[Из песочницы] И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
https://goo.gl/Nn14z3

Киберпреступник скомпрометировал официальные ссылки загрузки phpBB
https://goo.gl/4KC1pW

(по мнению россиян от 60 до 80 лет)

Дошли руки посмотреть на исправления безопасности в новом релизе Chrome от 24 января (https://chromereleases.googleblog.com/2018/01/stable-channel-update-for-desktop_24.html). Мое внимание в этот раз привлекла уязвимость: “Same origin bypass in Shared Worker”. Видим, что id баги: 787103, доступ в нее, конечно, закрыт, а узнать детали хочется. Что же делать? Анализировать changelog!

Если под руками есть исходники Chromium’а, можно искать нужные коммиты через git, примерно так:

git log --all --grep="787103"


Если их нет, а тратить время на скачивание не хочется, можно пойти другим путём:

1. берем утилиту https://github.com/andreyka/chromium_bug_search и запускаем ее, передав id и название релиза:


python console.py -b 787103 -r 64.0.3282.119


2. получаем сообщение:


Commit found:
https://chromium.googlesource.com/chromium/src/+/018bb6d300c11acb953d51ef3cbec4cdcaf4a652


идем по ссылке в коммит и находим в его описании поле Reviewed-on: https://chromium-review.googlesource.com/c/chromium/src/+/781539.

3. проваливаемся в ревью, изучаем изменения, в конце видим 2 layout теста:

workers/data-url-shared.html;
data-url-shared-window.html.  

По их коду видно, что уязвимость позволяет SharedWorrker’у с каким-то удаленным origin’ом получить доступ к MessageChannel’у  c origin’ом null. Т.е из-за баги worker получает доступ к каналу чужого веб-ресусра.

Упрощенный локальный PoC на основе теста лежит тут: https://github.com/andreyka/PoCs/tree/master/CVE-2018-6032.

Mr.Robot.S03. Как новый сезон «Мистера Робота» радовал фанатов пасхалками и хакерскими играми

#Ликбез #FilelessAttack

Многие думают, что топовые хакеры - это небожители, которые используют ультрокрутые тулзы, 0-day уязвимости и вооружены не хуже АНБ. В реальности все прозаичнее и львиная доля успеха достигается использованием системных команд, стандартных утилит, дефолтных учеток и общеизвестных уязвимостей. С учетом человеческой халатности и доступности информации в сети Интернет, пушистый сисадмин может легко устроить локальный апокалипсис или скромную утечку, сравнимые с действиями профессионалов.  Все что нужно - общая компьютерная грамотность, терпение и умение пользоваться интернетом. Сегодня посмотрим, какие тулзы используют профи для Fileless Attack и почитаем тематические материалы. Для начала статья про сабж для тех, кто незнаком с термином: https://www.csoonline.com/article/3227046/malware/what-is-a-fileless-attack-how-hackers-invade-systems-without-installing-software.html

Список наиболее популярных тулз у различных хакерских групп из отчета ISTR.

Исследование защиты программы VoiceAttack
https://goo.gl/4ov5rj

тут, конечно, вряд ли есть кто-то из Африки (а тем более из Эфиопии), но просто интересная история в тему информационной опасносте — Китай построил для организации Африканского Союза здание, и бесплатно его передал. а потом оказалось, что здание напичкано микрофонами, которые записывали происходящее в здании. А затем сервера, которые удаленно управлялись китайскими администраторами через специально оставленный бэкдор, передавали записанное кому надо. Какой-то прям сюр.
https://www.moroccoworldnews.com/2018/01/239343/african-union-china-spies-addis-ababa/

Код безопасности и Лаборатория Касперского стали партнерами
https://goo.gl/gBmJ87

Хочу внести некую ясность в мою позицию касательно истории с сервисом Strava и публикацией им данных, которые позволили выявить военные и прочие секретные объекты и перемещения персонала в них. Безусловно, в этом случае вина в основном лежит на этих организациях, не обеспечивших достаточный инструктаж и контроль персонала по обеспечению соответствующих мер информационной безопасности. Можно только предположить, что еще там у этих пользователей может быть установлено на телефонах и компьютерах, и что куда передается. Так что да, основная проблема — это именно операционная безопасность таких организаций и объектов, и сам сервис Strava тут ни при чем.

