавшим в не один миллиард долларов. Для предотвращения подобных инцидентов в будущем Microsoft выступила с инициативой Windows Resiliency. Самые заметные изменения, ожидаемые в следующем году, включают быстрое восстановление (Quick Machine Recovery) позволяющее удаленно вытащить систему из постоянной перезагрузки, и защиту администратора (Administrator Protection), требующую для выполнения критичных действий не просто подтверждения в диалоге, а биометрическую аутентификацию через Windows Hello либо ввода отдельного пин-кода. Наконец, включенный по умолчанию Smart App Control не даст запускать неизвестные приложения и скачанные из сети скрипты,...»»
Источник: ZDNet
Russian Security Newsline
Понравилась новость? Поделись с друзьями.........
