HUP cikkturkáló

Itt olvastam: http://index.hu/tech/2017/04/06/hekkerek_egy_egesz_bankot_elloptak_braz…

Elvileg a brazil root névszervert törték fel, vagy fértek hozzá valahogyan egy munkatárs segítségével. De ha lehet ilyet, akkor így nem túl biztonságos a DNS rendszer.

Hiszen ha valaki hozzáfér a root névszerverhez és át tudja írni az adatokat, akkor hiába bármilyen biztonságos a weboldal, webes alkalmazás.

Ilyen kritikus rendszert minimum kettős azonosítással kéne védeni, pl. jelszó mellett legalább egyszeri SMS kód legyen, de inkább token. Illetve ha valaki kézzel át tudja írni az adatbázist, akkor legalább 2 embernek kelljen azt jóváhagynia. Mert így ha lefizetnek 1 embert, akkor akár a Google domaint is el tudná irányítani elvileg.

Remélem nem csak egy sima felhasználónév, jelszó kell a root névszerver hozzáféréshez. Mert akkor ha az adott rendszergazda ugyanazt a jelszót megadja egy fórumra, feltörik azt a fórumot, utána már elég megpróbálni azt a jelszót a root névszerver belépéshez és máris bent vannak. Ennél azért remélem robosztusabb a rendszer, elvégre az egész internet erre épül.

The vulnerability was described as the stack buffer overflow issue and was discovered by Google's Project Zero staffer Gal Beniamini, who today detailed his research on a lengthy blog post, saying the flaw affects not only Apple but all those devices using Broadcom's Wi-Fi stack.

The researcher also detailed a proof-of-concept Wi-Fi remote code execution exploit in the blog post and successfully performed it on a then-fully updated (now fixed) Nexus 6P, running Android 7.1.1 version NUF26K – the latest available Nexus device at the time of testing in February.

The flaw is one of the several vulnerabilities discovered by Beniamini in the firmware version 6.37.34.40 of Broadcom Wi-Fi chips.

http://thehackernews.com/2017/04/broadcom-wifi-hack.html
https://googleprojectzero.blogspot.hu/2017/04/over-air-exploiting-broad…

A kibernyomozó számtalan területen tud segítséget nyújtani, legyen szó akár magánszemélyről, akár vállalatról. Mindenkivel előfordult már, hogy zaklatták az interneten, rosszindulatú hackertámadás áldozata lett, vagy ha éppen cégvezető, akkor érzékeny üzleti dokumentumokat tulajdonítottak el, esetleg megpróbálták zsarolni vagy más jellegű támadás érte. Sajnos egyre több embert és céget érintenek ilyen és ehhez hasonló támadások, és a legtöbben nem tudnak hatékony válaszlépéseket adni, emiatt súlyos anyagi, erkölcsi károk érik őket.

A teljes cikk itt olvasható.

http://www.zutalabs.com/

https://www.youtube.com/watch?v=h4ba5ommDa4

Nagyon szórakoztató történet kerekedett egy hibajelentésből, amit a Mozilla felé intézett valaki az Oil and Gas International-tól. A jelentés írója megkérdőjelezhető hangnemben kéri számon a Mozillától, hogy miért figyelmezteti kérletlenül a felhasználóit a http feletti login veszélyeire, mondván hogy nekik egy tökéletes biztonsági rendszerük van, ami több mint 15 éve bizonyít.

Az eredeti hibajegy, ami azóta nem érhető el így szól:

Your notice of insecure password and/or log-in automatically appearing on the log-in for my website, Oil and Gas International is not wanted and was put there without our permission. Please remove it immediately. We have our own security system and it has never been breached in more than 15 years. Your notice is causing concern by our subscribers and is detrimental to our business.

(hibajegy mirror itt, css nem tölt be, emiatt a sorok vége nem látszik)

A saját kis biztonsági rendszerük egyébként plaintextben tárol jelszót, https nélkül kezel bankkártya adatokat, és a fejlesztők úgy látszik az sql injection-ről sem hallottak. Azóta úgy tűnik a felhasználók táblát törölték is. Természetesen ftp és mssql adatbázis is elérhető kintről.

Érdemes beleolvasgatni ebbe a reddit szálba is, ahol alaposabban boncolgatják a témát:
https://np.reddit.com/r/programming/comments/60jc69/company_with_an_htt…

A Firefox 52-es verziója a Mozilla Firefoxnak az első olyan böngésző verziója ami már nem támogatja a NPAPI pluginokat.

Ez egy jó lépés mert az NPAPI már borzasztóan elavult technológia (több mint 20 éves, sőt) és ami bónuszokat a Flash, Silverlight és a Java kínáltak azt már rég ellensúlyozták a bennük rejlő biztonsági hibák. Az Adobe Flash-t az jelenleg továbbra is használható. Minden más bővítmények pl: Silverlight, Java és a többiek ezáltal a nem támogatott listára kerültek.

Ezzel a Firefox lett az utolsó nagy asztali böngésző aki befejezi az NPAPI pluginok támogatását. Google ezt a lépést a Chrome 45-ös verziójával már 2015. szeptember elsején megtette. Viszont még vannak olyan weboldalak ahol még mindig fontos szerepet játszanak a Java plug-inek. Addig is amíg átirják ezeket addig is bizonyos oldalakat azért jó lenne használni.:D

Ha szeretnénk hogy a Java, Silverlight és a többi NPAPI bővítmény a Firefox 52-es verziójával újra használható legyen akkor arra jelenleg van egy workaround. Ezt az about:config beállítások használatával lehet kieszközölni. Létre kell hozni egy új Boolean string-et "plugin.load_flash_only" néven és az értékét false-re kell állítsa. Ezután újra kell indítani a böngészőt. Viszont ezzel a megoldással csak csatát nyerünk háborút azt nem mert az 53-as verzióban ez a kiskapu is meg fog szűnni. A hosszabb távú megoldáshoz át kell állni a Firefox ESR (Extended Support Release) verzióra mert abban elvileg a jövő évig támogatott lesz.

Hackers combined the heap overflow with a Windows kernel information leak and a remote code execution vulnerability in the Windows kernel to earn $50,000.

The attack would be the first of two to be carried out against Reader on the day. Later in the afternoon hackers working with Tencent Security used an info leak bug and a use-after-free bug to achieve code execution. They followed that up with leveraging another use-after-free in the kernel to gain SYSTEM-level privileges, earning $25K.

Another group of hackers working with Tencent, Team Ether, broke Microsoft Edge earlier in the day. The bug they found earned the group the largest payout of the day, $80,000 and was tied to an arbitrary write in Chakra core and a logic bug that escaped the sandbox.

The Linux bug was a heap out-of-bound access bug in the Linux kernel which earned the group $15,000.

The Safari bug was a little more involved. The group had to chain together six different bugs, including an information disclosure in Safari, four different type confusion bugs in the browser, and a use-after-free in WindowServer – a component that manages requests between OS X apps and the machine’s graphics hardware – to carry it out. The group was able to achieve root access on macOS through the exploit and earn $35,000.

Two groups withdrew attacks planned against Windows and Edge on Wednesday, mounting speculation over whether Microsoft’s delayed Patch Tuesday updates broke attack vectors the entrants were planning on using.

Given the large number of entrants – 17 – the competition’s sponsors, Trend Micro and Zero Day Initiative, are splitting Pwn2Own’s second day into two tracks. Attacks against Mozilla’s Firefox, both Microsoft Windows and Edge, Apple’s macOS and Safari, and Adobe Flash are on tap for Thursday.

https://threatpost.com/hackers-take-down-reader-safari-edge-ubuntu-linu…

The malicious apps were not part of the official ROM supplied by the vendor, and were added somewhere along the supply chain. Six of the malware instances were added by a malicious actor to the device’s ROM using system privileges, meaning they couldn’t be removed by the user and the device had to be re-flashed.

Most of the malware found to be pre-installed on the devices were info-stealers and rough ad networks, and one of them was Slocker, a mobile ransomware. Slocker uses the AES encryption algorithm to encrypt all files on the device and demand ransom in return for their decryption key. Slocker uses Tor for its C&C communications.

Galaxy Note 2
LG G4
Galaxy S7
Galaxy S4
Galaxy Note 4
Galaxy Note 5
Galaxy Note 8
Xiaomi Mi 4i
Galaxy A5
ZTE x500
Galaxy Note 3
Galaxy Note Edge
Galaxy Tab S2
Galaxy Tab 2
Oppo N3
Vivo X6 plus
Nexus 5
Nexus 5X
Asus Zenfone 2
LenovoS90
OppoR7 plus
Xiaomi Redmi
Lenovo A850

The malware backdoor offers its operator unrestricted access to these infected devices, from downloading, installing and activating Android malicious apps, deleting user data, uninstalling security software and disabling system apps, to dialing premium phone numbers.

http://thehackernews.com/2017/03/android-malware-apps.html
http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mo…

Erről még semmi hír itt?

https://wikileaks.org/ciav7p1/

Today, Tuesday 7 March 2017, WikiLeaks begins its new series of leaks on the U.S. Central Intelligence Agency. Code-named "Vault 7" by WikiLeaks, it is the largest ever publication of confidential documents on the agency.

The first full part of the series, "Year Zero", comprises 8,761 documents and files from an isolated, high-security network situated inside the CIA's Center for Cyber Intelligence in Langley, Virgina. It follows an introductory disclosure last month of CIA targeting French political parties and candidates in the lead up to the 2012 presidential election.

Recently, the CIA lost control of the majority of its hacking arsenal including malware, viruses, trojans, weaponized "zero day" exploits, malware remote control systems and associated documentation. This extraordinary collection, which amounts to more than several hundred million lines of code, gives its possessor the entire hacking capacity of the CIA. The archive appears to have been circulated among former U.S. government hackers and contractors in an unauthorized manner, one of whom has provided WikiLeaks with portions of the archive.

Dahua Technology Co., Ltd. is a provider of video surveillance products and services, with the world’s 2nd largest market share, according to a 2015 IMS report.

In short:
You can delete/add/change name on the admin users, you change password on the admin users - this backdoor simply don't
care about that!
It uses whatever names and passwords you configuring - by simply downloading the full user database and use your own
credentials!

This is so simple as:
1. Remotely download the full user database with all credentials and permissions
2. Choose whatever admin user, copy the login names and password hashes
3. Use them as source to remotely login to the Dahua devices

via