Но есть и вторая часть этой проблемы (которая состоит на самом деле из двух частей). Первая — это не самые простые и очевидные настройки приватности учетной записи в Strava, которые приводят к тому, что многие пользователи, не разобравшись, оставляют включенными настройки по умолчанию. Вторая половина — это такая смелая публикация сервисом Strava полученных данных, которая позволяет не только увидеть объекты с большим количеством активности (а когда это объект посреди пустыни в воюющей стране, то сразу возникает логичное подозрение). Та же Google, например, особо секретные объекты на Google Maps прячет. Ну и не добавляет спокойствия возможность при желании взять эти сегменты “обезличенных” данных и совместить их с другими публично доступными данными, и вычислить уже конкретного пользователя сервиса.

Да, это все вроде как фичи сервиса — все-таки типа социальная сеть, но лично мне от этого немножко крипово. Я, конечно, тот еще параноик, и сразу был не очень в восторге от того, что я отдаю Страве слишком много информации, а тут под шумок всей этой истории я решил, что именно социальный аспект мне в итоге не сильно-то и нужен, а без него я могу и встроенным трекером активности в часах пользоваться. Благо, Apple к личным данным пользователей (даже обезличенным) относится более ответственно, и лучше понимает риски публикации слишком больших объемов накопившейся информации. А о популярных местах для катания на велосипеде в моем регионе я и в интернете могу узнать, благо, информации об этом достаточно. А частная приватность — это тот случай, я уверен, когда лучше перебдеть, чем эцсамое. Но каждый пользователь — сам кузнец своей приватности. Извините, был напуган.

Криптовалютный стартап собрал $6 млн и исчез, оставив "пенис" на сайте - «Life.ru» — информационный портал
https://life.ru/t/%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8/1083651/kriptovaliutnyi_startap_sobral_6_mln_i_ischiez_ostaviv_pienis_na_saitie

38 часов назад открыли детали интересной use after free баги в Jit V8 (CVE-2017-15399) с PoC, который умеет вызвать калькулятор в Chromium (если конечно запустить браузер с опцией —no-sandbox). Подробности тут: https://bugs.chromium.org/p/chromium/issues/detail?id=776677.

Но PoC для use after free баги в Jit V8 (CVE-2017-15399) можно было найти и раньше.
Вспоминаем недавнюю утилиту https://github.com/andreyka/chromium_bug_search и повторяем сценарий, но уже для этой CVE.

ID тикета мы бы получили из новости об этом релизе https://chromereleases.googleblog.com/2017/11/stable-channel-update-for-desktop.html, которая была опубликована 6 Ноября.

[776677] High CVE-2017-15399: Use after free in V8

Указываем ID тикета и что мы ищем ошибку в v8:

```python console.py -b 776677 -p v8 -r master
[+] Commit found:
https://chromium.googlesource.com/v8/v8/+/5f960dfc06a7c95af69e2b09f772b2280168469b```

В итоге попадаем в коммит https://chromium.googlesource.com/v8/v8/+/5f960dfc06a7c95af69e2b09f772b2280168469b, где видим готовый JS PoC - https://chromium.googlesource.com/v8/v8/+/5f960dfc06a7c95af69e2b09f772b2280168469b/test/mjsunit/regress/wasm/regress-776677.js, который был опубликован 23 Октября
#expdev #uaf #chrome

Продемонстрирован новый тип атаки на Active Directory
https://goo.gl/Jv5K8y

Чуть не упустил: Гугл завершил покупку бОльшей части мобильного подразделения HTC. Это уже вторая попытка гугла купить фабрику по производству смартфонов, до этого была такая же история с Motorola, тогда тоже покупался смартфонный бизнес + патенты. Результат, как мне кажетя, близкий к нулю, вероятно покупка тогда была чисто ради патентов. Посмотрим чем закончится вторая серия. https://techcrunch.com/2018/01/29/google-htc/