Exploit.IN - сайт о сетевой безопасности и защите
Наши зеркала:  Exploit.IN ( ssl)    ||    Exploit.IO
Навигация
Основное:
  На главную
  Написать нам
  Онлайн-утилиты
  Форум

Новости:
  Архив новостей
  Поиск новостей
  RSS-новости
  Twitter

Реклама

Zloy.bz

DamageLab


      29.07.2015 23:24: В Android обнаружены уязвимости, позволяющие получить доступ к смартфону через MMS
     Компания ZIMPERIUM, специализирующаяся на компьютерной безопасности, обнаружила критические уязвимости в ядре Android, которые позволяют выполнять код через отправку MMS сообщений или Google Hangout. По примерной оценке, данной опасности подвержено 95% пользователей устройств под управлением системы Android (около 950 миллионов человек). И что самое опасное, данную уязвимость достаточно просто использовать: необходимо лишь знать номер мобильного телефона жертвы.

     Джошуа Дж. Дрейк (@jduck), заглянул в самые глубокие уголки кода ядра Android и обнаружил 7 критических уязвимостей, данные уязвимости подвержены более 95% устройств (примерно 950 миллионов устройств). Отчёт Дрейка будет представлен на конференциях Black Hat USA 5 августа и CON 23 7 августа. Найдено множество методов удалённого запуска кода, худшие из которых не требуют вмешательства пользователя.

     Подвержены устройства с Android от версии 2.2 до версии 4.1. Список зарегистрированных CVEs: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829.

     Хакерам только нужен ваш номер мобильного телефона, с помощью которого они могут удаленно выполнить произвольный код через специально созданный файл доставленным через MMS. Для более успешной и скрытной атаки можно удалить сообщение прежде чем пользователь его заметит. Эти уязвимости являются крайне опасными, потому что они не требуют, чтобы жертва предпринимать никаких действий. В отличие от фишинга, где пользователь должен открыть файл или ссылку.

      29.07.2015 23:20: Хакеры из Black Vine делятся эксплоитами для уязвимостей с другими хакерами
     Symantec опубликовала отчет, в котором сказано, что хакерская группа Black Vine поделилась с другими хакерами эксплоитами для 0day уязвимостей. Как стало известно, Black Vine использует 2 эксплоита для уязвимости нулевого дня в Microsoft Internet Explorer. Бреши позволяют выполнить код из-за ошибки использования после освобождения памяти CVE-2012-4792 (при обработке объекта "CDwnBindInfo") и CVE-2014-0322.

     Хакеры эксплуатируют бреши для отправки вредоносных программ пользователям официальных интернет-ресурсов. В случае успеха кибератаки хакеры инфицируют устройства пользователей вредоносами, включая Hurix и Sakurel, которые детектируются как Trojan.Sakurel и Mivast.

     Symantec отмечает, что Black Vine совершила крупные атаки на многочисленные компании, военные организации, сельскохозяйственные предприятия и пр. Основными целями хакеров являются аэрокосмическая и медицинская промышленность. ИБ-компания считает, что именно Black Vine ответственна за нападение на медицинскую страховую компанию Anthem.

     Многие эксплоиты Black Vine для уязвимостей нулевого дня использовались в других шпионских кампаниях. Например, Black Vine использовала те же самые эксплоиты и в то же самое время, что и хакерская группа Hidden Lynx в атаке на ИБ-фирму Bit9. Эксперты отмечают, что это подтверждает существование так называемого проекта Elderwood Project, который позволяет хакерам обмениваться вредоносными наработками.

      29.07.2015 23:11: Биржа FL.ru взломана в очередной раз
     Буквально полчаса назад на главной странице FL.ru, некогда флагманской бирже Рунета, был опубликован очень интригующий проект. Который сразу привлек внимание мониторящих ленту фрилансеров. Проект опубликован с аккаунта главного администратора биржи. Там сообщалось, что сайт взломан. Через 10 минут такой забавы саппорт отреагировал моментально, и биржа на данный момент закрыта.

     Помимо взлома аккаунта администратора, хакером konardo были выкачаны с сервера и выложены в паблик все файлы рабочего сайта FL.ru, полный дамп. По утверждению хакера, базу данных он заполучить не смог.

