RT CERT

Сегодня в очередной Patch Tuesday Microsoft опубликовал информацию о новой RCE уязвимости в Microsoft DNS server. Уязвимость, обнаруженная исследователями из компании Check Point, получила название SIGRed, идентификатор CVE-2020-1350 и максимальный уровень критичности - CVSS score 10.0 Такой высокий рейтинг обусловлен простотой эксплуатации и крайне высокой вирулентностью. Уязвимость затронула все версии Windows Server с 2003 по 2019.
По данным экспертов исследовательского центра Check Point для ее эксплуатации достаточно послать определенным образом составленный DNS запрос по протоколу TCP.

Патч для закрытия уязвимости доступен по ссылке:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

Так же есть способ предотвратить эксплуатацию уязвимости, без установки обновления: необходимо изменить ключ в реестре, отвечающий за максимальную длину пакетов, принимаемых DNS сервером со значения по-умолчанию (0xFFFF) на 0xFF00.
Ключ - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\TcpReceivePacketSize

Подобная манипуляция с ключом может привести к тому, что некоторые DNS запросы не будут обрабатываться сервером, однако, по заверениям Microsoft это должно повлиять только на случаи нестандартного использования протокола DNS. Для того, чтобы избежать некорректной работы, Microsoft рекомендует предварительно включить Debug логирование на сервере и записать трафик сервера для формирования достаточно репрезентативной выборки, отвечающей его штатной работе, и проанализировать их на предмет наличия ответов на DNS запросы вашего сервера больше, чем 65,280 байт.

Подробнее:
https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
https://blog.checkpoint.com/2020/07/14/sigred-this-is-not-just-another-vulnerability-patch-now-to-stop-the-next-cyber-pandemic/
https://vulners.com/thn/THN:DBFCCEBE2752BA05D9181D55D3477666

#dns #windows #sigred #rce #microsoft

Уязвимость CallStranger (CVE-2020-12695) в работе сервиса UPnP (SUBSCRIBE Callback) грозит серьезными последствиями для сети Интернет. Новая уязвимость позволяет злоумышленнику проводить атаки вида Reflected Amplified TCP DDOS Attack с использованием миллионов устройств с включенным сервисом UPnP.

Что такое UPnP? Universal Plug and Play (UPnP) — набор сетевых протоколов для универсальной автоматической настройки сетевых устройств для домашнего и корпоративного использования. Данный сервис работает как в домашних роутерах, так и во множестве IoT-устройствах, которыми так богат современный дом.
Сервис UPnP не предусматривает авторизацию и почти всегда включен по умолчанию.

Уязвимость заключается в возможности указать произвольный URL в качестве заголовка Callback, на который (URL) будет отправлен ответ. Сервис UPnP не выполняет каких-либо проверок о нахождение адресата сообщения и адреса, указанного в заголовке, в одном адресном пространстве, что позволяет указать любой узел назначения.
Злоумышленник, выполнив массовую рассылку "легких" сообщений (100-200 байт), может получить на выходе амплификацию с различным PAF (Packet Amplification Factor).

Анализ различных устройств с UPnP-сервисом показал следующие PAF:
Xbox One в 4 раза,
AVTransport в 8-16 раз,
ConnectionManager в 22-92 раза,
Media Player в 3.5 раза,
Philips TV в 14 раз,
HP Deskjet 6940 (PrintBasic) в 6 раз,
HP Deskjet 6940 (PrintEnhanced) в 8 раз,

Так же уязвимость сервиса UPnP позволяет выполнять выполнять эксфильтрацию данных. Так как злоумышленник контролирует заголовок Callback, он может выполнять скрытную передачу информации на подконтрольный ему сервер. Исследователи успешно смогли использовать телевизор с функционалом smart tv и принтер как скрытную точку передачи данных во внешнюю среду.

По данным аналитиков сервиса AntiDDoS Ростелеком: случаи использования данной уязвимости при атаках на клиентов Ростелеком не зафиксированы.

Мы рекомендуем отключить сервис UPnP, если он не используется. Если такая возможность отсутствует и ваше устройство позволяет детально настраивать работу сервиса - установить ограничение для сообщений SUBSCRIBE/NOTIFY на принятие и отправку данных только по локальным (приватным) адресам согласно RFC 1918.

Подробнее: https://callstranger.com/
https://kb.cert.org/vuls/id/339275 (данные обновляются)

#upnp #iot #callstranger #subscribe #ddos #dos #callback #dataexfiltration #CVE-2020-12695

Новый тип атаки DoS-атаки с помощью протокола DNS получил название NXNSAttack.
Коротко: Злоумышленник отправляет запрос в сторону Openresolver сервера, перенаправляя его на свой подконтрольный авторитативный сервер, который отвечает длинным списком NS серверов жертвы (чаще всего спуфленные имена).
Openresolver берет этот список и начинает опрашивать DNS жертвы на предмет информации об эти адресах, что вызывает большое количество NXDomain сообщений, которое приводит к росту нагрузки на сервер.
Фактически атака направлена только на целевые DNS сервера.
В настоящий момент спасение только установить патчи на свои DNS-сервера и настроить лимиты на опрос.

