Tietoturvauutiset ja blogipostaukset

Mielenkiintoinen artikkeli eri tunnusten ostamisesta darkwebistä:

Mitigation
  1. Criminals will often use paid proxy services aside from using publicly available free proxies to further obfuscate attacks. However, our analysis shows that such services often use geo-spoofing techniques to create a wide pool of IPs. Such domains will have the same IP addresses, but they will use different subnets. Monitoring for web traffic activity from such IPs offers additional mitigation capabilities.
  2. The introduction of multi-factor authentication has proven to be a highly effective mitigation practice for many organizations that historically experienced a high level of credential stuffing attacks.
  3. Monitoring criminal underground communities for the availability of new configuration files targeting your organization, acquisition, and the thorough analysis of such files for additional attack indicators.
  4. End users can reduce the risk of being victimized by a credential stuffing attack by using a password manager and setting a unique strong password for each online account

The Economy of Credential Stuffing Attacks

Hinnasto:
credential-stuffing-attacks-3-2.png
 
Joko tiedetään mitkä 3 ne on ollu ?
Ei ole varmaa, mutta ainakin jokaiselta vissiin hakkeroitiin muiden asioiden lisäksi myös ne sellaset selaimen turvalisäosat, kenellä niitä nyt sitten on vielä käytössä...

Veikkaan kuitenkin että Symantec on ainakin yks, kuten moni muukin laajasti.
 
Viimeksi muokattu:
Päivittäkääs sitten Whatsapp, kiva reikä löydetty.

How Hackers Broke WhatsApp With Just a Phone Call

WhatsApp exploit that could inject malware onto targeted phones—and steal data from them—simply by calling them. The targets didn't need to pick up to be infected, and the calls often left no trace on the phone's log.
 
Asuksen softissa on jälleen tietoturvapuutteitta. Tällä kertaa asia koskee heidän pilvipalvelua.
Hackers exploit Asus cloud storage to install Plead backdoor on PCs

“Namely, the software update is requested and transferred using HTTP. Once an update is downloaded and ready to execute, the software doesn’t validate its authenticity before execution. Thus, if the update process is intercepted by attackers, they are able to push a malicious update.”
 
Lisää Facebookkiin liittyviä vuotoja..

A massive database containing contact information of millions of Instagram influencers, celebrities and brand accounts has been found online.

The database, hosted by Amazon Web Services, was left exposed and without a password allowing anyone to look inside. At the time of writing, the database had over 49 million records — but was growing by the hour.

Millions of Instagram influencers had their private contact data scraped and exposed – TechCrunch
 
Mielenkiintoisia otsikkoita Googlesta:

Google faces its first major investigation for “suspected infringement” of the GDPR following formal complaint from Brave.

This appears to be by far the largest leakage of personal data ever recorded.


Google Stored G Suite Users' Passwords in Plain-Text for 14 Years

"We made an error when implementing this functionality back in 2005: The admin console stored a copy of the unhashed password," Google says.
 
Kriittinen haavoittuvuus Microsoftin Remote Desktop Service (RDS) -toteutuksessa tietyissä Windowsin versioissa
Microsoft on julkaissut tietoturvapäivityksiä Windows 7, Windows Server 2008 ja 2008 R2, Windows 2003 ja Windows XP -käyttöjärjestelmien RDS-toteutuksissa oleviin kriittisiin haavoittuvuuksiin. Haavoittuvuudet mahdollistavat matomaisesti leviävien haittaohjelmien toteuttamisen.

Windows XP ja Server 2003 saivat päivityksen :)

Pientä tilastoa nettiin juttelevista palvelimista:

Errata Security: Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)
 
Näemmä ensimmäisiä ilmoituksia tähän Exim / Cpanel liittyvistä korkkauksista on tullut jo. Onko tullut jo tietoa, että onko aukkoa käytetty muuhun kuin coinien louhintaan?
 
Mutta onko takaovien tarkoitus ollut siis mahdollistaa kolikoiden louhinta? Vai käyttää myöhempiin käyttötarkoituksiin?
 
Mutta onko takaovien tarkoitus ollut siis mahdollistaa kolikoiden louhinta? Vai käyttää myöhempiin käyttötarkoituksiin?
Sain sellaisen käsityksen hommasta mallia sekä ja että, mitään konkreettistä en tietenkään voi sanoa
 
Onkohan tämä Lahden uusin "kyberhyökkäys" tätä samaa syytä? Liittyen tuohon Exim/Cpanel aukkoon? Lahden piikkiin on taidettu aikasemminkin louhia coineja.
 
Muron kääntämä artikkeli, mutta laitetaans nyt kuitenkin :dead:

Yli 10 miljoonaa kertaa ladattu mobiilisovellus salakuunteli käyttäjiä metsästäessään piraatteja | Muropaketti.com

Sovellus hyödynsi Shazamia muistuttavaa äänen tunnistusteknologiaa ja GPS:ää, ja pyrki niiden avulla tarkkailemaan, mikäli käyttäjän olinpaikassa, kuten sporttibaarissa, katsottaisiin La Ligan otteluita laittomasti ilman asianmukaista lisenssiä.

