Microsoft Exchange апокаліпсис

• Компанія Microsoft випустили інструмент, який “в один клік” виправляє вразливості в серверах Exchange
• Огляд веб-шеллу China Chopper хакерського угрупування Hafnium, використаного під час первинної атаки на сервери Microsoft Exchange
• Хакерське угрупування сканує увесь інтернет на предмет веб-шеллів, що лишилися доступними після атаки на MS Exchange
• Опубліковано новий PoC експлойт для використання вразливостей в Microsoft Exchange та інсталяції веб-шеллу
• Microsoft досліджує можливий зв’язок між її партнерською мережею компаній з кібербезпеки та витоком інформації про вразливості Exchange кілька місяців тому

Докладно про головне

• Перший випадок викрадення цифрових предметів мистецтва: хакери обікрали користувачів Nifty Gateway

Що б ви про це не думали, але NFT (Non Fungible Tokens) зараз на хайпі в усіх кутках інтернету. Цифровий графічний колаж продано на аукціоні за 69 млн дол, Джек Дорсі продає НФТ свого першого твіту, а Ілон Маск навіть написав мелодію та випустив НФТ для неї, хоча зрештою передумав його продавати.

Ми не хочемо вдаватися в деталі, адже в нас подкаст про кібербезпеку, а не про криптовалюти. Але якщо коротко, то NFT це токен у блокчейні, що засвідчує віртуальне володіння предметом. Все більше культурних артефактів мігрувало в цифру, все більше об’єктів мистецтва народжуються в цифровому вигляді. Цифрові об’єкти можуть бути легко скопійовані безліч разів, тому поняття “володіння копією” музичного твору, тексту чи картини остаточно втратило сенс.

На тлі цього цифрового безладу, NFT допомагають фанам підтримувати митців у новій формі: купуючи власну асоційованість із продуктом мистецтва. Ну ось вам приклад: уявіть собі, що ви Патрон чи Матрона нашого подкасту, але вам хочеться підтримати нас ще дужче. Ми можемо випустити NFT одного з наших епізодів та продати його вам за криптовалюту. Після чого ви будете вважатися одноосібним власником цього випуску і будь-хто зможе це перевірити у публічному леджері. Щобільше, коли ви знайдете достойного покупця, ви зможете продати йому цей токен, і ми ніяк не зможемо на це вплинути. Ну хіба що пожаліємося на вас у наступному епізоді.

• Екоактивісти критикують вплив NFT на зміну клімату

Претензії цілком логічні: об’єкти, що існують виключно в уяві їхніх творців та споживачів, спричиняють цілком матеріальний негативний вплив на навколишнє середовище. Блок у леджері, в який потрапляє токен з віртуальним предметом мистецтва чи що вони там втулили, майниться на цілком реальному залізі, в результаті чого в атмосферу викидається цілком реальний двоокис вуглецю. Отже, NFT на Біткойні, як основному блокчейні на базі Proof of Work, скоріш за все не отримає такого поширення, як NFT на Flow, та приватних блокчейнах на базі Proof of Stake. Ну і на Ефірі, коли, точніше якщо, він колись змінить принцип роботи, як це давно анонсовано.

• У Microsoft пояснили відсутність доступу до низки популярних сервісів, таких як Microsoft365, Teams та інших. А таємничий баг видалив файли у Teams та Sharepoint під час збою сервісів Microsoft.

Після масового збою автентифікації Microsoft цього тижня багато користувачів виявили, що їхні файли в SaaS сховищах якимось чином перемістилися в кошик для сміття. Ми слідкуватимемо за розвитком подій та триматимемо вас в курсі, бо щось забагато див як на одного вендора за один тиждень.

• Оман заблокував Clubhouse через “відсутність дозволу”, але активісти наполягають, що це акт цензури

Оманський регулятор у сфері зв’язку повідомив сайту новин WAF, що всі засоби телекомунікацій, що працюють в цій країні, повинні отримати відповідний дозвіл. За словами WAF, Оман “забороняє використання програм з технологією VoIP без офіційної ліцензії”.

Раніше Clubhouse було заблоковано в Китаї – вочевидь, з міркувань цензури. Та відтепер:

• Signal заблокований у Китаї після 100 мільйонів завантажень

Вебсайт месенджера заблокований з понеділка, а користувачі не можуть залогінитись та користуватися сервісом. Месенджер все ще доступний в китайському Apple AppStore, та користуватися ним можливо лише через VPN.