По данным исследований усиление при атаке на сервер BIND (9.12.3) позволяет увеличить атаку в 1000 раз (Packet Amplification Factor, PAF).
Анализ публичных DNS-серверов показал следующие PAF:
CloudFlare (1.1.1.1) в 48 раз,
Google (8.8.8.8) - 30 раз,
FreeDNS (37.235.1.174) - 50 раз,
OpenDNS (208.67.222.222) - 32 раза.
Level3 (209.244.0.3) - 273 раза,
Quad9 (9.9.9.9) - 415 раз
SafeDNS (195.46.39.39) - 274 раза,
Verisign (64.6.64.6) - 202 раза,
Ultra (156.154.71.1) - 405 раз,
Comodo Secure (8.26.56.26) - 435 раз,
DNS.Watch (84.200.69.80) - 486 раз,
Norton ConnectSafe (199.85.126.10) - 569 раз.

Уязвимы:
BIND (CVE-2020-8616),
Knot (CVE-2020-12667),
PowerDNS (CVE-2020-10995),
Windows DNS Server,
Unbound (CVE-2020-12662),
а также публичные DNS-сервисы Google, Cloudflare, Amazon, Quad9, ICANN и других компаний.

Подробнее:
https://www.opennet.ru/opennews/art.shtml?num=52995
https://xakep.ru/2020/05/20/nxnsattack/
https://en.blog.nic.cz/2020/05/19/nxnsattack-upgrade-resolvers-to-stop-new-kind-of-random-subdomain-attack/

#dns #amplification #bind #NXNSAttack #dos #NXDomain

Вышел патч для устранения уязвимости переполнения буфера в механизме обработки сжатых пакетов с данными в протоколе SMBv3.1.1 (CVE-2020-0796).

Microsoft присвоил данной уязвимости статус «критическая» (CVSS base-10.0, CVSS temporal -9.0).

Уязвимы следующие версии Windows:
- Windows 10 (v1903, v1909)
- Windows Server (v1903, v1909)

Патч доступен для всех уязвимых версий.

Подробнее:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

#smb #rce #worm #windows #patch

Очередная ошеломляющая новость! В механизме обработки сжатых пакетов с данными протокола SMBv3 обнаружен bug, который позволяет хакеру выполнить атаку типа Buffer Overflow. В социальных сетях активно обсуждают развитие данной атаки до удаленного выполнения кода (RCE). Уязвимость, получившая идентификатор CVE-2020-0796, позволяет злоумышленнику послать специально сформированный пакет на tcp-порт 445 уязвимого сервера без аутентификации и выполнить эксплуатацию.

Microsoft рекомендует отключить компрессию в настройках SMBv3 и отключить доступность порта 445 с помощью сетевого и встроенного межсетевого экрана на серверах и на клиентских устройствах. Исследователи из MalwareHunterTeam, нашедшие уязвимость, считают что данная уязвимость может активно использоваться таким зловредным программным обеспечением как сетевые черви.

Пока данный CVE номер находится в статусе Reserved, так что больше подробностей мы не знаем.

P.S. Информация касательно данной уязвимости активно обсуждается в социальных сетях.

Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0796
https://fortiguard.com/encyclopedia/ips/48773
https://twitter.com/malwrhunterteam/status/1237438376032251904

#smb #rce #worm #windows

Let's Encrypt в течение 24 часов отзывает 3 миллиона TLS-сертификатов, которые были выданы по ошибке.

Баг был обнаружен 29 февраля 2019 года и устранен в течении двух часов после обнаружения. Сервис Let's Encrypt не выполнял проверку принадлежности домена пользователю перед выпуском TLS-сертификата.
В результате баг позволил реализовать сценарий по получению сертификата для доменного имени без валидации владельца домена.

Провайдер TLS сертификатов предоставил сайт для проверки необходимости замены сертификата для Вашего доменного имени
https://checkhost.unboundtest.com/

Возможна проверка так же с помощью curl запроса:

сurl -XPOST -d 'fqdn=domain.example' https://checkhost.unboundtest.com/checkhost

Подробнее:
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
https://thehackernews.com/2020/03/lets-encrypt-certificate-revocation.html?m=1
https://letsencrypt.org/caaproblem/


#tls #ssl #https #LetsEncrypt

Вышел патч для устранения уязвимости (CVE-2020-0601) в CryptoAPI криптографической библиотеки crypt32.dll. Microsoft не присвоил данной уязвимости статус "критический" и ограничился уровнем "важная", так как она не относится к RCE и есть другие ограничения в ее эксплуатации. Уязвимы следующие версии Windows:
- Windows 10
- Windows Server 2016
- Windows Server 2019
Так же уязвимость затрагивает все ПО, которое в вопросах валидации сертификатов полагается на механизмы Windows и, соответственно, их CryptoAPI.

Уязвимость, обнаруженная экспертами АНБ, касается процесса валидации сертификата и позволяет спуфить сертификаты, выпущенные доверенными источниками.
В описании уязвимости от MS упор делается на цифровую подпись вредоносного ПО и вскользь упоминается возможность реализации MITM. АНБ же наоборот почти всю свою статью посветили вопросу доверия при сетевом взаимодействии (в частности HTTPS) и рекомендуют прятать уязвимые хосты за Proxy с TLS инспекцией, на которые ложится вопрос валидации.

Некоторые антивирусные решения уже выпустили соответствующие сигнатуры детектирования. Например Microsoft Defender сообщит Вам о Exploit:Win32/CVE-2020-0601.A(B)
Так же в статьях Microsoft и АНБ по ссылкам ниже описаны методы детектирования попыток реализации атаки.

Подробнее:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
https://gist.github.com/SwitHak/62fa7f8df378cae3a459670e3a18742d

#windows #crypto #crypt32

По данным KrebsOnSecurity в криптографической библиотеке crypt32.dll нашли серьезную уязвимость, которая актуальна для всех версий Windows.
Пока мы все ждем подробностей, но потенциально возможные уязвимости в данном компоненте шокируют уже сейчас.

Подробнее:
https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

#windows #crypto #crypt32

Набирает обороты серьезная уязвимость (CVE-2019-19781) в Citrix ADC и Citrix gateway. Уязвимость позволяет злоумышленникам выполнять удаленный код (RCE) на Citrix серверах, что может привести с катастрофическим последствиям для компании.
ВНИМАНИЕ: Экплойт находится в открытом доступе.

Разработчик рекомендует незамедлительно обновить уязвимые версии устройств. Для различных версий ПО (10.5,11.1,12.0,12.1,13) планируется выход исправляющих патчей с 20-31 января. До момента выхода патчей рекомендуется выполнить шаги: https://support.citrix.com/article/CTX267679

По данным портала badpackets: в мире уязвимы порядка 25000 серверов Citrix. На данный момент активное сканирование на предмет наличия уязвимости идет в глобальной сети. Наибольшее количество уязвимых серверов на данный моменты в США. Россия в ТОП 10 не попала, что не может не радовать.

На наших устройствах Citrix с выполненными рекомендациями производителя - мы зафиксировали уже более 380 срабатываний политики, отвечающей за исправление уязвимости.

Подробнее:
https://support.citrix.com/article/CTX267027
https://badpackets.net/over-25000-citrix-netscaler-endpoints-vulnerable-to-cve-2019-19781/
https://www.mdsec.co.uk/2020/01/deep-dive-to-citrix-adc-remote-code-execution-cve-2019-19781/

#citrix #adc #rce #exploit

В DNS-сервере Bind обнаружена уязвимость в механизме обработки TCP-сообщений (TCP-pipeline), приводящая к возможной DoS-атаке.

При включенном функционале TCP-pipeline каждый входящий запрос по TCP-соединению требует выделения ресурсов, аналогичного запросу, полученному через UDP или через TCP без pipepline.
Клиент, использующий TCP-pipeline соединение с сервером, может потреблять больше ресурсов, чем сервер выделил для обработки.
Когда TCP-соединение с большим количеством pipeline-запросов закрыто, нагрузка на сервер, освобождающая выделенненые ресурсы, может привести к тому, что сервер перестает принимать какие-либо запросы.
Уязвимость получила индентификатор: CVE-2019-6477.

Производители рекомендуют обновить версии DNS-серверов или отключить функционал TCP-pipeline

Подробнее:
https://kb.isc.org/docs/cve-2019-6477

#dns #dos #bind #tcp

Уязвимость RCE в популярном DNS-сервере Unbound (с 1.6.4 по 1.9.4) получила CVE-2019-18934

Под ударом сервера с включенным модулем ipsec (--enable-ipsecmod). Злоумышленник может отправить специально сформированный пакет, который может привести к удаленному исполнению произвольного кода злоумышленника.
Для успешной компрометации сервера необходимо совпадение нескольких условий:
1) сервер собран (скомпилирован) с опцией --enable-ipsecmod;
2) ipsecmod включен и используется в конфигурации;
3) DNS-сервер принимает запросы А/AAAA записей домена, у которого доступны записи А/AAAA/IPSECKEY

Подробнее:
https://nvd.nist.gov/vuln/detail/CVE-2019-18934
https://www.nlnetlabs.nl/news/2019/Nov/19/unbound-1.9.5-released/

#dns #unbound #rce #ipsecmod

Исследователи из Fortinet обнаружили уязвимость в оборудовании D-Link позволяющую выполнять инъекцию команд неавторизованным пользователям. Потенциально уязвимость может быть развита до RCE.

