HUP cikkturkáló

Keylogger found in Hewlett-Packard Audio Driver [CVE-2017-8360]

( toMpEr | 2017. 05. 11., cs – 13:01 )
HUP cikkturkáló

Conexant's MicTray64.exe is installed with the Conexant audio driver package and registered as a Microsoft Scheduled Task to run after each user login.
The most recent version 1.0.0.46 implements the logging of all keystrokes into the publicly for any user readable file C:\Users\Public\MicTray.log.

https://www.modzero.ch/modlog/archives/2017/05/11/en_keylogger_in_hewle…
https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt

* HARDWARE PRODUCT MODEL(S):
HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC

Rclone mount Windowson

( Vamp | 2017. 05. 10., sze – 13:09 )
HUP cikkturkáló

Az Rclone egy egész jó Cloud backup/sync app, nagyon sok szolgáltatóval, illetve beépitett titkositással, ami Linuxon már elég régóta rendelkezik mount opcióval.

Pár napja viszont lehetőség van Windows alatt is a mount-ra, WinFsp segitségével.

Itt olvashattok a WinFsp megoldásáról, ami implementál Windows alapokon egy FUSE-hoz hasonló fájlrendszert: https://github.com/billziss-gh/winfsp

Ugye ezt a Dokany is tudja, de a WinFsp tapasztalok szerint sokkal gyorsabb és sokkal "lightwight"-abb, mint a Dokany: https://github.com/billziss-gh/winfsp/wiki/WinFsp-Performance-Testing

A legfrissebb Rclone WinFsp mount opcióval innen letölthető: https://github.com/ncw/rclone/files/986787/rclone-v1.36-66-g2cb5a60-cmo… (Itt pedig a téma, ahol a fejlesztés menetét nyomon lehet követni: https://github.com/ncw/rclone/issues/1018)

Win 7, 8, 10, Server Critical Remote Code Execution (CVE-2017-0290)

( toMpEr | 2017. 05. 09., k – 03:17 )
HUP cikkturkáló

> @taviso: I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. - via

MsMpEng is the Malware Protection service that is enabled by default on Windows 8, 8.1, 10, Windows Server 2012, and so on. It runs as NT AUTHORITY\SYSTEM without sandboxing, and is remotely accessible without authentication via various Windows services.

On workstations, attackers can access mpengine by sending emails to users (reading the email or opening attachments is not necessary), visiting links in a web browser, instant messaging and so on.

We have discovered that the function JsDelegateObject_Error::toString() reads the "message" property from the this object, but fails to validate the type of the property before passing it to JsRuntimeState::triggerShortStrEvent().

NScript is the component of mpengine that evaluates any filesystem or network activity that looks like JavaScript. To be clear, this is an unsandboxed and highly privileged JavaScript interpreter that is used to evaluate untrusted code, by default on all modern Windows systems. This is as surprising as it sounds.

https://bugs.chromium.org/p/project-zero/issues/detail?id=1252
https://technet.microsoft.com/en-us/library/security/4022344

Jön a Windows 10 iskolai változata és a hozzá készült hardverek

( bandy | 2017. 05. 02., k – 21:20 )
HUP cikkturkáló

A Microsoft válasza a ChromeOS-re: Windows 10 S

Az első Windows 10 S-t futtató eszközök a idén nyáron kerülnek a boltokba, melyek ára 189 dollárról indul - tehát a következő tanévre már a diákok is használhatják!
Az iskolák pedig ingyenesen letölthetik és használhatják régebbi eszközeiken. A csomaghoz jár egy Office 365 is ingyenes licensz, ami mind a tanárok, mind a diákok számára elérhető, valamint belekerült egy MineCraft:Education Edition egyéves előfizetés is.

Bővebben:
https://techcrunch.com/2017/05/02/windows-10-s-laptops-will-start-at-18…

„Figyeljék a kezemet, mert csalok!” - avagy a titkosítás hamis illúziója

( Hubman | 2017. 04. 25., k – 07:52 )
HUP cikkturkáló

Napjainkban a magánélet online védelme, a titkosítás szerepe még jobban kiemelt jelentőségű lett. Az egyre gyakoribb, határokon átívelő terrorizmus, a terroristák által is előszeretettel használt titkosított alkalmazások folyamatos kihívások elé állítják a nemzetbiztonsági szolgálatokat. Az állampolgárok magánéletének védelmét elősegítő titkosított alkalmazások és ezek rosszindulatú felhasználása komoly szakmai, politikai szintű kérdéseket ütköztet. A különböző szolgálatok célja, hogy minél több embert és eszközt folyamatos ellenőrzés alatt tudjanak tartani, ezzel is csökkentve, megelőzve a lehetséges terroristajellegű támadásokat.

A teljes cikk itt olvasható.

2M USD értékű Windows RDP/SMB exploit dump

( toMpEr | 2017. 04. 15., szo – 00:59 )
HUP cikkturkáló

EASYBEE appears to be an MDaemon email server vulnerability
EASYPI is an IBM Lotus Notes exploit
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 to 7.0.2
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor
ETERNALROMANCE is a SMB1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges
EDUCATEDSCHOLAR is a SMB exploit
EMERALDTHREAD is a SMB exploit for Windows XP and Server 2003
EMPHASISMINE is a remote IMAP exploit for IBM Lotus Domino
ENGLISHMANSDENTIST sets Outlook Exchange WebAccess rules to trigger executable code on the client's side to send an email to other users
ERRATICGOPHER is a SMBv1 exploit targeting Windows XP and Server 2003
ETERNALSYNERGY is a SMBv3 remote code execution flaw  for Windows 8 and Server 2012
ETERNALBLUE is a SMBv2 exploit
ETERNALCHAMPION is a SMBv1 exploit
ESKIMOROLL is a Kerberos exploit targeting 2000, 2003, 2008 and 2008 R2 domain controllers
ESTEEMAUDIT is an RDP exploit and backdoor for Windows Server 2003
ECLIPSEDWING is an RCE exploit for the Server service in Windows Server 2008 and later
ETRE is an exploit for IMail 8.10 to 8.22
FUZZBUNCH is an exploit framework, similar to MetaSploit
EquationGroup had scripts that could scrape Oracle databases for SWIFT data
ODDJOB is an implant builder and C&C server that can deliver exploits for Windows 2000 and later
Metadata [possibly faked, possibly real] links NSA to Equation Group
NSA used TrueCrypt for storing operation notes
Some of the Windows exploits released today were undetectable on VirusTotal
Some EquationGroup humor in the oddjob instructions manual
JEEPFLEA_MARKET appears to be an operation for collecting data from several banks around the world
The Equation Group targeted EastNets, a SWIFT connectivity provider

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-n…
https://motherboard.vice.com/en_us/article/leaked-nsa-hacking-tools-wer…
Windows Server verzio stat: https://www.computerprofile.com/wp-content/uploads/2016/07/Penetration-…

Feliratkozás a következőre: HUP cikkturkáló