Коротко про важливе

• Пожежа в датацентрі OVH знищила хакерську інфраструктуру низки кіберзлочинних угруповань та державних агенцій

За словами Костіна Райу, директора Глобальної групи досліджень та аналізу в Лабораторії Касперського, його колеги відстежували 140 серверів OVH, якими користувалися урядові хакери та злочинні групи, і 36% з них припинили працювати під час пожежі.

• Facebook та News Corp Australia склали угоду після блокування соціальною мережею доступу до новин в цій країні

Ми інформували вас про цей безпрецедентний конфлікт між новинарями та соціальною мережею. Вочевидь, їм вдалося дійти згоди.

• Поліція Іспанії зупинила діяльність Android застосунку для піратського стрімінгу відео, що продавав персональну інформацію користувачів та додавав смартфони жертв в DDoS-ботнет

Іспанські чиновники заявили, що розпочали розслідування програми у 2018 році після отримання скарг від англійської Прем’єр-ліги, Іспанської футбольної ліги та інших асоціацій. Починаючи з минулого місяця, слідчі розпочали жорсткі дії стосовно авторів програми з допомогою Європолу, Інтерполу, Євроюсту та влади Андорри.

• Фішингові сайти навчилися розпізнавати віртуальні машини дослідників безпеки

MalwareHunterTeam виявили скрипт, який перевіряє ширину та висоту екрана відвідувача вебсайт та використовує API WebGL для запиту механізму візуалізації, що використовується браузером. Таким чином фішери ускладнюють аналіз їхніх вебсайтів дослідниками безпеки.

• Хакер-підліток на чолі групи, що зламала Твіттер минулого літа, сяде на три роки

Вирок очевидно є певною угодою з правосуддям, бо такі демократичні терміни ув’язнення за кіберзлочини геть непопулярні серед американських прокурорів та суддів.

• Подвійне вимагання грошей – новий стандарт для кібервимагачів

Попри те, що гучні інциденти, такі як атаки на SolarWinds та Microsoft Exchange, стали головними заголовками останніх місяців, загроза вірусів-вимагачів продовжує зростати. І подвійне вимагання викупу – коли зловмисники й шифрують дані жертви, і погрожують їх оприлюднити – стають “новою нормою” в цьому бізнесі.

• Новий вірус XCodeSpy націлений на іOS-розробників та використовує для поширення ланцюг постачання ПЗ

Компанія SentinelOne зазначає, що зловмисний код встановлює backdoor на комп’ютері жертви, через зміну проєкту в Xcode. Вірус зловживає функцією Run Script у Xcode та є підробною копією популярного інструменту з відкритим кодом, який допомагає розробникам із функціями анімації панелі вкладок iOS.

• В бета-версії iOS 14.5 з’явилася можливість встановлювати оновлення безпекиокремо від основних оновлень

Зараз подробиці оновлень безпеки від Apple нам доводиться шукати в нетрях їхнього вебсайту. Сподіваємося, незабаром це стане зручніше.

• Twitter тепер підтримує декілька ключів 2FA для вебзастосунку та мобільних додатків

Twitter планує оновлення, яке дозволить обліковим записам з двофакторною автентифікацією використовувати ключі безпеки як єдиний метод автентифікації. Наразі ви можете використовувати ключ безпеки для входу у свій обліковий запис Twitter, але для резервного входу необхідно ввімкнути додатковий метод 2FA, наприклад, додаток для автентифікації або SMS-код.

• Американське агентство CISA опублікувало новий інструмент виявлення зловмисної активності навколо Solarwinds у вашій інфраструктурі.

Тим часом акції SolarWinds зросли на 35% за останній рік, і це вкотре спростовує тезу

• Департамент Юстиції США звинуватив хакера, що зламав камери компанії Vercada, встановлені у Tesla, Cloudflare, Okta та інших компаніях

Але згідно із судовими документами, опублікованими сьогодні Міністерством юстиції, звинувачення передували хакерській атаці на Vercada і стосуються діяльності швейцарського хактивіста, починаючи з 2019 року. коли він почав шукати в Інтернеті помилково налаштовані репозиторії, що належать великим корпораціям та державним організаціям.

• Тестування на проникнення набрало обертів через віддалену роботу під час пандемії

Через пандемію та локдауни, компанії все більше уваги приділяють тестам на проникнення, адже через віддалену роботу персоналу суттєво збільшилася кількість векторів атаки на організації.

