Information Hardening

informhardening Нравится 0
Это ваш канал? Подтвердите владение для дополнительных возможностей

Практическое применение безопасности
@Li11ian
Гео и язык канала
Россия, Русский
Категория
Технологии


Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
28.09.2017 20:30
Последнее обновление
18.11.2018 21:22
Telegram Analytics
Самые свежие новости сервиса TGStat. Подписаться →
Searchee Bot
Ваш незаменимый помощник в поиске Telеgram-каналов.
@TGStat_Bot
Бот для получения статистики каналов не выходя из Telegram
1 600
подписчиков
~2k
охват 1 публикации
~379
дневной охват
~2
постов / нед.
124%
ERR %
2.26
индекс цитирования
Репосты и упоминания канала
8 упоминаний канала
0 упоминаний публикаций
62 репостов
ANTICHAT Channel
ANTICHAT Channel
Киберпиздец
ANTICHAT Channel
ANTICHAT Channel
Meshnet & Crypto-Anarchy
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
~/Documents/journal
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Киберпиздец
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
ANTICHAT Channel
Каналы, которые цитирует @informhardening
Последние публикации
Удалённые
С упоминаниями
Репосты
#virtualbox #конфигурация #exploit

Учись сражаться за дело рабочего класса!

Итак, вчера мы имеем раскрытие зиродея в VirtualBox, которое не просто раскрытие, а показательный шаг в борьбе ресечеров с неадекватными условиями багбаунти. Подробно претензии ресечара можно почитать тут: https://github.com/MorteNoir1/virtualbox_e1000_0day

Уязвимость повзоляет обойти изоляцию гостевых машин и выполнить код на хостовой системе. Присутствует в последней версии VirtualBox 5.2.20 и более ранних. Патча пока нет, но можно защититься конфигурационно.

Корень проблемы в переполнении буфера в коде эмуляции сетевого адаптера Intel PRO/1000 MT Desktop, который устанавливается в настройках виртуальных машин по умолчанию. Также для проведения атаки требуется режим NAT. Соответственно, если изменить тип адаптера (на PCnet или Paravirtualized Network) или изменить режим NAT на другой - данная атака будет неактуальна.

Уязвимость проявляется независимо от операционных систем, используемых на стороне хоста и гостевого окружения. Эксплуатация уязвимости требует прав root или администратора на гостевой машине и позволяет выполнить код с правами процесса VirtualBox на хостовой системе.

Очень подробное описание уязвимости и процесса экплуатации с кодом: https://github.com/MorteNoir1/virtualbox_e1000_0day
#windows #exploit

Хватит уже Qwerty

Active Directory Federated Services позволяет перебирать пользователей. Определять, существует ли пользователь, по времени ответа. Microsoft пока вроде не согласился, что это уязвимость. И включение в CVE на рассмотрении. Но наверно включат. И мы то понимаем, какой риск получения пароля, если у атакующего в наличии большой пул учеток.

Разница в задержке ответа сервера для существующих и несуществующих учеток значительна, впрочем это зависит от размера базы пользователей. Так что нужно сначала замерить время ответа для заведомо существующей и несуществующей учеток. Источник, пример и подробное описание незамысловатого действа: https://github.com/binary1985/VulnerabilityDisclosure/blob/master/ADFS-Timing-Attack

Пока нет исправления, такие вот дела. Лишний повод напомнить юзерам про сложность паролей.
Information Hardening 30 Oct, 12:04
#linux #exploit #обновления #конфигурация

В твиттере плохому не научат

Быстро набравшая популярность уязвимость CVE-2018-14665 в X.Org Server позволяет повысить привилегии и перезаписывать произвольные файлы. Проблема актуальна только если у Xorg установлен бит setuid. В разных средах он по умолчанию установлен или не установлен.