     Хакер нашел следующие уязвимости в FL.ru:
1. Разработчики оставили на beta-сервере (beta.free-lance.ru) порт 8080 открытым, который принимал PUT-запросы к WebDav, что позволило залить PHP-шелл и получить доступ к движку сайта.
2. Один из серверов memcached, в котором хранились пользовательские сессии, был доступен из Интернета по адресу st.fl.ru:11211. Это позволяло либо воровать чужие сессии, либо корректировать свои.
3. Раскрытие путей https://fl.ru/engine/libs/simpletest/test/acceptance_test.php

      29.07.2015 22:51: Жертвами вредоносной рекламы стали более 10 миллионов пользователей
     Как сообщают аналитики антивирусной компании Cyphort, в течение последних 10 дней вредоносные ресурсы, распространяющие нежелательную рекламу и инфицирующие компьютеры пользователей, посетило не менее 10 миллионов человек. Таким образом, все они могли заразить свои системы вредоносным ПО.

     Согласно представленному исследователями отчету, они вели наблюдение за наиболее масштабными кампаниями по распространению вредоносной рекламы в течение последнего месяца. В большинстве случаев атаки сводились к тому, что при просмотре такого объявления жертва перенаправлялась на сторонний ресурс, заражающий компьютер каким-либо вирусом.

     Кроме того, по данным Cyphort, в открытом доступе находится гораздо больше посещаемых ресурсов с вредоносной рекламой, чем может показаться на первый взгляд. Как правило, опасные баннеры размещаются в популярных интернет-магазинах.

     Интересно также, что излюбленным инструментом нечистых на руку рекламщиков является набор экплоитов Angler. Вместе с тем, данный программный пакет широко пользуется и в других видах кибератак. К примеру, в нем есть эксплоиты, ориентированные на уязвимости в Adobe Flash и Windows, информация о которых появилась благодаря утечке данных у компании Hacking Team.

      29.07.2015 22:49: Переименовав устройство Apple, можно взломать App store и Itunes
     Представитель компании Vulnerability Lab Бенджамин Кунц Меджри (Benjamin Kunz Mejri) сообщил об обнаружении критической уязвимости в App Store и iTunes. Брешь на стороне приложения затрагивает систему инвойсов, которая достаточно странно работает со значением name value (имя устройства). Если вместо имени прописать вредоносный код, он будет исполнен.

     Согласно отчету, представленному Меджри, когда пользователь совершает покупку в одном из магазинов Apple, бекенд обрабатывает некоторые данные устройства, с которого совершается покупка, чтобы сгенерировать инвойс. Если переименовать устройство, поместив скриптованный код вместо имени, он будет выполнен.

     Меджри пишет, что угроза действительно существенна: «Инвойс предоставляется обеим сторонам (продавцу и покупателю), что создает огромный риск как для покупателей и продавцов, так и для менеджеров\разработчиков сайтов Apple. Уязвимость также позволяет покупателю прикинуться продавцом, используя то же самое имя, чтобы скомпрометировать работу сервиса».

     Помимо перечисленных исследователем рисков, уязвимость может быть использована для взлома сессий пользователей, исполнения длительных фишинговых атак, перенаправления пользователей на сторонние ресурсы и манипуляций с уязвимыми или подключенными сервисными модулями.

     Видео c демонстрацией proof-of-concept, а пошаговую инструкцию по эксплуатации уязвимости можно найти по ссылке.

      29.07.2015 22:44: Обнаружена новая фишинговая кампания с использованием Google Drive
     Исследователи безопасности обнаружили очередную фишинговую кампанию, эксплуатирующую доверенный сервис Google Drive, которая стала уже второй за последние 2 года. Как сообщил Адитья Суд (Aditya K Sood) из Elastica Cloud Threat Labs, в новой волне атак хакеры применяют те же техники, что и в предыдущей, например, обфускацию кода.

