Pwn2Own: atklātas 25 “0days” trīs dienu laikā

Vankūverā pagājušajās Pwn2Own sacensībās atklātas 25 “0days” (nulles dienas ievainojamības), par kurām kopumā dalībniekiem izmaksāts $1,155,000.

Trīs dienu laikā uzlauzti:

• Windows
• Linux
• Microsoft Teams (3 reizes!)
• Mozilla Firefox
• Tesla

Atrasta jauna Linux ļaunatūra, bet mērķis tomēr ir Windows lietotāji

Runa ir par Windows Subsystem for Linux - iebūvētu funkcionalitāti, kas ļauj laist Windows datorā Linux izpildāmos failus.

Black Lotus aprakstījuši divus ļaunatūras paveidus, kas ļauj uzbrucējiem kontrolēt inficēto datoru caur Discord un Telegram kanāliem.

Cita Linux ļaunatūra kriptē VMWare ESXi serverus

Jauns Linux kriptovīruss - mērķēts uz VMWare ESXi serveriem.

Github publicē detalizētu atskaiti par aprīlī atklāto drošības incidentu

Pirms mēneša no Github integratoriem - Heroku un Travis CI bija nozagti OAuth tokeni, kas izmantoti tālākai informācijas izgūšanai.

Tagad Github publicējis detalizētu atskaiti par notikušo. Izrādās, ka visvairāk tika skarts NodeJS repozitorijs “npm”:

• nozagts gada lietotāju informācijas arhīvs, kas saturējis 100’000 npm lietotājvārdus, kontaktus un paroļu hešus (informācija gan diezgan veca - arhīvs bijis veidots 2015. gadā)
• izgūta visu privāto npm bibliotēku metainformācija

Uzbrucēji bija paspējuši izgūt arī divu organizāciju privāto bibliotēku pirmkodu.

Ja datu noplūde netiktu pamanīta laicīgi, uzbrucēji varētu arī modificēt eksistējošās bibliotēkas.

Kriptovīrusu uzbrukums Austrijas reģionam - Karintijai

Uzbrukumu veikusi kibernoziedznieku grupa “Black Cat” (Darkside/BlackMatter pēctecis) un par datu atgūšanu tiek pieprasīta paliela naudas summa - $5 miljoni.

Skartas daudzas valsts sistēmas:

• nedarbojas epasti un mājaslapas
• nokriptētas 3’000 sistēmas
• apstādināta COVID-19 kontaktu apziņošana
• nevar tikt izdotas jaunas pases
• nevar tikt piegādāti brīdinājumi par ceļu satiksmes noteikumu pārkāpumiem

Kritiskas ievainojamības Open Automation Software platformā

OAS ir platforma, kas nodrošina tīklošanu un API pieeju kritiskajai infrastruktūrai (SCADA sistēmas, industriālās iekārtas, utt).

Šajā risinājumā atrastas vairākas ievainojamības, nozīmīgākās no tām:

• autentifikācijas apiešana, norādot tukšu rindu lietotājvārda un paroles vietā 🤦‍♂️
• patvaļīga failu veidošana un attālinātā koda izpildīšana

Microsoft ieteikumi aizsardzībai pret Kerberos relay uzbrukumiem

NTLM un Kerberos relay uzbrukumi pentesteriem ir zināmi jau labu laiku un šis uzbrukumu veids ir viens no stabilākajiem Privilege Escalation veidiem Active Directory domēnos.

Aprīlī ir parādījies jauns rīks, kas apvieno un automatizē dažus no šiem uzbrukumiem: KrbRelayUp, kas beidzot ir pievērsis šai problēmai Microsoft uzmanību. Ir publicēts sakarīgs raksts par Resource-based constrained delegation, “relay” uzbrukumiem un aizsardzības veidiem.

Visiem Windows administratoriem ieteicams iepazīties ar jaunajām Microsoft rekomendācijām, kas apraksta Kerberos relay uzbrukumus un aizsardzības veidus.

Īsumā, ieteicams:

• LDAP aizsardzībai ieslēgt “LDAP signing”
• AD CS un citu IIS servisu aizsardzībai ieslēgt “Extended Protection for Authentication”