Mostrando postagens com marcador Hacking. Mostrar todas as postagens
Mostrando postagens com marcador Hacking. Mostrar todas as postagens

Hoje, os pesquisadores de segurança cibernética descobrem uma nova vulnerabilidade crítica que afeta o protocolo SMB (Server Message Block) que pode permitir que invasores vazem a memória do kernel remotamente e, quando combinada com um bug "wormable" divulgado anteriormente, a falha pode ser explorada para obter ataques de execução remota de código .

Apelidado de " SMBleed " ( CVE-2020-1206 ) por ZecOps firmes segurança cibernética, que reside a falha na função de descompressão do SMB - a mesma função com SMBGhost ou EternalDarkness bug ( CVE-2020-0796 ), que veio à tona há três meses, potencialmente abrir sistemas Windows vulneráveis ​​a ataques de malware que podem se propagar através de redes.

A vulnerabilidade recém-descoberta afeta o Windows 10 versões 1903 e 1909, para o qual a Microsoft lançou patches de segurança hoje como parte de suas atualizações mensais do Patch Tuesday de junho .

O desenvolvimento ocorre quando a Agência de Segurança e Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um comunicado na semana passada, alertando os usuários do Windows 10 para atualizar suas máquinas após a publicação online do código de exploração do bug SMBGhost na semana passada.

O SMBGhost foi considerado tão sério que recebeu uma pontuação máxima de 10.

"Embora a Microsoft tenha divulgado e fornecido atualizações para esta vulnerabilidade em março de 2020, os ciber atores maliciosos estão mirando sistemas sem patch com o novo PoC , de acordo com relatórios recentes de código aberto", afirmou a CISA .

O SMB, executado na porta TCP 445, é um protocolo de rede que fornece a base para compartilhamento de arquivos, navegação na rede, serviços de impressão e comunicação entre processos através de uma rede.

De acordo com os pesquisadores do ZecOps, a falha decorre da maneira como a função de descompressão em questão (" Srv2DecompressData ") lida com solicitações de mensagens especialmente criadas (por exemplo, SMB2 WRITE) enviado para um servidor SMBv3 de destino, permitindo que um invasor leia a memória do kernel não inicializada e faça modificações na função de compactação.

"A estrutura da mensagem contém campos como a quantidade de bytes a serem escritos e sinalizadores, seguidos por um buffer de tamanho variável", disseram os pesquisadores. "Isso é perfeito para explorar o bug, pois podemos criar uma mensagem para especificar o cabeçalho, mas o buffer de tamanho variável contém dados não inicializados".

"Um invasor que explorar com êxito a vulnerabilidade poderá obter informações para comprometer ainda mais o sistema do usuário. Para explorar a vulnerabilidade em um servidor, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3", disse a Microsoft em seu comunicado.

"Para explorar a vulnerabilidade contra um cliente, um invasor não autenticado precisaria configurar um servidor SMBv3 mal-intencionado e convencer um usuário a se conectar a ele".

Pior, o SMBleed pode ser encadeado com o SMBGhost em sistemas Windows 10 sem patch para obter a execução remota de código. A empresa também lançou um código de exploração de prova de conceito que demonstra as falhas .

 Para atenuar a vulnerabilidade, é recomendável que os usuários domésticos e empresariais instalem as atualizações mais recentes do Windows o mais rápido possível.

Para sistemas em que o patch não é aplicável, é recomendável bloquear a porta 445 para impedir o movimento lateral e a exploração remota.

As orientações de segurança da Microsoft abordando SMBleed e SMBGhost no Windows 10 versão 1909 e 1903 e Server Core para as mesmas versões podem ser encontradas aqui e aqui .