Если же setuid установлен, то играет роль недостаточная проверка безопасности параметров -modulepath и -logfile. Первый позволяет подключить произвольный модуль, который выполнится с повышенными привилегиями. Второй - перезаписывать произвольные файлы. Параметр -fp позволяет указать путь к шрифтам, который будет тут же записан в логфайл. Отсюда первый, "базовый" вариант эксплойта с перезаписью shadow:

cd /etc; Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1;su

Другой, без испоганивания shadow, с открытием привилегированного шелла через ld-linux.so: https://gist.github.com/0x27/d8aae5de44ed385ff2a3d80196907850

Проблема родилась в версии 1.19.0 и исправлена в 1.20.3. При недоступности обновления для конкретной сборки рекомендуется отключить SUID-бит, имея в виду, что это может привести к ошибкам при запуске через xinit или startx.
Information Hardening 24 Oct, 11:15
#веб #exploit #обновления

jQuery File (maybe Shell) Upload

Жили-жили и вот те раз. С 2015 года юзают уязвимость, а комьюнити как бы не в теме.

Речь конечно про загрузку произвольных файлов в jQuery File Upload, в том числе .php с возможностью исполнения (CVE-2018-9206).

jQuery-плагин jQuery File Upload обеспечивает виджет для загрузки файлов на сайты, поддерживающий групповую загрузку, индикатор прогресса и возобновление прерванных загрузок. Прилагается также набор примеров серверных обработчиков для сохранения отправляемых файлов. Так вот эти обработчики никак не проверяют тип загружаемого файла. Файл сохраняется с заданным пользователем именем в директории ./files и в общем случае доступен для запроса.

В составе плагина предусмотрен .htaccess, который должен ограничивать выполнение .php файлов директивами SetHandler default-handler, ForceType application/octet-stream. Однако это будет работать только при соответствующих разрешениях в AllowOverride (FileInfo) и активном модуле mod_headers.

Так как плагин очень популярен, проблема расползлась по огромному множеству приложений и форков с некоторыми модификациями, но чаще без. Тут https://github.com/lcashdol/Exploits/tree/master/CVE-2018-9206 доступен скрипт, который проверяет наличие уязвимости в трех наиболее распространенных вариациях, ну и шелл пытается загрузить, для надежности проверки.

В базом варианте загрузка элементарная:

curl -F "[email protected]" http://localhost/jQuery-File-Upload-9.22.0/server/php/index.php

Уязвимость исправлена в версии 9.22.1 (и 9.24.1, но там все немного по другому) - добавлено ограничение типов загружаемых файлов и теперь по умолчанию можно загружать только GIF, JPEG и PNG.
Information Hardening 19 Oct, 11:23
#network #exploit #обновления #уязвимости

Коллекция проблем с сетевым оборудованием за последние пару недель

D-Link
Обход директорий (CVE-2018-10822), хранение паролей в открытом виде (CVE-2018-10824) и внедрение команд (CVE-2018-10823). Уязвимые версии: DWR-116 до 1.06, DIR-140L до 1.02 (кроме 2018-10823), DIR-640L до 1.02 (кроме 2018-10823), DWR-512 до 2.02, DWR-712 до 2.02, DWR-912 до 2.02, DWR-921 до 2.02, DWR-111 до 1.01.

Первые две позволяют получить пароль из файла /tmp/XXX/0:
curl http://routerip/uir//tmp/XXX/0

Внедрение команд:
curl http://routerip/chkisg.htm%3FSip%3D1.1.1.1%20%7C%20cat%20%2Fetc%2Fpasswd

Подробнее:https://seclists.org/fulldisclosure/2018/Oct/36

И еще уязвимости в D-Link Central WiFiManager:
CVE-2018-17440 - учетка admin/admin в FTP-сервере на порту 9000
CVE-2018-17441 - XSS
CVE-2018-17442 - выполнение PHP-кода через загрузку архивов RAR
CVE-2018-17443 - XSS

Эти исправлены в версии Central WiFiManager 1.03R0100-Beta1.

Mikrotik
Новый эксплойт для CVE-2018-14847 - получение рутового доступа: https://cxsecurity.com/issue/WLB-2018100099

И еще ряд уязвимостей:
CVE-2018-1156 - возможность выполнения произвольного кода на устройстве при наличии аутентифицированного доступа
CVE-2018-1157 - DoS-атака через исчерпание всей доступной памяти при загрузке файла
CVE-2018-1158 - переполнение стека при рекурсивном разборе запросов
CVE-2018-1159 - выход за допустимые границы буфера в реализации http-сервера

Уязвимости исправлены в версиях RouterOS 6.40.9, 6.42.7 и 6.43.

TP-Link
Три новых уязвимости в TP-Link TL-WR841N:
CVE-2018-15700 - отказ в обслуживании httpd сервиса в результате HTTP-запроса из локальной сети с пустым Referer
CVE-2018-15701 - отказ в обслуживании httpd сервиса в результате HTTP-запроса с заголовком Cookie вида 'Cookie: Authorization;'
CVE-2018-15702 - возможность CSRF в результате неполной проверки Referer (проверяются только первые несколько символов)

Последняя уязвимость комбинируется со "старой" CVE-2018-11714 - возможность обращения к CGI-скриптам без прохождения аутентификации при установке в Referer значения, свидетельствующего о переходе с хостов "tplinkwifi.net", "tplinklogin.net" или с IP-адреса текущего маршрутизатора. Можно получить конфигурацию, изменять ее параметры, сменить пароль для WiFi. Примеры эксплуатации: https://www.exploit-db.com/exploits/44781/. CVE-2018-15702 позволяет выполнять это через CSRF.

Для этих уязвимостей, в том числе CVE-2018-11714, патчи все еще не выпущены. CVE-2018-11714 также присутствует в TL-WR840N.

Junos OS
Исправлено много уязвимостей: CVE-2018-7173, CVE-2018-7170, CVE-2018-7172, CVE-2018-7174, CVE-2018-7175, CVE-2016-1549, CVE-2018-0062, CVE-2018-0061, CVE-2018-0060, CVE-2018-0057, CVE-2018-0055, CVE-2018-0054, CVE-2018-0053, CVE-2018-0052, CVE-2018-0051, CVE-2018-0050, CVE-2018-0047, CVE-2018-0045, CVE-2018-0043, CVE-2018-0049, CVE-2018-0048, CVE-2018-0003, CVE-2018-0046, CVE-2017-15906, CVE-2016-10012, CVE-2016-10011, CVE-2016-10010, CVE-2016-10009. Некоторые из них позволяют получить доступ или выполнить код при особых конфигурациях или дополнительных действиях. Подробности можно посмотреть тут: https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
Information Hardening 18 Oct, 11:13
#libssh #обновление #exploit

Говорят, это смешно. Похоже на то

Очень модно нынче про libssh писать. Там с версии 0.6 унифицировали код клиента и сервера, и в сервер перекочевал функционал считать аутентификацию успешной после сообщения SSH2_MSG_USERAUTH_SUCCESS. Теперь клиенту достаточно отправить это сообщение вместо запроса на аутентификацию, чтобы получить доступ.

Уязвимость получила номер CVE-2018-10933. Исправление добавлено в выпуски 0.8.4 и 0.7.6.

libssh чаще используется для реализации клиентской стороны, а не серверной, поэтому уязвимых серверов не так уж и много. Один из значимых продуктов, где libssh используется для сервера, - GitHub Enterprise - не подвержен уязвимости, так как libssh в нем модифицирована.

Ну и скрипт для проверки наличия уязвимости, он же PoC, открывающий шелл при успешной "эксплуатации": https://www.openwall.com/lists/oss-security/2018/10/17/5
Information Hardening 16 Oct, 11:26
Техподдержка импервы местами ведет в никуда. Я даже было подумала, что она только для избранных, но нет, она есть: https://www.imperva.com/Services/TechnicalSupport
Information Hardening 16 Oct, 11:26
#exploit #конфигурация #обновления

Imperva RCE

На прошлой неделе много интересного опубликовали. Посмотрим для начала забавный эскплойт для Imperva SecureSphere.

Проблема актуальна для версий 13.0.10, 13.1.10, 13.2.10. Злодей может выполнить произвольные команды с правами рута, без аутентификации или с аутентификацией в зависимости от конфигурации системы. Если не настроен SOM/MX/Gateway режим - аутентификация не требуется. Если установлен режим Gateway - необходим пароль юзера imperva.

Используется внедрение непредусмотренных команд в компоненте PWS (набор скриптов Python CGI), конкретно - скрипт impcli.

Ну в общем вот он весь: https://www.exploit-db.com/exploits/45542/
#boot #конфигурация

+1 головная боль

Появились случаи использования UEFI руткитов. Таких, что прописываются прям в микросхему загрузки. Но мода на них наверно так и не разовьется, потому что мы сейчас от них защитимся.

Во-первых, микросхемы SPI имеют набор эффективных способов защиты от перезаписи. Вот только далеко не все разработчики загрузочного софта их используют. Отсюда вывод - отслеживать обновления софта и установить его, если там внедрили защиту, или просто обновлять периодически.

Во-вторых, в прошивке бывают уязвимости. Вывод такой же - обновления.

И в-третьих, самое толковое (потому что реалистичное) - включить Secure Boot. Он будет проверять цифровые подписи ВСЕХ компонентов UEFI и не позволит запустить сторонний код.
#zabbix #exploit #обновления #конфигурация

А вы следите за своим заббиксом?

На днях выпустили версию 4.0 Zabbix. Но пост не о ней, а о том, что было со старыми версиями. Назначенных CVE в заббиксе очень мало: 0 за 2018 год, CVE-2017-2824 и CVE-2017-2826 в 2017, CVE-2016-4338 и CVE-2016-10134 в 2016, а раньше - уже в 2014.

CVE-2017-2824 - это выполнение произвольных команд при подключении от имени заббикс-прокси. Уязвимость устранена в версиях 2.2.19rc1, 3.0.10rc1, 3.2.7rc1, 3.4.0alpha1 и осталась в ветке 2.4.х (которая уже не поддерживалась к моменту выявления проблемы) (https://support.zabbix.com/browse/ZBX-12349).

Возможная атака основана на двух API-вызовах, доступных для заббикс-прокси, command и discovery data. Если на заббиксе включены Auto-discovery и Auto-registration, то он принимает от прокси данные о новых хостах через вызов discovery data и добавляет их в таблицы hosts и interface. Затем с помощью вызова command можно запустить выполнение дефолтных скриптов для этих хостов, причем это не требует аутентификации. Скрипты изначально лежат в таблице scripts (их можно удалить, тогда вся идея испортится):

scriptid == 1 == /bin/ping -c {HOST.CONN} 2>&1
scriptid == 2 == /usr/bin/traceroute {HOST.CONN} 2>&1
scriptid == 3 == sudo /usr/bin/nmap -O {HOST.CONN} 2>&1

Параметр HOST.CONN предназначен для IP хоста, является VARCHAR(64) и передается в таком сценарии от прокси, что позволяет внедрить команду.

Источник и детали (формат вызовов тоже есть): https://talosintelligence.com/vulnerability_reports/TALOS-2017-0325
#telegram #уязвимость #конфигурация

Новая настройка безопасности в Telegram

Уязвимость на 2000 евро - раскрытие IP-адресов абонентов в десктопных телеграмах в случае использования голосовых вызовов. Просто потому что устанавливается peer-to-peer соединение. Ревард выплачен, и уязвимость классифицирована как CVE-2018-17780.

Теперь доступна версия Telegram Desktop 1.4.0, в которой уязвимость, раскрытие адресов то есть, МОЖНО отключить. Для этого повилась настройка, возволяющая выбрать, в каких случаях разрешено устанавливать peer-to-peer соединение, а в каких - нет. Варианты: everybody (разрешено со всеми), my contacts (разрешено только с контактами), nobody (ни с кем не разрешено). Устанавливается в Settings > Privacy and security > Calls > peer-to-peer. Так что есть смысл озаботиться выбором подходящего варианта.
Information Hardening 28 Sep, 11:16
#linux #exploit #обновления

Две важных новости в жизни linux kernel

Первая с красивым названием Mutagen Astronomy.
А вообще это CVE-2018-14634 и представляет собой возможность переполнения целого в функции create_elf_tables(). Проблема встречается только в Red Hat Enterprise Linux (6, 7 и MRG2), CentOS и Debian 8, потому что в них не включено изменение da029c11e6b1 ("exec: Limit arg stack to at most 75% of _STK_LIM", from July 7, 2017).
На 64-битных системах уязвимость позволяет повысить права до рута, или еще кого-нибудь, через SUID-приложение. PoC доступен.
Подробности: https://www.openwall.com/lists/oss-security/2018/09/25/4
PoC: https://packetstormsecurity.com/files/149567/QSA-linuxoverflow.tgz

Вторая - CVE-2018-17182 - use-after-free через переполнение 32-разрядного номера последовательности в функции vmacache_flush_all.
Имеет место начиная с версии 3.16 и пофикшена в версиях 4.18.9, 4.14.71, 4.9.128, 4.4.157 и 3.16.58.
Уязвимость может быть использована для повышения привилегий любым локальным процессом, который может выполняться достаточно долго для переполнения счетчика ссылок (около часа, если доступен MAP_FIXED) и способного выполнять маппинг областей памяти при помощи системных вызовов mmap()/munmap() и создавать потоки через вызов clone(). Эти системные вызовы не требуют каких-то особых привилегий и обычно доступны даже из sandbox-окружений (например, допустимы в sandbox-окружении процесса отрисовки браузера Chrome и присутствуют в списке разрешённых системных вызовов Docker).
Подбробности и описание эксплойта: https://googleprojectzero.blogspot.com/2018/09/a-cache-invalidation-bug-in-linux.html
Эксплойт: https://bugs.chromium.org/p/project-zero/issues/detail?id=1664
Information Hardening 21 Sep, 10:30
#exploit #конфигурация

Everyone's Cloud now

В апреле в сетевых хранилищах My Cloud от Western Digital обнаружили обход аутентификации, а по некоторым слухам про него было известно еще в начале 2017. В любом случае уязвимость все еще не устранена, а вот экслойт уже публично доступен.

При обычной работе My Cloud после аутентификации администратора создается админская сессия, привязанная к IP, а админ получает куку username=admin. А вот вызов функции cgi_get_ipv6 network_mgr.cgi приводит к созданию админской сессии без всякой авторизации. Затем остается проставить куку username=admin и админский доступ готов. Первый шаг делается примерно таким POST-запросом:

POST /cgi-bin/network_mgr.cgi HTTP/1.1
Host: wdmycloud.local
Content-Type: application/x-www-form-urlencoded
Cookie: username=admin
Content-Length: 23

cmd=cgi_get_ipv6&flag=1

Что касается апдейта - он "на финальной стадии разработки", но нужно еще "несколько недель". Так что пока рекомендуется максимально ограничить сетевой доступ к веб-интерфейсу.
Information Hardening 18 Sep, 10:49
#windows #конфигурация

VSM и Credential Guard

Если в вашем домене используются Windows 10 Enterprise x64 или Server 2016 x64 и вы печетесь о безопасности, то весьма полезным будет воспользоваться функцией VSM (Virtual Secure Mode). VSM запускает защищенную вирутальную машину, к которой нет прямого доступа даже у ядра. Затем в VSM можно перенести некоторые системные компоненты: LSASS, vTPM и контроль целостности ОС. Нас интересует в первую очередь LSASS - доменные учетные данные будут храниться в VSM и не смогут быть напрямую извлечены.

Ради такого придется поднапрячься, нужно:

1. UEFI Secure Boot и UEFI версии 2.3.1 или выше

2. Установить компоненты Hyper-V

3. Затем можно включить VSM через групповую политику.

Параметр групповой политики Computer Configuration -> System -> Device Guard -> Turn on Virtualization Based Security. Тут можно включить защиту системы контроля целостности кода и Credential Guard.

При выборе варианта "without UEFI lock" параметры будут храниться в реестре и могут быть изменены из ОС. В случае "with UEFI lock" будут использоваться параметры UEFI и из ОС уже нельзя будет отключить VSM.

VSM включится после перезагрузки. Проверить его активность можно в "System Information" или по наличию процесса LsaIso (при включении Credential Guard).
Information Hardening 14 Sep, 10:30
#приклад #exploit #конфигурация #обновление

Про Apache Struts, все же

В честь выхода модуля для метасплойта на CVE-2018-11776 вернемся на три недели назад и все же рассмотрим эту уязвимость в Apache Struts. Уязвимость присутствует в версиях 2.3 до 2.3.34 включительно и 2.5 до 2.5.16 включительно. Но эксплуатабельна она только при определенных условиях:

- в настройках флаг alwaysSelectFullNamespace должен быть выставлен в значение "true" (устанавливается так, например, плагином Convention)

И

- в приложении должно применяться действие, указанное в файле конфигурации или Java-коде без указания пространства имён или с указанием маски для пространств имён ("/*")

Эксплуатация производится через отправку HTTP-запроса с включением дополнительного параметра, определяющего собственное пространство имён. Из-за отсутствия надлежащих проверок значение параметра может включать выражение на языке OGNL (Object-Graph Navigation Language). Это уже позволяет запустить произвольный Java-код с правами приложения.

Известные в текущее время варианты проблем в приложениях (это более подробно раскрывает второе условие возможности эксплуатации):

1. В атрибуте type тега result не указано простанство имен. Работает для типов redirectAction, chain и postback
2. Для package не задано пространство имен или установлено "/*", а в теге result задан URL
3. Используется тег s:url без указания атрибутов action или value

Первый PoC с открытием шелла: https://github.com/hook-s3c/CVE-2018-11776-Python-PoC
Модуль для метасплойта: https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/multi/http/struts2_namespace_ognl.rb

Версии с устранением уязвимости 2.3.35 и 2.5.17 доступны.
Information Hardening 12 Sep, 12:12
#tor #exploit #обновление

Когда так приятно быть вайтхэтом

С выходом Tor Browser 8 Zerodium, компания, которая обычно продает уязвимости, но не раскрывает их, решила все-таки рассказать об уязвимости в версиях 7.х. С мая 2017 в них можно было обойти отключение javascript. Эта проблема появилась в версии 5.0.4 NoScript и устранена в версии 5.1.8.7, а ветку NoScript 10 (которая используется в Tor Browser 8) она вообще не затрагивает. Zerodium утверждает, что эксплойт у нее был с осени 2017 и продан заинтересованным сторонам.

Обойти NoScript очень просто - достаточно установить заголовок Content-Type в text/html;/json. Пример PoC: https://cxsecurity.com/issue/WLB-2018090116

Кто предупрежден - тот вооружен. Но это не точно.
Information Hardening 10 Sep, 10:02
#dokuwiki #exploit #уязвимость

Мы не виноваты, это все Excel

В DokuWiki нашли уязвимость, или не уязвимость - еще не решили (это CVE-2018-15474). В рамках функционала администраторы DokuWiki могут выгружать список пользователей в виде CSV-файла. А любой пользователь с возможностью регистрации может ввести такие данные, которые в этом файле будут интерпретироваться как формула.

Страница, где все это происходит: http://www.example.com/doku.php?id=start&do=register
Тело POST-запроса в стандартном случае имеет такой формат: sectok=&do=register&save=1&login=login_parameter&fullname=fullname_parameter&email=email_address

И вот в параметре fullname недостаточная фильтрация пользовательского ввода и можно ввести формулу.
Например, формула =cmd|'/C calc'!A0 запустит calc.exe. Так что тут потенциально исполнение произвольного кода.

Интересность в том, что разработчики решили не исправлять проблему, так что вся ответственность за безопасность ложится на пользователей - администраторов DokuWiki в данном случае.
#apache #git #конфигурация

Не дадим врагу читать исходники

Один чешский исследователь решил поискать, как часто на сайтах встречаются доступные каталоги .git. Получилось 390 000 на 320 млн. доменов. Причем часто обращение непосредственно к каталогу ".git/" приводит к 403 ошибке, но конкретные файлы вполне себе доступны. Поэтому стоит проверять доступность файлов /.git/HEAD, /.git/config, /.git/index, /.git/refs/heads/master и /.git/logs/HEAD.

При необходимости закрыть доступ, на примере Apache, можно использовать (по меньшей мере) права доступа к директориям или mod_rewrite в конфигурационном файле или в .htaccess.

Права доступа к директории в Apache 2.2:


Order allow,deny
Deny from all


Права доступа к директории в Apache 2.4 (но старая версия тоже подойдет):


Require all denied


С помощью mod_rewrite:

RewriteEngine On
RewriteRule //\.git - [F,L]
#windows #проблемы #конфигурация

Полундра!

Жутковато, что целый домен виндоус может оказаться беззащитным из-за всего одной уязвимости. Например, уязвимости в ALPC-интерфейсе планировщика задач, эксплойт для которой уже публично доступен. А патчи обещают 11 сентября. Эксплойт написан под 64-битные WIndows 10 и Server 2016, однако может быть адаптирован и для других версий. Уязвимость позволяет аутентифицированному пользователю повысить права до SYSTEM. Всего лишь нужно запустить эксплойтик.

Благо в данном случае есть простое решение - ограничить доступ к директории C:\Windows\Tasks:

icacls c:\windows\tasks /remove:g "Authenticated Users"
icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

В таком случае тот злополучный эксплойт работать не будет, в то время как задачи планировщика - будут, и пользователи не потеряют возможность создавать новые задачи. Однако работа заданий устаревшего формата может нарушиться, как пример - задания SCCM и обновления SCEP.

Не лишним будет проверить наличие всяких посторонних локальных администраторов и даже почитать логи, если не настроена система отслеживания подозрительных событий.

А еще вот эти ребята https://0patch.com/ говорят, что включили в свой 0patch Agent возможность установить временный патч, но вот он есть только для Windows 10 v1803 х64.
Information Hardening 29 Aug, 10:57
#linux #unix #exploit #обновление

Побольше об OpenSSH

OpenSSH отличается относительно малым количеством проблем безопасности, особенно критических. И похоже как следствие - частой встречаемостью устаревших версий, а также очень устаревших версий. Если риск раскрытия имени пользователя не мотивирует на обновление, интересно заглянуть на пару лет в прошлое и посмотреть, чем еще опасны старые версии OpenSSH:

CVE-2016-10009 - до версии 7.4 - возможность исполнения кода сервером OpenSSH на КЛИЕНТЕ через подключение произвольной библиотеки (якобы провайдера PKCS11), если у инициатора безобразия есть возможность загрузить желаемую библиотеку на сторону клиента. Пример эксплуатации: https://www.exploit-db.com/exploits/40963/

CVE-2016-10010 - до версии 7.4 - возможность повышения привилегий до рута через подключение к сокетам домена Unix, если отключено UsePrivilegeSeparation. Эксплойт: https://github.com/offensive-security/exploit-database-bin-sploits/raw/master/bin-sploits/40962.zip

А еще в версии 7.4 отключили поддержку версии 1 SSH и шифров Blowfish, RC4 и 3DES-CBC и RSA-ключей короче 1024 бит.

CVE-2016-6210 - до версии 7.3 - еще одна утечка информации о том, существует ли заданный пользователь. Через разницу во времени проверки хешей BLOWFISH и SHA256/SHA512. Скрипт: https://www.exploit-db.com/exploits/40136/

CVE-2016-6515 - до версии 7.3 - это просто DoS: https://www.exploit-db.com/exploits/40888/

CVE-2015-6565 - в версиях 6.8 и 6.9 - повышение привилегий через общедоступные на запись файлы устройств PTY. Эксплойт: https://www.exploit-db.com/exploits/45280/