     Так же, как и в прошлый раз, преступники используют размещенные в Google Drive фишинговые web-страницы, стремясь обмануть даже знакомых с безопасностью пользователей за счет хорошей репутации сервиса. Атака начинается с того, что пользователь Gmail получает электронное письмо, содержащее ссылку на неавторизованную страницу в Google Drive. По словам эксперта, злоумышленники не осуществляют атаку «человек посередине» и не нарушают работу сетевого канала, а просто используют функционал сервиса в мошеннических целях.

     В отличие от предыдущей кампании, в которой для обхода обнаружения использовалась обфускация JavaScript-кода, а для хранения похищенных учетных данных – сторонние домены, в этот раз хакеры пользуются преимуществами Google Drive.

      24.07.2015 02:43: Хакеры похитили у банка «Санкт-Петербург» данные о 300 тыс. клиентах
     В банковской сфере Санкт-Петербурга совершена крупнейшая кибератака в истории. Жертвой стал банк «Санкт-Петербург», от которого хакеры теперь требуют 29 млн рублей за неразглашение данных о 300 тыс. клиентов.

     Хакеры прислали в банк электронное письмо, в котором говорилось, что они подготовили сайт с похищенной информацией, на нем организован удобный поиск. «Ссылка на сайт будет направлена во всевозможные СМИ и онлайн-ресурсы банковской тематики. Платежные системы Visa и Mastercard будут оповещены о случившемся. ЦБ и Роспотребнадзор также будут проинформированы», — содержалось в письме. Кроме того, злоумышленники сообщили, что подготовили хэштеги в соцсетях для быстрого распространения информации о случившемся среди клиентов.

     Атака, которую в банке назвали самой масштабной в истории банковского рынка в Санкт-Петербурге, началась в апреле 2015 г. По словам представителей финансовой организации, тогда же они заметили «нетипичную для поведения клиентов активность в информационной базе».

     Специалисты банка изучили ситуацию и выяснили, что данные, доступ к которым получили хакеры, не могут повлечь за собой возможность проведения мошеннических операций по счетам клиентов. В частности, этими данными были имена и фамилии клиентов, номера их счетов, привязанных к банковским картам, и ИНН. Хакеры не смогли получить данные о сроках действия карт и кодов CVC/CVV, указываемых на обратной стороне карт, необходимых для аутентификации при совершении платежа. Они также не смогли получить доступ к данным о балансе счетов.

      24.07.2015 02:38: У Hacking Team был свой RAT для Android под названием RCSAndroid
     Специалисты Trend Micro обнаружили среди инструментов Hacking Team средство под названием RCSAndroid (Remote Control System Android), которое Hacking Team продавала своим заказчикам для слежения за объектами. RCSAndroid — один из самых качественных и профессионально разработанных вирусов для Android из когда-либо виденных Trend Micro, признались эксперты.

     RCSAndroid позволяет: делать скриншоты, копировать информацию из буфера, собирать пароли к Wi-Fi-сетям, почтовым ящикам и интернет-сервисам, включая Skype, Facebook, Twitter, Google, WhatsApp и LinkedIn, собирать SMS-сообщения, фиксировать местоположение, получать информацию об устройстве, делать снимки посредством основной или фронтальной камеры. Вирус также позволяет получать контакты в учетных записях Facebook Messenger, WhatsApp, Skype, Viber, Line, WeChat, Hangouts, Telegram и BlackBerry Messenger, а также декодировать сообщения в этих сервисах. Более того, RCSAndroid внедряется в системную службу mediaserver, что позволяет прослушивать разговоры владельца Android-устройства в режиме реального времени.

     Специалисты Trend Micro выяснили, что RCSAndroid (AndroidOS_RCSAgent.HRX) активен с 2012 г. Некоторое время назад он был подключен к командно-контрольному серверу в США. В настоящий момент этот сервер неактивен. Активация RCSAndroid происходила по SMS-сообщению из Чешской Республики (так был настроен вирус). Затем хакер мог таким же образом дистанционно управлять, отправляя вирусу команды с указанием того, какие данные необходимо собрать с мобильного устройства. Специалисты Trend Micro обнаружили, что с Hacking Team связаны несколько чешских фирм, в том числе крупный поставщик ИТ-решений — партнер организаторов Олимпийских игр.