Uma nova vulnerabilidade crítica afeta o protocolo SMBleed do Windows

17:01 , , , , , ,

Um ataque em larga escala atingiu centenas de milhares de sites que usam o WordPress durante 24 horas, tentando coletar credenciais de banco de dados para roubar arquivos de configuração após explorar vulnerabilidades XSS conhecidas em plugins e temas do sistema de gerenciamento de conteúdo. XSS (ou Cross-site scripting) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web.
Entre os dias 29 e 31 de maio, a Wordfence Firewall bloqueou mais de 130 milhões de ataques destinados a coletar credenciais de banco de dados de 1,3 milhão de sites, baixando seus arquivos de configuração, segundo Ram Gall, engenheiro de QA e analista de ameaças da empresa de segurança cibernética. “O pico deste ataque ocorreu no dia 30. Nesse dia, os ataques representaram 75% de todas as tentativas de exploração de vulnerabilidades de plugins e de temas do WordPress.”
Os invasores estavam tentando baixar o arquivo de configuração wp-config.php do WordPress, que contém credenciais do banco de dados e informações de conexão, além de chaves exclusivas de autenticação. Se conseguissem explorar com êxito quaisquer plugins vulneráveis ​​usados ​​pelos sites, os hackers poderiam facilmente roubar credenciais de seus bancos de dados e invadi-los.
Com base nos 20 mil endereços IP diferentes usados ​​para iniciar os ataques, os pesquisadores de segurança da Wordfence conseguiram vincular essa campanha massiva a outro ataque em larga escala que começou em 28 de abril e ressurgiu no dia 11 de maio para atingir também centenas de milhares de sites WordPress vulneráveis.
Nessa campanha, o ator de ameaças — rastreado pela Wordfence desde fevereiro — estava tentando instalar backdoors (portas dos fundos) ou redirecionar visitantes para sites de malvertising (que usame publicidade online para espalhar malware), explorando vulnerabilidades de scripts entre sites (XSS) em plugins corrigidos meses ou anos atrás e anteriormente alvejados em outros ataques. .
Os atacantes por trás dessas campanhas foram capazes de realizar mais de 20 milhões de ataques contra mais de meio milhão de sites apenas no dia 3 de maio. Para se defender desse tipo de ataque, os proprietários e administradores do site WordPress devem manter todos os seus plugins e temas atualizados para corrigir as vulnerabilidades que esse agente de ameaças está tentando explorar para comprometer seus sites. Também devem excluir ou desativar os que foram removidos do repositório do WordPress, já que não são mais mantidos e podem vir com vulnerabilidades de segurança anteriormente não descobertas que nunca serão corrigidas. Com agências de notícias internacionais.

Hackers tentam roubar logins de 1,3 milhão de sites WordPress

07:30 , , , , , , ,



Um chinês  desenvolveu novos recursos para direcionar sistemas com falta de ar, na tentativa de filtrar dados confidenciais para espionagem, de acordo com uma pesquisa publicada recentemente pela Kaspersky.

O APT, conhecido como Cycldek, Goblin Panda ou Conimes, emprega um extenso conjunto de ferramentas para movimentação lateral e roubo de informações nas redes de vítimas, incluindo ferramentas, táticas e procedimentos personalizados não relatados anteriormente em ataques contra agências governamentais no Vietnã, Tailândia e Laos.

"Uma das ferramentas recém-reveladas é denominada USBCulprit e foi encontrada a confiar na mídia USB para filtrar os dados das vítimas", Kasperskydisse. "Isso pode sugerir que a Cycldek esteja tentando alcançar redes com falta de ar nos ambientes das vítimas ou confie na presença física para o mesmo objetivo".

Observada pela primeira vez pelo CrowdStrike em 2013, a Cycldek tem uma longa história de destacar os setores de defesa, energia e governo no sudeste da Ásia, particularmente no Vietnã, usando documentos ilegais que exploram vulnerabilidades conhecidas (por exemplo, CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) no Microsoft Office para eliminar um malware chamado NewCore RAT.

Exfiltrando dados para unidades removíveis


A análise da Kaspersky sobre o NewCore revelou duas variantes diferentes (denominadas BlueCore e RedCore) centradas em dois grupos de atividades, com semelhanças no código e na infraestrutura, mas também contêm recursos exclusivos do RedCore - a saber, um keylogger e um RDP logger que capturam detalhes sobre usuários conectados a um sistema via RDP.

