#Событие #OlympicGames #CiscoTalos

Cisco Talos опубликовал материалы по расследованию недавней атаки на инфраструктуру Олимпийских игр в Южной Корее. Как вы думаете, куда приведут следы? Рекомендуем к изучению всем, кто старается следить за актуальными событиями в мире ИБ.

Ссылка: http://blog.talosintelligence.com/2018/02/olympic-destroyer.html?m=1

А вот это красиво: Facebook начал активно предлагать людям воспользоваться функцией “Protect”, которая всего лишь баннер, ведущий на установку купленного фейсбуком Onavo VPN. Ставишь и запускаешь VPN - и ты в безопасности. От всех кроме фейсбука, потому что начиная с момента использования фейсбук получает все данные о том, какими сервисами ты пользуешься, куда ходишь на вебе и так далее.

Конечно из двух зол выбирают меньшее, и возможно для кого-то фейсбук и есть меньшее зло. У меня все чуть иначе, поэтому у меня свой VPN https://techcrunch.com/2018/02/12/facebook-starts-pushing-its-data-tracking-onavo-vpn-within-its-main-mobile-app/

0-day уязвимость в Telegram используется для заражения пользователей
https://goo.gl/9FJsfZ

Автор статьи представляет на суд читателя языки программирования для анализа и обработки больших массивов данных. Без навязывания личного мнения, автор старается расширить пониманием читателя и осознанно подойти к выбору, исходя из индивидуальных условий и потребностей.

@nuancesprog #статьи #bigdata #python #scala #r #java

Курьезный баг найден в популярной Linux-оболочке
https://goo.gl/iQ75qr

Еще ссылку подкинул читатель * :), за что ему спасибо!

"можно подкинуть доку либреоффису, чтобы он сливал контент локальных файлов в инет."
https://github.com/jollheef/libreoffice-remote-arbitrary-file-disclosure

Павел Дуров: Антивирусные вендоры преувеличивают киберугрозы
https://goo.gl/iUCQUy

Что может быть лучше, чем почитать за обедом про уязвимость в Skype, которую Microsoft обещает исправить когда-нибудь потом в будущем, "когда мы перепишем все заново"?
Речь идет об этом баге в системе обновлений Skype:
seclists.org/fulldisclosure/2018/Feb/33

Уязвимость, если её эксплуатировать, обеспечивает эскалацию привелегий локального пользователя до уровня system, обеспечивая доступ во все возможные закоулки операционной системы. Грубо говоря, путем подмены нужной DLL (да, забыл сказать, проблема касается только Skype для Windows) можно заставить апдейтер исполнять вредоносный код, а дальше уже "как по маслу". Злоумышленники могут копировать файлы, удалять данные, запускать ransomware, и тд.
Об этой проблеме в Microsoft обнаруживший её разработчик сообщил еще в сентябре прошлого года, но Microsoft говорит, что для исправления требуется существенная ревизия кода, которая, по сути, приведет к новой версии продукта, а не просто к обновлению безопасности. Так что Microsoft уже вроде как пишет новый клиент, но даты его доступности пока нет. А информация о баге есть, и, похоже, эту уязвимость вполне реально эксплуатировать. Берегите там себя!

Hot Fix!
А ты знал, что в IIS возможно создать XSS пейлоад не только в форматах типа html/xml? Оказывается, что вектор для XML

<a:script xmlns:a="http://www.w3.org/1999/xhtml">alert(1337)</a:script>

может быть загружен со следующими расширенями: .dtd .mno .vml .xsl .xht .svg .xml .xsd .xsf .svgz .xslt .wsdl .xhtml, а вектор <script>alert(1337)</script> будет работать в форматах .cer .hxt и .htm

Тут можно почитать подробнее: https://mike-n1.github.io/ExtensionsOverview

ICO завершилось хищением 4 500 000 долларов. Команда проекта LoopX исчезла со всеми деньгами
https://goo.gl/UE5mxT

Недавно анонсирована уязвимость повышения прав в Windows через Skype. Уязвимость примечательна тем, что Microsoft сказал "слишком сложно" и "исправим в следующей версии".

Для обновления Skype использует не общие механизмы Windows Update, а собственное приложение "%ProgramFiles%\Skype\Updater\Updater.exe", которое запускается с правами SYSTEM. Если обнаружено доступное обновление Updater.exe распаковывает его в "%SystemRoot%\Temp\SKY<abcd>.tmp" и запускает команду "%SystemRoot%\Temp\SKY<abcd>.tmp" /QUIET. Это приложение загружает дополнительные библиотеки, в частности UXTheme.dll, и ищет их сначала в папке запуска (что в общем то обычное дело) %SystemRoot%\Temp\.