     Для проникновения на устройство хакеры использовали две уязвимости — CVE-2012-2825 и CVE-2012-2871. Обе содержатся во встроенном в Android браузере, начиная с версии Android 4.0 (Ice Cream Sandwich) и заканчивая 4.3 (Jelly Bean). Версия Android Ice Cream Sandwich была выпущена в октябре 2011 г., 4.3 — в июле 2013 г. С помощью уязвимостей хакеры заражали устройства, направляя пользователей по вредоносным ссылкам, отправляемым в письмах или SMS-сообщениях.

     Хакеры также использовали еще один метод заражения — через бэкдор AndroidOS_Htbenews.A. Посредством двух уязвимостей — CVE-2014-3153 и CVE-2013-6282 — они сначала устанавливали его, а затем бэкдор инсталлировал RCSAndroid.

      24.07.2015 02:34: Уязвимость в OpenSSH позволяет осуществлять тысячи попыток авторизации за одно соединение
     Исследователь безопасности под псевдонимом KingCope сообщил о критической уязвимости в OpenSSH, позволяющей злоумышленнику осуществлять множественные попытки авторизации за одно соединение в течение короткого промежутка времени. Так, по словам эксперта, до закрытия соединения OpenSSH разрешает ввести пароль 3-6 раз, однако брешь в ПО позволяет удаленно осуществлять тысячи попыток авторизации.

     Серверы OpenSSH, на которых активирована интерактивная аутентификация keyboard-interactive, могут использоваться злоумышленниками для осуществления брутфорс-атак. По мнению KingCope, брешь могла широко эксплуатироваться хакерами, поскольку keyboard-interactive по умолчанию активирована на большинстве устройств. Исследователь даже представил концепт эксплоита для этой уязвимости:
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost

     Уязвимость присутствует в последней версии OpenSSH 6.9. В своем блоге KingCope опубликовал патч, исправляющий данную брешь. До тех пор, пока не будет выпущено официальное обновление, администраторам следует использовать пары ключей шифрования длиной не менее 2048 бит и сложные пароли для защиты закрытых ключей, сократить время соединения с 30 до 20 секунд, а также использовать ПО для ограничения количества попыток ввода неверного пароля.

      24.07.2015 02:31: Обнаружен новый бэкдор для Linux
     Эксперты из «Доктор Веб» исследовали новый образец трояна-бэкдора под Linux. Данный бэкдор, получивший наименование Linux.BackDoor.Dklkt.1, имеет предположительно китайское происхождение. По всей видимости, разработчики изначально пытались заложить в него довольно обширный набор функций — менеджера файловой системы, трояна для проведения DDoS-атак, прокси-сервера и т.д., однако на практике далеко не все эти возможности реализованы в полной мере. Более того, исходные компоненты бэкдора были созданы с учетом кроссплатформенности, то есть таким образом, чтобы исполняемый файл можно было собрать как для архитектуры Linux, так и для Windows.

     При запуске Linux.BackDoor.Dklkt.1 проверяет наличие в папке, из которой он был запущен, конфигурационного файла, содержащего необходимые для его работы параметры. В этом файле задаются три адреса управляющих серверов бэкдора, однако используется им только один, в то время как два других являются резервными. Конфигурационный файл зашифрован с использованием алгоритма Base64. При запуске Linux.BackDoor.Dklkt.1 пытается зарегистрироваться на атакованном компьютере в качестве демона (системной службы), а если это не удается, бэкдор прекращает свою работу.

     После успешного запуска троян формирует и отсылает на управляющий сервер пакет с информацией об инфицированной системе, при этом весь трафик обмена данными между бэкдором и удаленным командным центром сжимается с использованием алгоритма LZO и шифруется алгоритмом Blowfish. Каждый пакет также снабжается контрольной суммой исходных данных для определения целостности полученной информации на принимающей стороне.

     После этого Linux.BackDoor.Dklkt.1 переходит в режим ожидания входящих команд, среди которых специалисты «Доктор Веб» отметили: директивы начала DDoS-атаки, запуска SOCKS proxy-сервера, запуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. Все остальные команды Linux.BackDoor.Dklkt.1 либо игнорирует, либо обрабатывает некорректно. Троян способен выполнять следующие типы DDoS-атак: SYN Flood, HTTP Flood (POST/GET запросы), ICMP Flood, TCP Flood, UDP Flood.