"Cada grupo de atividades tinha um foco geográfico diferente", disseram os pesquisadores. "Os operadores do cluster BlueCore investiram a maior parte de seus esforços em metas vietnamitas com vários outliers no Laos e na Tailândia, enquanto os operadores do cluster RedCore começaram com foco no Vietnã e foram desviados para o Laos até o final de 2018".

Os implantes BlueCore e RedCore, por sua vez, baixaram uma variedade de ferramentas adicionais para facilitar o movimento lateral (HDoor) e extrair informações (JsonCookies e ChromePass) de sistemas comprometidos.

O principal deles é um malware chamado USBCulprit, capaz de digitalizar vários caminhos, coletando documentos com extensões específicas (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) e exportá-los para uma unidade USB conectada.

Além disso, o malware é programado para se copiar seletivamente em determinadas unidades removíveis, para que possa se mover lateralmente para outros sistemas com folga de ar sempre que uma unidade USB infectada for inserida em outra máquina.

Uma análise de telemetria da Kaspersky descobriu que a primeira instância do binário remonta a 2014, com as amostras mais recentes registradas no final do ano passado.

O mecanismo inicial de infecção baseia-se no aproveitamento de binários mal-intencionados que imitam componentes antivírus legítimos para carregar o USBCulprit no que é chamado de seqüestro de ordem de pesquisa DLL antes de continuar a coletar as informações relevantes, salvá-las na forma de um arquivo RAR criptografado e extrair os dados para um dispositivo removível conectado.

"As características do malware podem dar origem a várias suposições sobre seus objetivos e casos de uso, um dos quais é alcançar e obter dados de máquinas com folga", disseram os pesquisadores. "Isso explicaria a falta de qualquer comunicação de rede no malware e o uso de apenas mídia removível como meio de transferir dados de entrada e saída".

Por fim, as semelhanças e diferenças entre os dois tipos de malware são indicativas do fato de que os atores por trás dos clusters estão compartilhando código e infraestrutura, enquanto operam como dois ramos diferentes em uma única entidade maior.

"O Cycldek é um exemplo de ator que tem uma capacidade mais ampla do que a percebida publicamente", concluiu Kaspersky. "Embora a maioria das descrições conhecidas de sua atividade dê a impressão de um grupo marginal com recursos inferiores, a variedade de ferramentas e o período de operações mostram que o grupo tem uma posição extensa dentro das redes de alvos de destaque no sudeste asiático".

Nova ferramenta de espionagem USBCulprit rouba dados de computadores

21:04 , , , , , , , ,

O Tor Browser 9.5 inclui atualizações de segurança importantes para o Firefox, os usuários na área de trabalho poderão optar por usar sites Tor automaticamente sempre que o site os disponibilizar. 

A partir do lançamento do Tor Browser 9.5, novos recursos facilitarão o acesso aos endereços de cebola. 

Agora, também existe um mecanismo de aceitação disponível para sites que desejam que os usuários do Tor conheçam o serviço que sugerem que eles atualizem sua conexão usando o endereço .onion.
Esse recurso estará disponível para usuários de desktop Tor que tenham a opção 'Onion Location' ativada.

“Pela primeira vez, os usuários do Tor Browser na área de trabalho poderão optar por usar sites  automaticamente sempre que o site os disponibilizar. Durante anos, alguns sites usaram invisivelmente serviços de cebola com serviços  alternativos (alt-svc) , e isso continua sendo uma excelente opção. ” lê o post publicado pelo Tor Project. "Agora, também existe um mecanismo de adesão disponível para sites que desejam que seus usuários saibam sobre o serviço de cebola que os convida a atualizar sua conexão por meio do endereço .onion".


Os editores de sites agora podem anunciar seus serviços ocultos aos usuários do Tor adicionando um cabeçalho HTTP que pode sugerir que os visitantes mudem para a versão do site publicada usando o serviço Onion.


Para promover seus sites de cebola, os proprietários de sites precisam adicionar um cabeçalho 'Onion-Location' adicional que contém o URL ao site Tor.

