HUP cikkturkáló

2M USD értékű Windows RDP/SMB exploit dump

( toMpEr | 2017. 04. 15., szo – 00:59 )
HUP cikkturkáló

EASYBEE appears to be an MDaemon email server vulnerability
EASYPI is an IBM Lotus Notes exploit
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 to 7.0.2
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor
ETERNALROMANCE is a SMB1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges
EDUCATEDSCHOLAR is a SMB exploit
EMERALDTHREAD is a SMB exploit for Windows XP and Server 2003
EMPHASISMINE is a remote IMAP exploit for IBM Lotus Domino
ENGLISHMANSDENTIST sets Outlook Exchange WebAccess rules to trigger executable code on the client's side to send an email to other users
ERRATICGOPHER is a SMBv1 exploit targeting Windows XP and Server 2003
ETERNALSYNERGY is a SMBv3 remote code execution flaw  for Windows 8 and Server 2012
ETERNALBLUE is a SMBv2 exploit
ETERNALCHAMPION is a SMBv1 exploit
ESKIMOROLL is a Kerberos exploit targeting 2000, 2003, 2008 and 2008 R2 domain controllers
ESTEEMAUDIT is an RDP exploit and backdoor for Windows Server 2003
ECLIPSEDWING is an RCE exploit for the Server service in Windows Server 2008 and later
ETRE is an exploit for IMail 8.10 to 8.22
FUZZBUNCH is an exploit framework, similar to MetaSploit
EquationGroup had scripts that could scrape Oracle databases for SWIFT data
ODDJOB is an implant builder and C&C server that can deliver exploits for Windows 2000 and later
Metadata [possibly faked, possibly real] links NSA to Equation Group
NSA used TrueCrypt for storing operation notes
Some of the Windows exploits released today were undetectable on VirusTotal
Some EquationGroup humor in the oddjob instructions manual
JEEPFLEA_MARKET appears to be an operation for collecting data from several banks around the world
The Equation Group targeted EastNets, a SWIFT connectivity provider

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-n…
https://motherboard.vice.com/en_us/article/leaked-nsa-hacking-tools-wer…
Windows Server verzio stat: https://www.computerprofile.com/wp-content/uploads/2016/07/Penetration-…

Hackerek egy egész bankot elloptak Brazíliában

( Charybdis | 2017. 04. 06., cs – 09:55 )
HUP cikkturkáló

Itt olvastam: http://index.hu/tech/2017/04/06/hekkerek_egy_egesz_bankot_elloptak_braz…

Elvileg a brazil root névszervert törték fel, vagy fértek hozzá valahogyan egy munkatárs segítségével. De ha lehet ilyet, akkor így nem túl biztonságos a DNS rendszer.

Hiszen ha valaki hozzáfér a root névszerverhez és át tudja írni az adatokat, akkor hiába bármilyen biztonságos a weboldal, webes alkalmazás.

Ilyen kritikus rendszert minimum kettős azonosítással kéne védeni, pl. jelszó mellett legalább egyszeri SMS kód legyen, de inkább token. Illetve ha valaki kézzel át tudja írni az adatbázist, akkor legalább 2 embernek kelljen azt jóváhagynia. Mert így ha lefizetnek 1 embert, akkor akár a Google domaint is el tudná irányítani elvileg.

Remélem nem csak egy sima felhasználónév, jelszó kell a root névszerver hozzáféréshez. Mert akkor ha az adott rendszergazda ugyanazt a jelszót megadja egy fórumra, feltörik azt a fórumot, utána már elég megpróbálni azt a jelszót a root névszerver belépéshez és máris bent vannak. Ennél azért remélem robosztusabb a rendszer, elvégre az egész internet erre épül.

iOS & Android: Over The Air remote code execution

( toMpEr | 2017. 04. 05., sze – 15:58 )
HUP cikkturkáló

The vulnerability was described as the stack buffer overflow issue and was discovered by Google's Project Zero staffer Gal Beniamini, who today detailed his research on a lengthy blog post, saying the flaw affects not only Apple but all those devices using Broadcom's Wi-Fi stack.

The researcher also detailed a proof-of-concept Wi-Fi remote code execution exploit in the blog post and successfully performed it on a then-fully updated (now fixed) Nexus 6P, running Android 7.1.1 version NUF26K – the latest available Nexus device at the time of testing in February.

The flaw is one of the several vulnerabilities discovered by Beniamini in the firmware version 6.37.34.40 of Broadcom Wi-Fi chips.

http://thehackernews.com/2017/04/broadcom-wifi-hack.html
https://googleprojectzero.blogspot.hu/2017/04/over-air-exploiting-broad…

Elindult az első magyar Kibernyomozó Iroda

( Hubman | 2017. 04. 02., v – 07:55 )
HUP cikkturkáló

A kibernyomozó számtalan területen tud segítséget nyújtani, legyen szó akár magánszemélyről, akár vállalatról. Mindenkivel előfordult már, hogy zaklatták az interneten, rosszindulatú hackertámadás áldozata lett, vagy ha éppen cégvezető, akkor érzékeny üzleti dokumentumokat tulajdonítottak el, esetleg megpróbálták zsarolni vagy más jellegű támadás érte. Sajnos egyre több embert és céget érintenek ilyen és ehhez hasonló támadások, és a legtöbben nem tudnak hatékony válaszlépéseket adni, emiatt súlyos anyagi, erkölcsi károk érik őket.

A teljes cikk itt olvasható.

A nap sztorija: Panasz érte a Firefoxot, mert nem biztonságosnak jelölte a HTTP-s logint

( Névtelen (nem ellenőrzött) | 2017. 03. 21., k – 08:43 )
HUP cikkturkáló

Nagyon szórakoztató történet kerekedett egy hibajelentésből, amit a Mozilla felé intézett valaki az Oil and Gas International-tól. A jelentés írója megkérdőjelezhető hangnemben kéri számon a Mozillától, hogy miért figyelmezteti kérletlenül a felhasználóit a http feletti login veszélyeire, mondván hogy nekik egy tökéletes biztonsági rendszerük van, ami több mint 15 éve bizonyít.

Az eredeti hibajegy, ami azóta nem érhető el így szól:

Your notice of insecure password and/or log-in automatically appearing on the log-in for my website, Oil and Gas International is not wanted and was put there without our permission. Please remove it immediately. We have our own security system and it has never been breached in more than 15 years. Your notice is causing concern by our subscribers and is detrimental to our business.

(hibajegy mirror itt, css nem tölt be, emiatt a sorok vége nem látszik)

A saját kis biztonsági rendszerük egyébként plaintextben tárol jelszót, https nélkül kezel bankkártya adatokat, és a fejlesztők úgy látszik az sql injection-ről sem hallottak. Azóta úgy tűnik a felhasználók táblát törölték is. Természetesen ftp és mssql adatbázis is elérhető kintről.

Érdemes beleolvasgatni ebbe a reddit szálba is, ahol alaposabban boncolgatják a témát:
https://np.reddit.com/r/programming/comments/60jc69/company_with_an_htt…

Firefox 52: hogyan használjuk tovább a pluginokat

( cz | 2017. 03. 17., p – 15:02 )
HUP cikkturkáló

A Firefox 52-es verziója a Mozilla Firefoxnak az első olyan böngésző verziója ami már nem támogatja a NPAPI pluginokat.

Ez egy jó lépés mert az NPAPI már borzasztóan elavult technológia (több mint 20 éves, sőt) és ami bónuszokat a Flash, Silverlight és a Java kínáltak azt már rég ellensúlyozták a bennük rejlő biztonsági hibák. Az Adobe Flash-t az jelenleg továbbra is használható. Minden más bővítmények pl: Silverlight, Java és a többiek ezáltal a nem támogatott listára kerültek.

Ezzel a Firefox lett az utolsó nagy asztali böngésző aki befejezi az NPAPI pluginok támogatását. Google ezt a lépést a Chrome 45-ös verziójával már 2015. szeptember elsején megtette. Viszont még vannak olyan weboldalak ahol még mindig fontos szerepet játszanak a Java plug-inek. Addig is amíg átirják ezeket addig is bizonyos oldalakat azért jó lenne használni.:D

Ha szeretnénk hogy a Java, Silverlight és a többi NPAPI bővítmény a Firefox 52-es verziójával újra használható legyen akkor arra jelenleg van egy workaround. Ezt az about:config beállítások használatával lehet kieszközölni. Létre kell hozni egy új Boolean string-et "plugin.load_flash_only" néven és az értékét false-re kell állítsa. Ezután újra kell indítani a böngészőt. Viszont ezzel a megoldással csak csatát nyerünk háborút azt nem mert az 53-as verzióban ez a kiskapu is meg fog szűnni. A hosszabb távú megoldáshoz át kell állni a Firefox ESR (Extended Support Release) verzióra mert abban elvileg a jövő évig támogatott lesz.

Pwn2Own day1: Edge, Safari, Adobe Reader, Ubuntu

( toMpEr | 2017. 03. 16., cs – 22:59 )
HUP cikkturkáló

Hackers combined the heap overflow with a Windows kernel information leak and a remote code execution vulnerability in the Windows kernel to earn $50,000.

The attack would be the first of two to be carried out against Reader on the day. Later in the afternoon hackers working with Tencent Security used an info leak bug and a use-after-free bug to achieve code execution. They followed that up with leveraging another use-after-free in the kernel to gain SYSTEM-level privileges, earning $25K.

Another group of hackers working with Tencent, Team Ether, broke Microsoft Edge earlier in the day. The bug they found earned the group the largest payout of the day, $80,000 and was tied to an arbitrary write in Chakra core and a logic bug that escaped the sandbox.

The Linux bug was a heap out-of-bound access bug in the Linux kernel which earned the group $15,000.

The Safari bug was a little more involved. The group had to chain together six different bugs, including an information disclosure in Safari, four different type confusion bugs in the browser, and a use-after-free in WindowServer – a component that manages requests between OS X apps and the machine’s graphics hardware – to carry it out. The group was able to achieve root access on macOS through the exploit and earn $35,000.

Two groups withdrew attacks planned against Windows and Edge on Wednesday, mounting speculation over whether Microsoft’s delayed Patch Tuesday updates broke attack vectors the entrants were planning on using.

Given the large number of entrants – 17 – the competition’s sponsors, Trend Micro and Zero Day Initiative, are splitting Pwn2Own’s second day into two tracks. Attacks against Mozilla’s Firefox, both Microsoft Windows and Edge, Apple’s macOS and Safari, and Adobe Flash are on tap for Thursday.

https://threatpost.com/hackers-take-down-reader-safari-edge-ubuntu-linu…

Feliratkozás a következőre: HUP cikkturkáló