Большой отчет Microsoft о том, какие проблемы привели к взлому китайскими хакерами большого количества правительственных имейлов. Если я все правильно понял, то вкрации ситуация такая:
внутренняя система Microsoft, которая отвечала за подписывание токенов, упала, а баг в генераторе дампов привел к. тому, что в дамп попал секретный ключ. Вторичная система проверки дампов не смогла определить наличие чувствительных данных в дампе, и перенесла его в корпоративную сеть из изолированной. параллельно китайские хакеры скомпроментировали учетку разработчика Microsoft, и получили доступ к дампу, в котором они и обнаружили ключ для подписывания токенов. Более того, они смогли также проэксплуатировать отдельный баг, чтобы получить возможность подписи корпоративных токенов. Огонь просто огонь.
Жду от конспирологов теории о том, как китайское правительство заставило сотрудников Microsoft допустить такую цепочку багов для того, чтобы получить доступ к данным правительства США.
https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/
кстати, пока я отсутствовал, там вышел апдейт Chrome, и, судя по комментариям, с него лучше съезжать тем, кто им активно пользуется. Гугл выкатила в апдейте рекламную платформу с ироническим названием Privacy Sandbox, которая будет следить за всеми страницами, которые посещают пользователи, и генерить список рекламных тем, и передавать их страницам, которые посещают пользователи.
https://privacysandbox.com/news/privacy-sandbox-for-the-web-reaches-general-availability
https://www.bleepingcomputer.com/news/google/google-rolls-out-privacy-sandbox-to-use-chrome-browsing-history-for-ads/
Страшный zero day в iOS/iPadOS/macOS, который починила Apple в последних апдейтах - уязвимость эксплуатировалась шпионским ПО Pegasus.
https://support.apple.com/en-us/HT213905
редакция канала будет отсутствовать ближайшую неделю или около того, не сломайте интернет тут без меня. ну или сломайте.
Читать полностью…фейковое приложение Signal в Google Play
https://www.forbes.com/sites/thomasbrewster/2023/08/30/malicious-signal-app-planted-on-google-play-by-china-linked-cyber-spies/
The National Science Foundation's National Optical-Infrared Astronomy Research Laboratory, or NOIRLab, reported that a cybersecurity incident that occurred on Aug. 1 has prompted the lab to temporarily halt operations at its Gemini North Telescope in Hawaii and Gemini South Telescope in Chile. Other, smaller telescopes on Cerro Tololo in Chile were also affected.
https://www.space.com/noirlab-gemini-north-south-telescopes-hacked-cybersecurity
https://www.coindesk.com/policy/2023/08/25/ftx-blockfis-customer-data-compromised-in-kroll-hack/
Читать полностью…если вы вдруг пользуетесь WinRAR, вам надо поставить апдейт, в котором исправлена критическая уязвимость
https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=232&cHash=c5bf79590657e32554c6683296a8e8aa
отчет об уязвимости, которую эксплуатировали с апреля, с прицелом на занимающихся криптоторговлей
https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/
Прикольный дивайс, который прикидывается другими устройствами Apple, чтобы обмануть пользователя и заставить ввести пароль от apple id.
https://techcrunch.com/2023/08/16/this-70-device-can-spoof-an-apple-device-and-trick-you-into-sharing-your-password/
jb0x168/110879394826675242" rel="nofollow">https://infosec.exchange/@jb0x168/110879394826675242
Анализ утекшего исходного кода Яндекса на предмет собираемых пользовательских данных
Conclusion
The AppMetrica SDKs give Yandex a very broad international reach of data subjects and Yandex has been evasive and misleading about how that data is used. While the data points collected up front are fairly disturbing, that data can say so much more about you when it’s matched and analyzed with other pre-existing data a company already has access to. Yandex makes a few gestures towards anonymization but they are ineffective because hashing isn’t used consistently, and more importantly they collect data that could easily re-identify a user and make sure it is all firmly associated (they refer to it as glueing) through a chain of ids and segments.
The matcher process is clear evidence that at least some of the data collected by Yandex could be synced with Russian state owned entities. Yandex also appears to be very, very close to becoming state controlled or nationalized, and it is about to be required to share international user data from its taxi services with the FSB.
If your company runs an app, pay attention to who runs your SDKs, what data points they may collect and where they are sending your users’ data. Yandex claimed it gets consent through the apps and that it only gets the data app developers choose to send it, throwing the blame right at its partners' doorsteps.
If you are a consumer, know that nothing is guaranteed to stay harmless forever. Maybe you trust this app with your data now, but how will you feel when that app gets sold to a company you don’t trust? Or if that company is headquartered in a country that becomes hostile to yours? Or its government starts making concerning demands to turn over user data? In theory you should be able to take your data back if you live in a jurisdiction that requires companies to respect data deletion requests, but the insights derived from that data might be considered that company's work product and not included in that deletion. In the case of the AppMetrica SDKs, you might not even realize a company has your data because they are quietly embedded in another company's app.
As a former executive pointed out, Yandex got itself into a situation where the Russian state gamed the News algorithms until it was effectively 70% state sponsored propaganda, because they built a tool without considering the risk of how it could be abused by the Russian government. That is how we should think about Yandex's ad tech ecosystem. Yandex built a massive system of data collection and analysis, that commingles Russian and international user data, and it is very likely about to be handed to the Kremlin on a silver platter. The Russian government could do a lot of harm with it. In 2019, Yandex turned over taxi data that "helped the authorities fabricate a criminal case" against a Meduza journalist and revealed a confidential office location. Is improving ad targeting and personalized user experiences really worth the risk of building tools that could be exploited in this way?
Оригинал
https://www.confiant.com/news/the-yandex-leak-how-a-russian-search-giant-uses-consumer-data
Пересказ на русском
https://roskomsvoboda.org/post/yandex-sbor-mnozhestva-dannyh/
Исследовательский документ о создании ML модели, которая обучается на звуках клавиатуры, и потом с вероятностью 95% может определить набираемый на ней текст (93%, если обучаться на звуках через сессию zoom). Жить не страшно, а очень страшно
https://arxiv.org/pdf/2308.01074.pdf
у Microsoft вчера был Patch Tuesday для августа, 87 фиксов уязвимостей, включая две, которые активно эксплуатировались, и 23 RCE.
https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug
ADV230003 - Microsoft Office Defense in Depth Update (publicly disclosed)
Microsoft has released an Office Defense in Depth update to fix a patch bypass of the previously mitigated and actively exploited CVE-2023-36884 remote code execution flaw.
The CVE-2023-36884 flaw allowed threat actors to create specially crafted Microsoft Office documents that could bypass the Mark of the Web (MoTW) security feature, causing files to be opened without displaying a security warning and perform remote code execution.
The vulnerability was actively exploited by the RomCom hacking group, who was previously known to deploy the Industrial Spy ransomware in attacks. The ransomware operation has since rebranded as 'Underground,' under which they continue to extort victims.
The flaw was discovered by Paul Rascagneres and tlansec">Tom Lancaster with Volexity.
CVE-2023-38180 - .NET and Visual Studio Denial of Service Vulnerability
Microsoft has fixed an actively exploited vulnerability that can cause a DoS attack on .NET applications and Visual Studio.
Unfortunately, Microsoft did not share any additional details on how this flaw was used in attacks and did not disclose who discovered the vulnerability.
Zoom модифицировали свое пользовательское соглашение, добавив туда пункт, что теперь контент звонков может использоваться для обучения генеративных сетей. Без возможности отказаться от этого.
https://explore.zoom.us/en/terms/
§10.4(ii): 10.4 Customer License Grant. You agree to grant and hereby grant Zoom a perpetual, worldwide, non-exclusive, royalty-free, sublicensable, and transferable license and all other rights required or necessary to redistribute, publish, import, access, use, store, transmit, review, disclose, preserve, extract, modify, reproduce, share, use, display, copy, distribute, translate, transcribe, create derivative works, and process Customer Content and to perform all acts with respect to the Customer Content:(ii) for the purpose of product and service development, marketing, analytics, quality assurance, machine learning, artificial intelligence, training, testing, improvement of the Services, Software, or Zoom’s other products, services, and software, or any combination thereof
Oh no!
CVE-2023-4863!
WebP!
Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari!
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/#CVE-2023-4863
и тд.
Эксперты проверили дампы с устройств Тимченко. На сленге сотрудников Access Now и Citizen Lab такая диагностика называется «экспресс-тестом на ковид». Результаты пришли действительно быстро. Выяснилось, что 10 февраля 2023 года смартфон издателя «Медузы» заразили шпионской программой Pegasus, которая дает хакеру доступ к звуку, камере и памяти айфона, в который вставлена сим-карта. Таким образом, неизвестные могли получить доступ к полному содержимому телефона, включая домашний адрес, расписание встреч, фотографии и даже переписку в зашифрованных мессенджерах: Pegasus позволяет читать сообщения прямо с экрана, пока они пишутся, — или просто выкачать каждое сообщение, изображение или электронное письмо.
https://meduza.io/feature/2023/09/13/my-vse-ispugalis-no-delali-vid-chto-net
также отчет AccessNow о расследовании взлома
https://www.accessnow.org/press-release/exiled-russian-media-pegasus/
Some customers of the network security company LogicMonitor have been hacked due to the use of default passwords
Lol
https://techcrunch.com/2023/08/31/logicmonitor-customers-hit-by-hackers-because-of-default-passwords/
в популярном расширении для Wordpress обнаружена уязвимость, связанная с манипуляциями токеном, позволяющая хакерам получить доступ к информации на сайте
https://patchstack.com/articles/pre-auth-access-token-manipulation-in-all-in-one-wp-migration-extensions/
рассказ о том, как ФБР и правоохранительные органы других стран добрались до ботнета Qakbot, и не только получили контроль над инфраструктурой, но и смогли провести деинсталяцию уже установленного вредоносного ПО на компьютерах жертв.
https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/
https://www.404media.co/the-secret-weapon-hackers-can-use-to-dox-nearly-anyone-in-america-for-15-tlo-usinfosearch-transunion/
On the messaging app Telegram, I entered a tiny amount of information about my target into the dark blue text box—their name and the state I believed they lived in—and pressed enter. A short while later, the bot spat out a file containing every address that person had ever lived at in the U.S., all the way back to their college dorm more than a decade earlier. The file included the names and birth years of their relatives. It listed the target’s mobile phone numbers and provider, as well as personal email addresses. Finally, the file contained information from their drivers’ license, including its unique identification number. All of that data cost $15 in Bitcoin. The bot sometimes offers the Social Security number too for $20.
а вот хорошая коллекция данных о взломе MOVEit.
TL;DR 60 миллионов утекших записей индивидуальных пользователей, на 84% — жертвы в США.
https://techcrunch.com/2023/08/25/moveit-mass-hack-by-the-numbers/
в канале дебютирует корейский язык! С историей про китайские шпионские чипы в приборах, которые использует Корейское метеорологическое агентство для мониторинга погоды. Утверждается, что “вредоносный код” на самом деле является чипом, который слушает окружающие радиочастоты. Разведка Южной Кореи ведет расследование!
https://news.kbs.co.kr/news/view.do?ncd=7754114&utm_source=substack&utm_medium=email
https://www.ichannela.com/news/main/news_detailPage.do?publishId=000000363086&utm_source=substack&utm_medium=email
https://www.ichannela.com/news/main/news_detailPage.do?publishId=000000363087&utm_source=substack&utm_medium=email
https://blog.aquasec.com/powerhell-active-flaws-in-powershell-gallery-expose-users-to-attacks
Читать полностью…Товарищ майор сегодня радует прямо с утра: в МВД решили не мелочиться и разработали законопроект, отменяющий тайну переписки. Если закон будет принят (а почему бы и нет?), то любое общение в интернете и информация о подключениях, сможет стать объектом для оперативно-розыскной деятельности и быть отслежено удаленно через облачные хранилища, дата-центры и т.д. в режиме реального времени. Решение суда для подобного сканирования граждан можно получить уже после того, как о вас всё узнают заинтересованные лица. И презумпцию невиновности тоже сразу сносят, чтобы два раза не вставать
Читать полностью…https://www.axios.com/2023/08/14/def-con-hackers-generative-ai-threats-white-house
Читать полностью…Microsoft, чьими продуктами продолжают пользоваться 70-90% корпоративных клиентов в России, сообщила, что лицензии на продукты и решения компании будут действовать до конца сентября и продлить их больше не выйдет. Невозможность получать обновления снизит общую безопасность корпоративных сетей и послужит большим стимулом для пиратов активизировать свою работу, говорят эксперты. По их словам, «бесшовно» перейти на российские аналоги не получится: пользователям придется привыкать к новым интерфейсам приложений и ОС, перестраивать бизнес-процессы, а IT-специалистам — собирать новую параллельную инфраструктуру из российских решений
https://www.forbes.ru/tekhnologii/494299-zakolocennye-okna-kakie-problemy-vyzovet-otkaz-microsoft-prodlevat-licenzii
Две уязвимости в VPN приложениях, которые затрагивают практически все существующие клиенты. Впрочем, в некоторых странах, где активно блокируют VPN, это не так актуально, конечно.
https://tunnelcrack.mathyvanhoef.com
и еще про уязвимости — статья на Ars о летних zero days, которых очень много и у всех.
https://arstechnica.com/security/2023/08/bug-squashing-summer-a-months-worth-of-0-day-fixes-among-tech-giants/