Quando um usuário visita um site que possui um endereço .onion e um local de cebola habilitados pelo Navegador Tor, o navegador sugere a versão de cebola do site.

O Tor Browser 9.5 também introduz a autenticação Onion para permitir que os administradores dos serviços Onion adicionem uma camada extra de segurança ao site, definindo um par de chaves para controle de acesso e autenticação. Os usuários do Navegador Tor podem salvar chaves e gerenciá-las através   da seção about: preferências # privacy das configurações de autenticação dos serviços Onion.

A versão mais recente do Navegador Tor aprimorou os indicadores de segurança da barra de URL e melhorou as mensagens de erro que são exibidas quando os usuários do Tor não conseguem acessar um site oficial.

"Nesta versão, aprimoramos a maneira como o Navegador Tor se comunica com os usuários sobre erros de serviço, cliente e rede que podem acontecer quando eles estão tentando visitar um serviço de cebola", acrescentou o Projeto Tor.
"O Tor Browser agora exibe um diagrama simplificado da conexão e mostra onde ocorreu o erro."
A versão mais recente do Tor Browser também aborda várias vulnerabilidades de segurança de alta gravidade , o novo lançamento pode ser baixado na página de download do  Tor Browser .

O Tor Browser 9.5 está disponível para download, com novos recursos interessantes

20:51 , , , , , , , ,

O Joomla é um popular sistema de gerenciamento de conteúdo gratuito e de código aberto usado para publicar conteúdo da Web. A equipe por trás do CMS divulga a violação de dados na semana passada.
O incidente acontece depois que um membro da equipe deixou um backup completo não criptografado do site JRD em um bucket não seguro do Amazon Web Services S3.
A empresa disse que mais de 2.700 usuários que têm acesso ao site resources.joomla.org são afetados.

Dados impactados - Joomla

A empresa confirma que nenhum dado financeiro ou de reputação foi exposto como parte da violação. A equipe do Joomla está atualmente investigando o incidente.
A seguir estão os detalhes incluídos no backup
  • Full name
  • Business address
  • Business email address
  • Business phone number
  • Company URL
  • Nature of business
  • Encrypted password (hashed)
  • IP address
  • Newsletter subscription preferences
“A maioria dos dados era pública, pois os usuários enviaram seus dados com a intenção de serem incluídos em um diretório público. Dados privados (listagens não publicadas e não aprovadas, ingressos) foram incluídos na violação ”, dizia um comunicado da empresa .
O relatório de auditoria também declarou: "a presença de contas de superusuário pertencentes a indivíduos fora do Open Source Matters".
A empresa confirma que não há acesso de terceiros ao banco de dados, mesmo que seja recomendável alterar as senhas imediatamente se a mesma senha for usada para vários logins.
"Pedimos desculpas pela inconveniência. Estamos profundamente comprometidos em fornecer a melhor e mais segura infraestrutura para nossa comunidade. Obrigado pelo apoio e compreensão, lê a notificação.

Data breach: A equipa do CMS Joomla divulgou uma violação de dados 2.700 indivíduos foram afetados

09:41 , , , , , ,

Estamos muito animados para anunciar o segundo lançamento de 2020, o Kali Linux 2020.1.2.
Uma rápida visão geral do que há de novo desde janeiro :
  • Reforma e login do Plasma do KDE
  • PowerShell por padrão. Mais ou menos.
  • Kali sobre melhorias no braço
  • Lições das alterações do instalador
  • Novos pacotes e ícones de chaves
  • Nos bastidores, melhorias na infraestrutura


Reforma e login do Plasma do KDE

Com o XFCE e o GNOME atualizando o visual e a sensação do Kali Linux, é hora de voltar às nossas raízes (dias de backtrack-linux ) e dar um pouco de amor e atenção ao KDE Plasma. Apresentando nossos temas escuros e claros para o KDE Plasma:




PowerShell por padrão. Mais ou menos.

