9:54
27/11/2017

Memdump to cotygodniowe zestawienie informacji “zrzuconych z pamięci” redaktorów. Poniższe tematy były godne uwagi i nas zainteresowały, ale z różnych przyczyn nie zdążyliśmy ich opisać na łamach Niebezpiecznika tak szczegółowo, jakbyśmy sobie tego życzyli. Dlatego “zrzucamy” je wam do samodzielnego “zdebuggowania”, okraszając jedynie kilkoma zdaniami komentarza.

Odcinek znów dzielimy na 2 części. Pierwsza, którą przeczytać powinni wszyscy (najważniejsza na górze) i drugą, dedykowaną technicznym (programistom, sysadminom, devopsom i bezpiecznikom). Miłej lektury!

DLA WSZYSTKICH

  • Przestępca, który zhakował HBO zażądał 6 milionów dolarów okupu. Firma nie zgodziła się na te warunki i zaproponowała “jedynie” 250 tysięcy dolarów w ramach programu bug bounty. Behzad Mesri odrzucił propozycję. FBI i Departament Sprawiedliwości Stanów Zjednocznych ogłosił zarzuty wobec niego.
  • Coraz więcej sklepów w dark webie namierzonych.
  • Czyżby Google śledziło użytkowników swojego mobilnego systemu, nawet jeśli wyłączą usługi lokalizacji? Wychodzi na to, że tak… Do Google wysyłane są dane o lokalizacji BTS’ów znajdujących się w okolicy posiadacza smartfona.

  • Spambot, który wysyła losowe teksy z Gwiezdnych Wojen… ciekawe.
  • Śledczy coraz bliżej namierzenia źródła wycieku danych 46,2 miliona Malezyjczyków.
  • Firefox będzie blokował data URI, które były nadużywane do phishingu.
  • Mozilla chce, aby użytkownicy Firefoxa byli informowani w przypadku odwiedzenia stron, które zaliczyły wyciek danych.

  • Szkoła J. Sterling Morton pod celownikiem ransomware.
  • Kolejna fabryczna aplikacja na OnePlus, która zbiera zdjęcia oraz logi WiFi, Bluetooth, GPS i inne.
  • Google Home i Amazon Echo podatne na Blueborne.
  • Google Play przeżywa kryzys. Coraz więcej złośliwych aplikacji.
  • Microsoft łata 53 błędy bezpieczeństwa.
  • Smartfony z androidem pod kontrolą systemu w wersji Lolipop, Marshmallow, lub Nougat są podatne na atak wykorzystujący błąd w MediaProjection. Dzięki niemu można nagrać ekran oraz dźwięki systemowe.
  • Startup Tether został okradziony z prawie 31 milionów dolarów. Napastnik trzyma fundusze pod adresem 16tg2RJuEPtZooy18Wxn2me2RhUdC94N7r. W oświadczeniu znajduje się lista kroków, które należy podjąć. Źródło ataku jest jeszcze nieznane.
  • qkG to ransomware, który szyfruje jedynie dokumenty Office oraz rozprzestrzenia się poprzez makra.
  • System do zdalnego otwierania drzwi kurierom, rodzinie czy przyjaciołom Amazon Key został złamany. Ma on pozwalać dostarczycielom na otwarcie drzwi, kiedy domowników nie ma. Cały proces dostarczania przesyłki przez kuriera jest nagrywany. W ataku chodzi o to, że złośliwy kurier otwiera drzwi, dostarcza przesyłkę, rozłącza system od Internetu (blokada zamykania drzwi nie zadziała), wychodzi i wchodzi ponownie. Na kamerce widać, jakby proces dostarczania przebiegał normalnie. Do przeprowadzenia operacji wystarczył zwykły atak “Wi-Fi deauthentication”.
  • Błędy w Intel Management Engine. Pozwalają na zainstalowanie rootkita, który przetrwa restart systemu. Ani system, ani użytkownik nie zdaje sobie sprawy z wykonania złośliwego kodu. Intel opublikował narzędzie (Windows + Linux), które sprawdzi czy jesteście podatni.
  • Postawiono zarzuty członkom i adminom AlphaBay.
  • Intel w 2020 chce zakończyć wsparcie dla BIOS’u.
  • Ktoś skanuje Internet w poszukiwaniu portfelów Bitcoin oraz Ethereum (klik #2).

DLA PROGRAMISTÓW I SYSADMINÓW

  • OWASP po czterech latach wydał kolejną wersję listy 10 największych zagrożeń dotykających aplikacje internetowe.
  • GitHub wprowadza nową funkcję, która ma za zadanie powiadamiać twórców, gdyby ich projekty zawierały podatne biblioteki.
  • Poprzez błąd deweloperów Microsfotu, zgubiony został kod źródłowy jednego z komponentów pakietu Office (EQNEDT32.EXE).
  • Mamy nadzieję, że znacie listę Awsome Security?
  • …oraz Awesome Infosec?
  • 30% europejskich krajów ma przestarzałe oprogramowanie TP-Linka. Jedynie sześć krajów ma dostęp do aktualnego oprogramowania.
  • Coinhive (skrypt JS do wydobywania krypto-walut w przeglądarkach) został znaleziony w jednym z plików wtyczki LiveHelpNow. Stron, które z tego korzystają jest aktualnie około 1500.
  • JOLTandBLEED, czyli taki Heartbleed… ale dotykający tylko produkty Oracle.

Przeczytaj także:

5 komentarzy

Dodaj komentarz
  1. “Poprzez błąd deweloperów Microsfotu, ujawniony został kod źródłowy jednego z komponentów pakietu Office (EQNEDT32.EXE).”
    A to nie było czasem odwrotnie? Zgubili kod źródłowy, więc grzebali bezpośrednio w binarce?

  2. “ujawniony został kod źródłowy jednego z komponentów pakietu Office (EQNEDT32.EXE)”
    Tak, jest odwrotnie, patchowali w binarce i to w bardzo piękny sposób. Przy okazji wyszło, że w Windowsach 8, 8.1, 10 wadliwe zaimplementowano Force ASLR. Por.: http://www.kb.cert.org/vuls/id/817544

  3. “Poprzez błąd deweloperów Microsfotu, ujawniony został kod źródłowy jednego z komponentów pakietu Office (EQNEDT32.EXE).”

    Błąd w tłumaczeniu – nie został ujawniony, tylko zgubiony – nawet M$ nie ma do niego dostępu. Cały artykuł jest o tym, jak to M$ spatchował exeka binarnie, bo nie mieli kodu.

  4. I w poprzednim memdumpie był ładny opis łatania tego komponentu office :)

  5. Trochę więcej o kulisach utraty kodu Microsoftu: watch?v=CDeG4S-mJts

Odpowiadasz na komentarz FBagginz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.