La Ligan mobiilisovellusta on ladattu yli kymmenen miljoonaa kertaa. LaLiga on puolustanut menettelyä toteamalla, että sovellus pyytää lupaa puhelimen mikrofonin ja paikkatietojen käyttöön, ja kertonut että kerättyä dataa on käytetty ainoastaan laittomien piraattistreamien löytämiseen.

Sovelluksen käyttöehdoissa on kyllä maininta siitä, että käyttäjät suostuvat auttamaan LaLigaa etsimään laittomia jalkapallolähetyksiä, mutta muuten toiminnasta ei ole kerrottu esimerkiksi sovelluksen sisällä. Espanjalaisten viranomaisten mukaan käyttäjille ei ole tiedotettu toiminnasta tarpeeksi selvästi. Viranomaisten mukaan sovellus täytyy sulkea kesäkuun 30. päivään mennessä ja LaLigalle on määrätty 250 000 euron sakko.
 
TCP SACK Panic

CVE-2019-11477: SACK Panic (Linux >= 2.6.29)
CVE - CVE-2019-11477
CVE-2019-11477 - Red Hat Customer Portal
An integer overflow flaw was found in the way the Linux kernel's networking subsystem processed TCP Selective Acknowledgment (SACK) segments. While processing SACK segments, the Linux kernel's socket buffer (SKB) data structure becomes fragmented. Each fragment is about TCP maximum segment size (MSS) bytes. To efficiently process SACK blocks, the Linux kernel merges multiple fragmented SKBs into one, potentially overflowing the variable holding the number of segments. A remote attacker could use this flaw to crash the Linux kernel by sending a crafted sequence of SACK segments on a TCP connection with small value of TCP MSS, resulting in a denial of service (DoS).


CVE-2019-11478: SACK Slowness (Linux < 4.15) or Excess Resource Usage (all Linux versions)
CVE - CVE-2019-11478
CVE-2019-11478 - Red Hat Customer Portal
An excessive resource consumption flaw was found in the way the Linux kernel's networking subsystem processed TCP Selective Acknowledgment (SACK) segments. While processing SACK segments, the Linux kernel's socket buffer (SKB) data structure becomes fragmented, which leads to increased resource utilization to traverse and process these fragments as further SACK segments are received on the same TCP connection. A remote attacker could use this flaw to cause a denial of service (DoS) by sending a crafted sequence of SACK segments on a TCP connection.


Tcp-handshake.png


Pelkistettynä:
Jokaisessa TCP segmentissä on SEQ ja ACK numero, joilla pidetään kirjaa mitkä segmentit ovat lähetetty ja vastaanotettu. Normaali SYN, SYN ACK & ACK ei ole optimaali, sillä jos A lähettää paketit 1-20 B:lle ja paketit 3,6 & 9 eivät pääse perille ja loput pääsevät, joutuu A silti uudelleenlähettämään kaiken 3:sta eteenpäin.

SACK eli selective Acknowledgment on RFC-2018:ssa esitelty tapa, jossa käytetään TCP segmentin "options" kentää ilmoittamaan mitkä paketit pääsivät perille, eli B merkitsee 1-2, 4-5, 7-8 & 10-20 paketit saapuneeksi, jolloin A uudelleenlähettää vain paketit 3,6 & 9.

Hyökkääjän on mahdollista lähettää muotoiltu jono SACK:eja, jotka aiheuttavat puskurin ylivuodon tai pirstaloivat TCP uudelleenlähetysjonon, jolloin sen läpi käyminen kuluttaa paljon resursseja.

Haavoittuvuudet ovat korjattu Linux kernelin versioissa 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11, mutta kaikki aiemmat versiot kuten 4.15 ovat haavoittuvia (RHEL 8, Ubuntu 16.04 LTS).

Lähteet:
 
Löydetty siis tietoturva-aukko, mikä on korjattu. Mitään viitteitä sen käytöstä tietojen varastamiseen ei EA:n mukaan ole.

EA Origin had a vulnerability that left 300 million players potentially exposed
Muistan useita tapauksia joiden tilit on varastettu ja sähköpostiosoitteet muutettu .ru-formaattiin. En tiedä johtuuko se samasta asiasta, vai ei mutta kuitenkin. Osa yrityksistä ei myönnä noita murtoja vaikka se oikeasti olisikin tapahtunut.

Lisää uutisia:

Microsoft Teams Can Be Used to Download and Run Malicious Packages

 

Uusimmat viestit

Statistiikka

Viestiketjuista
257 526
Viestejä
4 475 628
Jäsenet
73 945
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom