Aktualności

Czy deserializacja XML-a w .NET jest niebezpieczna? Microsoft załatał podatność w Sharepoint dającą dostęp na serwer(y)

22 marca 2019, 16:07 | W biegu | 0 komentarzy

Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) - czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na 'zwykłych' XML-ach czy JSON-ach. Microsoft załatał tego typu...

Czytaj dalej »

Oprogramowanie do zarządzania krakowaniem/odzyskiwaniem haseł na GPU od Amazona

22 marca 2019, 11:51 | W biegu | komentarzy 6
Oprogramowanie do zarządzania krakowaniem/odzyskiwaniem haseł na GPU od Amazona

Ma to w sobie chyba wszystko: ładny interfejs graficzny, wybieranie liczby instancji AWS, na które rozpylany będzie proces łamania (z aktualizacją kosztów), wybór słowników, konkretnych algorytmów do łamania, limitu czasu na łamanie, aktualizacje statusu, itd: Twórcy zachwalają narzędzie, również jeśli chodzi o koszty - $22 za niemal 2 Terahashe na...

Czytaj dalej »

Facebook przechowywał hasła setek milionów użytkowników w plaintext...

21 marca 2019, 17:01 | W biegu | komentarzy 14

Brian Krebs przynosi mrożącą krew w żyłach wiadomość: Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees — in some cases going back to 2012, KrebsOnSecurity has learned. Była też możliwość wyszukania rekordów zawierających te hasła przez pracowników Facebooka i...

Czytaj dalej »

Phishing na Facebook i Google - przelali mu na konta przeszło 100 000 000 USD "za sprzęt"

21 marca 2019, 16:22 | W biegu | komentarzy 10

Oskarżony Litwin właśnie przyznał się do winy, formalny wyrok zostanie ogłoszony w USA w lipcu tego roku. Maksymalny wymiar kary, który mu grozi to 30 lat więzienia. Sprawa sięga aż 2013 roku, a schemat działania był dość prosty. W oświadczeniu wydanym przez departament sprawiedliwości USA czytamy tak: From 2013 through 2015,...

Czytaj dalej »

Jaki antywirus wybrać na Androida?

21 marca 2019, 15:34 | W biegu | komentarze 4

Bardziej techniczni napiszą - żaden - wystarczy mieć w miarę porządny telefon, nie zmieniać domyślnych ustawień bezpieczeństwa, nie instalować appek z zewnętrznych źródeł i wykonywać aktualizacje. Bardziej skrupulatni polecą wykonać dodatkowe dobezpieczenie ustawień na telefonie (hardening) - dokument CIS_Google_Android_Benchmark_v1.2.0.pdf to prawie 100 stronicowa książeczka dotycząca dobezpieczenia Androida 9.0.x (są też benchmarki...

Czytaj dalej »

0day w pluginie WordPressa do wysyłania maili

21 marca 2019, 15:05 | W biegu | 0 komentarzy

Chodzi o easy Easy WP SMTP (300 000+ instalacji)  - operacja masowego wykorzystywania luki w tym oprogramowaniu trwa w najlepsze. NinTechNet zauważył aktywne ataki na instancje WordPressa wykorzystujące plugin, po czym poinformował twórcę pluginu. Patch już jest dostępny: We reported the vulnerability to the authors and the wordpress.org team on...

Czytaj dalej »

Nagłówek Host warty $4000 - podatność w GitLab

21 marca 2019, 14:48 | W biegu | 0 komentarzy

Ciekawy błąd zgłoszony do GitLaba: Unauthenticated blind SSRF in OAuth Jira authorization controller, wypłata $4000. Istota problemu polegała tutaj na odpowiednim użyciu nagłówka HTTP Host: Zauważmy że adres, do którego łączy się curl (https://gitlab.com/) to nie ten sam, co w nagłówku Host (162.243.147.21:81). Ten ostatni to adres napastnika, a jak widać możemy...

Czytaj dalej »

Atlassian Confluence - dwa krytyczne bugi - łatajcie

21 marca 2019, 14:34 | W biegu | 0 komentarzy

Błędy otrzymały status critical (co oznacza w produktach Atlassian co najmniej 9.0/10 w skali CVSSv3): Confluence Server and Data Center versions released before the 18th June 2018 are vulnerable to this issue. A remote attacker is able to exploit a Server-Side Request Forgery (SSRF) vulnerability in the WebDAV plugin to send arbitrary...

Czytaj dalej »

Ile może kosztować włam do firmy? Marriott mierzy się z możliwymi stratami w wysokości nawet 2 miliardów złotych

20 marca 2019, 18:47 | W biegu | komentarze 3

CEO tej znanej sieci hoteli podsumował niedawno cyberatak, o którym pisaliśmy parę miesięcy temu: 383 million guest records 18.5 million encrypted passport numbers 5.25 million unencrypted passport numbers 9.1 million encrypted payment card numbers Tylko bezpośrednie straty szacuje się na 200 - 600 milionów dolarów amerykańskich. Co nas skłoniło do...

Czytaj dalej »

Przez zainfekowany zestaw SDK do Google Play trafiły niebezpieczne aplikacje

20 marca 2019, 15:10 | W biegu | komentarze 4

Analitycy Check Point informują na swoim blogu, że do oficjalnego sklepu Google Play zostało dodane 206 złośliwych gier, które zostały pobrane 147 milionów razy. Biorąc pod uwagę ilość innych aplikacji na Androida, ta liczba nie robi wielkiego wrażenia. Niestety oznacza to również, że automatyczna weryfikacja dodawanych aplikacji przez Google nie...

Czytaj dalej »

Bezprzewodowe przejmowanie komputera przez pilota do prezentacji Logitech

20 marca 2019, 11:29 | W biegu | 1 komentarz

Słyszeliście o bezprzewodowym wciskaniu klawiszy na klawiaturze poprzez przejęcie myszki? Taką samą zasadę działania mamy w popularnym pilocie do prezentacji Logitecha: Nie ma tu wielkiem magii - urządzenie komunikuje się z donglem podobnie jak bardzo duża liczba klawiatur czy mysz - wykorzystując standard NRF24. Stąd taka nieco może egzotyczna metoda...

Czytaj dalej »

Norweski gigant z branży aluminium - Norsk Hydro - zaatakowany. Globalna sieć firmy nie działa. Ransomware LockerGoga?

19 marca 2019, 18:30 | W biegu | komentarzy 6

Norsk Hydro to największy producent aluminium w Europie i jeden z największych na świecie (wytwarzający również energię), zatrudniający około 35 000 pracowników. Dzisiaj została podana do publicznej wiadomości informacja o cyber-ataku na firmę. Wiele mediów spekuluje, że jest to ransomware (LockerGoga). Firma podsumowała obecny status w formie konferencji prasowej, a jej...

Czytaj dalej »