Se você quisesse o PowerShell, tinha que instalar o pacote como um exemplo:
kali@kali:~$ sudo apt install -y powershell

PowerShell não é o principal  metapacotes , kali-linux-largeIsso significa que, se você optar por instalar esse metapacote durante a configuração do sistema, ou quando o Kali estiver em funcionamento sudo apt install -y kali-linux-large) , se o PowerShell for compatível com a sua arquitetura, você poderá pular direto para ele pwsh) !
O PowerShell não está no metapacote padrão (está kali-linux-default) , mas está no que inclui o padrão e muitos extras e pode ser incluído durante a configuração do sistema.

Lições das alterações do instalador

Problema Pretendia-se que tanto o “instalador” quanto o “ao vivo” pudessem ser personalizados durante a instalação, para selecionar qual metapacote e ambiente de desktop usar. Quando fizemos isso, não pudemos incluir metapacotes além do padrão nessas imagens, pois isso criaria um ISO muito grande. Como os pacotes não estavam na imagem, se você selecionasse algo diferente das opções padrão, seria necessário acesso à rede para obter os pacotes ausentes além do padrão. Após o lançamento, notamos que alguns usuários selecionavam "tudo" e aguardavam o horário de instalação. Eles não conseguiam entender por que as instalações demoravam tanto.



Novos pacotes e ícones de chaves

 A equipe do Kali Linux atualiza os logotipos dos pacotes para cada ferramenta.



Kali Linux NetHunter

  • O suporte ao Nexmon foi revivido, trazendo o suporte ao monitor WiFi e a injeção de quadros wlan0no Nexus 6P, Nexus 5, Sony Xperia Z5 Compact e muito mais!
  • As imagens do OpenPlus 3T foram adicionadas à página de download.
  • Nós cruzamos 160 kernels diferentes em nosso repositório , permitindo NetHunter para apoiar mais de 64 dispositivos ! Sim, mais de 160 kernels e mais de 64 dispositivos suportados. Surpreendente.
  • Nossa página de documentação recebeu uma atualização merecida , especialmente a seção de desenvolvimento do kernel.

Faça o download do Kali Linux 2020.2

Novas imagens Então, o que você está esperando? Comece o download já!
Os usuários experientes do Kali já estão cientes disso, mas para aqueles que não o são, também produzimos compilações semanais que você também pode usar. Se você não pode esperar o próximo lançamento e deseja os pacotes mais recentes ao baixar a imagem, basta usar a imagem semanal. Dessa forma, você terá menos atualizações para fazer. Apenas saiba que essas compilações são automatizadas e não fazemos controle de qualidade, como fazemos com nossas imagens de versão padrão .

Atualizações existentes Se você já possui uma instalação do Kali, lembre-se de sempre fazer uma atualização rápida:
kali@kali:~$ echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list
kali@kali:~$
kali@kali:~$ sudo apt update && sudo apt -y full-upgrade
kali@kali:~$
kali@kali:~$ [ -f /var/run/reboot-required ] && sudo reboot -f
kali@kali:~$

Agora você deve estar no Kali Linux 2020.2. Podemos fazer uma verificação rápida fazendo:
kali@kali:~$ grep VERSION /etc/os-release
VERSION="2020.2"
VERSION_ID="2020.2"
VERSION_CODENAME="kali-rolling"
kali@kali:~$
kali@kali:~$ uname -v
#1 SMP Debian 5.5.17-1kali1 (2020-04-21)
kali@kali:~$
kali@kali:~$ uname -r
5.5.0-kali2-amd64
kali@kali:~$

NOTA: A saída de uname -rpode ser diferente dependendo da arquitetura do sistema .
Como sempre, se você encontrar algum bug em Kali, envie um relatório em nosso bug tracker . Nunca conseguiremos consertar o que não sabemos que está quebrado! E o Twitter não é um Bug Tracker!

Mais informações  aqui .




Lançamento do Kali Linux 2020.2

19:05 , , , , , ,
Assinar: Postagens (Atom)

 
Anonymous News © 2020 - All Rights Reserved Designed by Anonymous NewsLuizCod3r