Згідно з опитуванням Core Security, більшість респондентів (39%) проводять пентести один-два рази на рік. Ще 16% заявили, що пентести проводились щокварталу, а відповідно 11%, 9% та 10% респондентів здійснюють певну форму тестування на проникнення щомісяця, щотижня або щодня.

• Tinder дозволить користувачам проводити background check потенційної пари

Це означає, що користувачі Tinder зможуть перевірити кримінальну історію один одного, і це суттєво вплине на успішність користувачів додатку. Компанія Garbo, яка є підрядником Тіндера в цьому напрямку, заявляє, що збирає “публічні записи та повідомлення про насильство та інші порушення, включаючи арешти, судові позови,  домагання та інші насильницькі злочини”.

• LastPass змінив умови використання безплатної версії парольного менеджера, а TheVerge опублікував огляд альтернатив цьому парольному менеджеру
• Тим часом парольний менеджер BitWarden анонсував новий функціонал обміну зашифрованими повідомленням ти файлами.

Вразливості тижня

• Вразливість Universal XSS у плагіні DuckDuckGo для браузера Microsoft Edge

Вразливість була виявлена ​​в браузерному розширенні DuckDuckGo Privacy Essentials, що блокує вебтрекери та пропонує функції приватного перегляду. Вразливість може бути використана на пристроях жертв, дозволяючи виконання довільного коду в будь-якому домені.

• Google продемонстрував віддалений варіант атаки Spectre

Команда безпеки Google створила розширення Chrome під назвою Spectroscope, щоб допомогти інженерам безпеки та веброзробникам захистити свої вебсайти від Spectre.

• Google випустив термінове оновлення для вразливості нульового дня

Вразливість полягає у функції Blink, функції, яку Chrome використовує для перетворення HTML-коду на вебсторінки, і може дозволити зловмиснику виконувати код віддалено або проводити DoS-атаку на машині.

• Вразливість у Microsoft Azure SDK дозволила досліднику додати зловмисний код у список офіційних бібліотек

Supply Chain атаки з нами надовго і ми ще багато разів про них почуємо.

• 15-річна вразливість в ядрі Linux дозволяє отримати root-а

На щастя, вразливий модуль ядра scsi_transport_iscsi не завантажується за замовчуванням.

• Баг у Twitter спричиняв блокування облікового запису, якщо користувач твітнув слово “Memphis”

Рекомендації

• Відкрито реєстрацію на черговий OWASP Zhytomyr Meetup

Подія відбудеться онлайн ввечері 25 березня.

• На Амазоні можна передзамовити нову книжку Practical Hardware Pentesting, що стане доступною 1 квітня

Автора книжки на ім’я Jean-Georges Valle дехто з вас може знати як того відвідувача NoNameCon, який так захопився спілкуванням на afterparty, що був змушений перенести свій авіарейс.

• Відео доповідей топової конференції USENIX Enigma 2021 доступні для вільного перегляду на YouTube
• Відомий хакер та євангеліст правильного OPSEC theGrugq зробив власний онлайн-курс з 14 занять, передзамовити який за пільговою ціною можна за посиланням в нотатках.

Tools & Writeups

• Пост про те, як використовуючи OWASP Nettacker можна виявити вразливі сервери Microsoft Exchange у вашій мережі

Більше про Nettacker ви можете дізнатися з відео Сема Степаняна на нещодавньому мітапі OWASP Kyiv.

• Docker-OSX – інструмент для масового створення віртуальних Хакінтошів

Docker-OSX має можливість генерувати серійні коди для унікальних апаратних засобів MacOS, а його головний розробник, який працює під псевдонімом Sick Codes, нещодавно випустив автономний генератор віртуальних серійних кодів.

Статті та аналітика

• Ще раз про небезпеку SMS, цього разу від Браяна Кребза

Дослідник безпеки під псевдонімом Lucky225 та журналіст Джозефом Коксом з Vice провели експеримент з перехоплення вхідних текстових повідомлень. Lucky225 продемонстрував, що це   реалістичне завдання, яке можна виконати за допомогою наявних у відкритому доступі інструментів та сервісів.

• Нелегальний контент та Blockchain, від Брюса Шнайера

Мережа Akamai повідомила про новий метод захисту ботнетів: використання Блокчейну як платформи для управління шкідливими програмами. Звичайні C&C сервери можуть бути вилучені правоохоронцями, а от з Блокчейном це не працює.

Смі#$%oчки

• Працівники деяких магазинів електроніки майнять криптовалюту на ігрових ноутбуках просто на вітрині