Уязвимость получила номер:
CVE-2019-16920

Уязвимые устройства:
DIR-655
DIR-866L
DIR-652
DHP-1565

Данные устройства находятся в статусе EOL, то есть выпуск патчей вендором не запланирован.

На наших honeypot'ах активности злоумышленников не наблюдается. Возможно, в данный момент, злоумышленники не взяли на вооружение данную уязвимость.

Подробнее:
https://www.fortinet.com/blog/threat-research/d-link-routers-found-vulnerable-rce.html?fbclid=IwAR1vapaPsC7W4idiiCKDMC6I-pTN_Vsqf12F41-EYBdXY8L2Yr1b_fZ9DpI

#rce #cominj #d-link #cpe #fortinet

Найдена серьезная уязвимость в Mac Zoom Client'e, которая позволяет любому веб-сайту выполнить подключение к сессии Zoom Call пользователя и включить его веб-камеру без разрешения.
В дополнение злоумышленник может вызвать произвольный DoS пользователя посылая запросы множество раз.

Подробнее:
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

#zoom #rce #webcam #dos

Уязвимость в процессе SACK, о которой мы писали выше, получила сразу несколько индентификаторов:
CVE-2019-11477 SACK Panic
CVE-2019-11478 SACK Slowness (Linux < 4.15) or Excess Resource Usage (all Linux versions)
CVE-2019-11479

Подробнее:
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
https://lore.kernel.org/netdev/20190617170354.37770-1-edumazet@google.com/T/
https://patchwork.ozlabs.org/project/netdev/list/?series=114310&state=*
https://access.redhat.com/security/vulnerabilities/tcpsack

#sack #tcp #linux #cve

Disclaimer:

Поступила информация о возможной серьезной уязвимости в работе стека TCP/IP в системах Linux. Уязвимость присутствует в работе процесса SACK (Selective Acknowledgements/Выборочное Подтверждение).
SACK используется для облегчения работы мобильных пользователей с публично доступными сервисами. SACK позволяет производить повторную
передачу лишь отдельных, не подтвержденных фрагментов, а не всего TCP-окна, как это реализовано в старых стандартах. По-умолчанию данная опция включена в новых версия Linux.

На данный момент CVE нет, но ожидается в ближайшие время. Мы рекомендуем вам выключить поддержку данной опции (net.ipv4.tcp_sack=0), если в ней нет необходимости.

Подробнее про SACK:
https://tools.ietf.org/html/rfc2883

Исследователь безопасности (Renato Marinho at Morphus Labs) обнаружил новый ботнет, который выполняет брутфорс публичных доступных Windows RDP-сервисов.

После успешного подбора пароля, злоумышленник выполняет установку приложения GoldBrute написанного на Java.
Каждая взломанная машина после старта сканирования возвращает список из как минимум 80 публично доступных RDP сервисов C&C-серверу.
Информацию об успешно подобранном пароле агент ботнета возращает на С&C-сервер.
Исследователи связывают возможное использование эксплойта к уязвимости CVE-2019-0708 (BlueKeep) и неисправленной уязвимости CVE-2019-9510 (bypass the lock screen on remote desktop (RD) sessions) с данным ботнетом.

Подробнее:
https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d
https://thehackernews.com/2019/06/windows-rdp-brute-force.html

IOC:
Files (SHA256)

af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e (bitcoin.dll)

Network

104[.]248[.]167[.]144 (Zip download)
104[.]156[.]249[.]231:8333 (C2 server)


#goldbrute #bluekeep #rdp #windows #lockscreen

Коллеги,
Анализ сети ШПД Ростелеком показал, что более 42% публично доступных RDP-сервисов уязвимы к BlueKeep/CVE-2019-0708.
Эксплойт публично доступен. Сканер данной уязвимости для Metasploit так же доступен. Предполагаем начало массовых атак в ближайшее время.
RT CERT призывает Вас своевременно обновлять свое ПО и отказываться от идеи размещения публично доступных RDP-сервисов.

Все мы помним Wanna Cry, Petya, Bad Rabbit и т.п.

#rdp #metasploit #CVE-2019-0708 #windows #BlueKeep #exploit