Соответственно, при наличии у пользователя доступа к папке %SystemRoot%\Temp\ он может подменить библиотеку кодом, который выполнится с правами SYSTEM.

Папка %SystemRoot%\Temp\ используется множеством софта, так что нельзя просто взять и ограничить к ней доступ. Можно было бы удалить Updater.exe, но тогда скайп не будет обновляться. Что ж, давайте сделаем так: скопируем UXTheme.dll из %SystemRoot%\system32\ в %SystemRoot%\Temp\ и запретим к ней доступ на изменение и запись - скайп будет загружать ее, а подменить ее хакеру с правами рядового пользователя не удастся.

Смотрите "ShieldFS: The Last Word in Ransomware Resilient File Systems" на YouTube
https://youtu.be/-AePD4xczMU

Раз уж автор прошлого поста поднял речь про Internet Explorer, то я хотел бы и от себя рассказать одну интересную вещь (баян).

Существует такой малоизвестны тег <?PXML>. Функциональное предназначение такого тега остается мало понятным.
Создание XML документа с таким тегом при предварительном просмотре выдает ошибки синтаксиса документа.

Но мы данный тег можем использовать для обхода XSS фильтров. Используя небольшую магию префикса html:, PXML будет распознаваться как HTML-тег.

<?PXML><html:script>alert(1)</html:script>

Работает для последнего 11 Internet Explorer.
Стоящий вектор для добавления его в свои словарики по багбаунти.

Для тех, кто знает японский и умеет в гугл переводчик, может ознакомится со статьей в оригинале: http://masatokinugawa.l0.cm/2017/05/xss13.html

#Полезное #Web
Предлагаем вашему вниманию кладезь информации по Web Application Security, уютно собранной одним французским студентом (Swissky) на GitHub.

Тулзы, литература, payload'ы, видеоуроки, способы эксплуатации различных web-уязвимостей, все это аккуратно причесано и послушно дожидается вас здесь —-> https://github.com/swisskyrepo/PayloadsAllTheThings

Исследователь выполнил js в картинке в bug bounty general motors, пометив её content type как text/html https://medium.com/@elberandre/uploader-bypass-obtendo-xss-em-imagem-jpg-d8eb9cd1ef40 . Помню время, когда тоже так байпасил 😁

Опубликован инструмент для тестирования Android-приложений на уязвимость
https://goo.gl/dSK3qA

Проблема небезопасной загрузки динамических библиотек вообще характерна для продуктов Microsoft. Она стала причиной уязвимостей MS10-087, MS10-093, MS10-094,  MS10-095, MS10-096, MS10-097, MS11-001, MS11-003, MS11-015, MS11-016, MS11-017, MS11-023, MS11-025, KB2533623, MS11-055, MS11-059, MS11-071, MS11-073, MS11-075, MS11-076, MS11-085, MS11-094, MS11-099, MS12-012, MS12-014, MS12-022, MS12-039, MS12-046, MS12-074, MS14-023.

Ответственность за обеспечение безопасности подключения библиотек в первую очередь на разработчиках. Например, при указании при вызове функции LoadLibraryEx() ключа LOAD_LIBRARY_SEARCH_SYSTEM32 поиск библиотеки начинается с system32 (странно, почему Microsoft не мог просто использовать это в скайпе?).

Но что-то в силах сделать и администраторы.

Во-первых, это ключ SafeDllSearchMode (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode), который немного меняет порядок поиска библиотек:

1. Директория, из которой запущно приложение
2. Системная директория
3. Директория Winodws
4. Текущая директория
5. Директории из переменной окружения PATH

Если отключить SafeDllSearchMode, порядок будет такой:

1. Директория, из которой запущно приложение
2. Текущая директория
3. Системная директория
4. Директория Winodws
5. Директории из переменной окружения PATH

Особо интересны два момента:

- Если библиотека с таким именем уже загружена в память, то будет использоваться этот образ
- Если библиотека присутствует в KnownDlls, то она будет загружаться из стандартного пути

На последнем моменте надо остановиться подробнее. Известные библиотеки перечислены в узле реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs и по умолчанию загружаются ТОЛЬКО из системных директорий. Путь их поиска можно задать ключами HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs:DllDirectory и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs:DllDirectory32.

Поэтому, в общем то, вчерашнюю проблему со скайпом можно решить путем добавления библиотеки в KnownDlls.

#exploit
Проверяем Windows на возможные эксплойты. Windows-Exploit-Suggester