      24.07.2015 02:28: Исследователь в ярости: его код используется в малвари Hacking Team
     Коллин Маллинер (Collin Mulliner), исследователь безопасности Северо-Восточного университета штата Массачусетс, очень зол на Hacking Team. Маллинер с огромным удивлением обнаружил, что Hacking Team использовала его код, как фундамент для строительства инструментов для Android-слежки. Само-собой, Hacking Team никогда не уведомляла исследователя, что использует его наработки для создания малвари, которую потом продает правительствам.

     На днях Маллинер написал в своем блоге гневный пост, обнаружив, что его инструменты (способные, помимо прочего, скрыто перехватывать телефонные разговоры и другие звуки в пределах слышимости с инфицированных Android аппаратов), безо всякого на то разрешения, использовались компанией Hacking Team. На Wikileaks даже нашлась внутренняя переписка сотрудников Hacking Team, которые обсуждают разработки Маллинера.

     Исследователь узнал о происходящем не самым приятным образом – кто-то, покопавшись в документах Hacking Team, сделал неверные выводы, и на Маллинера посыпались письма, обвиняющие его в работе на миланскую компанию и создании малвари. Ложное впечатление у людей сложилось в силу того, что в репозитории Hacking Team содержатся не только разработки Маллинера, но и его имя, адрес сайта и email.

     Сам исследователь пишет в блоге: «Я очень зол и расстроен тем, что мои open source решения использовались Hacking Team для создания шпионского ПО для слежки за активистами. Еще хуже тот факт, что из-за отвратительного менеджмента их репозитория у людей действительно может сложиться впечатление, что я разработал некоторые инструменты специально для Hacking Team. Позвольте мне прояснить раз и навсегда: я не писал для Hacking Team никаких инструментов. В будущем я стану лицензировать свои продукты, чтобы исключить их использование подобным образом».

      24.07.2015 02:24: В новой версии Google Chrome исправлены 43 бреши
     Google выпустила новую версию браузера Google Chrome 44, в которой исправлены 43 уязвимости, значительное количество из которых было классифицировано как высокой степени опасности.

     Две наиболее опасные проблемы, устраненные в Chrome 44, представляют собой уязвимости межсайтового скриптинга. Одна из них содержится в браузерном движке Blink, вторая присутствует в версии Chrome для Android. Универсальные уязвимости межсайтового скриптинга позволяют атакующим эксплуатировать XSS-бреши в самих браузерах, а не на сайтах. За каждую из уязвимостей обнаружившим их исследователям было выплачено по $7,5 тыс. в рамках программы Google по поиску брешей. В общем в рамках программы компания выплатила порядка $40 тыс.

     Среди прочих брешей, исправленных в новом релизе, числятся три ошибки переполнения буфера в движке визуализации PDF-файлов pdfium (CVE-2015-1271, CVE-2015-1273, CVE-2015-1279), ряд ошибок использования после освобождения в различных компонентах браузера (CVE-2015-1276, CVE-2015-1282, CVE-2015-1284, CVE-2015-1272, CVE-2015-1277), повреждение памяти в skia (CVE-2015-1280), брешь, позволявшая обход CSP (CVE-2015-1281), уязвимость, связанная с неожиданным завершением процесса GPU (CVE-2015-1272) и пр.

Новостей: 8067 (Страниц: 673, Новостей на странице: 12)
[1] 2 3 4 5
Онлайн-утилиты
 Безопасность
Расширенный тест анонимности
Тест браузера (короткий)
Проверка сложности пароля
Генератор паролей

 Другое
Тест скорости
Расчет скорости скачивания
Конвертер IPv4 / IPv6
Конвертер UNIX / GMT время
Jabber Valid Checker

Быстрый переход
вирус firefox взлом форум security flash linux ip rss explorer windows exploit проверка socks root apple Google Facebook ddos Symantec ssl ботнет Android спам Chrome троян добавить тег


Powered by Exploit.IN © 2005-2015