Aktualności

Microsoft Word Remote Code Execution Vulnerability – brzmi groźnie, prawda? Bo takie jest – w ostatniej łatce Microsoft nadał luce niemal maksymalną wartość ryzyka w skali CVSS – czyli 9.8 / 10 i oczywiście flagę: Critical. W skrócie – jeśli otworzysz w Wordzie złośliwy plik .rtf – będzie w stanie…

Rozbudowany opis kampanii polegającej na: W jaki sposób przejmowane są kanały YT? Odpowiedź to np. stealer + towarzysząca mu infrastruktura, który potrafi być ogłaszany w cenie raptem 200 USD: Taki stealer (malware) musi być w jakiś sposób dostarczony do ofiary – np. za pomocą złośliwej reklamy wykupionej w Google, która…

Ekipa z GitHub Security Lab postanowiła ostatnio przeaudytować projekt Datahub. Wśród licznych znalezisk mamy również takie: Missing JWT signature check (CVE-2022-39366) CVSS: 9.9 Obeznani z tematyką JWT już wiedzą co się tutaj święci. No więc tak… we wspomnianym systemie można było w payloadzie tokenu JWT umieścić absolutnie wszystko, a podpis takiego…

Szokuje Was kwota, którą można wyłudzić od łatwowiernych ofiar, odpowiednie spreparowaną gadką? Zobaczmy najpierw „gadkę”: Po krótkiej znajomości mężczyzna zwrócił się z prośbą o pomoc, która polegać miała na umożliwieniu mu powrotu z Syrii do rodzinnego kraju. Problemem miał być brak możliwości zarządzania własnymi pieniędzmi, które zgromadził na koncie. Kobieta…

Wracamy do naszego znanego i lubianego cykl tekstów na sekuraku: czwartki z OSINT-em. TLDR: co tydzień, w czwartki będziemy publikować nowy tekst autorstwa Krzyśka Wosińskiego – dzisiaj część pierwsza (tak, piątek… :-). Przy okazji – jeśli nie chcesz przegapić żadnego odcinka, zapisz się poniżej (okazyjnie możemy Ci też podsyłać inne…

Tym razem ciekawa podatność ze świata webowego. Jeden z klientów Stripe otrzymał całkiem niezłą promocję – całkowity brak opłat od transakcji, ale tylko dla sumarycznej kwoty transakcji do $20000. Postanowił zaakceptować taką ofertę (przesłaną przez Stripe) ale jednocześnie przechwycić żądanie HTTP z przeglądarki za pomocą narzędzia Burp Suite. Następnie badacz…

Pełna praca dostępna jest w tym miejscu (Drone Security and the Mysterious Case of DJI’s DroneID). W skrócie: DJI udostępnia (tj. sprzedaje) służbom – np. analizującym przestrzeń powietrzną w okolicach lotnisk – urządzenie o nazwie AeroScope. Ma ono możliwość namierzania dronów (oraz ich operatorów). Jak to działa? Po badaniach okazało…

Od pewnego czasu prosiliście nas o wspólny event z VMware związany z obsługą ostatnich incydentów ransomware atakujących systemy ESXi (również w Polsce). Słuchamy Was, więc już 9 marca o godzinie 19:00, robimy wspólnie live streama 😊 Spotkanie robimy w modelu „płać ile chcesz”. Możecie wbić całkowicie za darmo, ale każde wsparcie…

Stosowna ustawa przeszła właśnie na drodze procedowania na kolejny poziom (dzisiaj pojawiły się stosowne dokumenty do wglądu) i najpewniej za moment trafi do Sejmu. Sama ustawa „o aplikacji mObywatel” jest dość żmudną lekturą, ale rząd przygotował nam TLDR, dostępny tutaj. Z najważniejszych elementów, które zapewnia procedowana ustawa: Jak widać nie…

Eset przedstawił analizę malware BlackLotus. To złośliwe oprogramowanie potrafi odpalić się we wczesnej fazie bootowania systemu, co z kolei umożliwia na ominięcie wielu standardowych metod ochrony oferowanych przez system operacyjny / hardware: However, running as a bootloader gives them almost the same capabilities as firmware implants, but without having to…

Drastyczna historia z końca lutego tego roku opisywana jest w tym miejscu. Przestępcy porwali auto z dwuletnim dzieckiem; matka zdążyła zadzwonić na policję, która natychmiast zareagowała dzwoniąc do Volksvagenowego Car-Net z prośbą o pilne zlokalizowanie samochodu. Co się wydarzyło później? Niestety doszło do opóźnienia, ponieważ volkswagenowy Car-Net stwierdził, że nie…

Na naszej grupie Sekurak na Facebooku jeden z naszych Czytelników zadał pytanie, jak to możliwe, że mając uwierzytelnianie dwuskładnikowe 2FA, ktoś był w stanie zhakować i przejąć strony, którymi zarządzał. Niestety jest kilka możliwych scenariuszy, które przedstawiamy poniżej. Zacznijmy od początku Zaczęło się od powiadomienia na Facebooku, że zaproszenie do…

Bank od dłuższego czasu pracował nad wprowadzeniem tego mechanizmu dwuczynnikowego logowania do bankowości elektronicznej: Obecnie wszystko wskazuje na to, że prace dobiegają końca i w okolicach Q2/Q3 2023 roku całość będzie gotowa. Bank w ten sposób odpowiedział na pytanie serwisu Cashless: Sprzętowe klucze zabezpieczające planujemy wprowadzić jako kolejny faktor silnego…

Cały czas nie cichną echa afery związanej ze zhackowaniem infrastruktury managera haseł LastPass (więcej o temacie pisaliśmy w tym miejscu). W ostatniej aktualizacji LastPass zaznacza, że jednym z kluczowych elementów całego dużego hacku infrastruktury było otrzymanie dostępu do komputera jednego z kluczowych pracowników: hacker zaatakował jednego z czterech inżynierów DevOps,…

Z geotrackerami jest jeden problem – mogą one być również używane do niezbyt chwalebnych celów – np. bywają pomocne w stalkowaniu osób czy kradzieży samochodów: Apple w swoich trackerach wprowadził funkcje, które pozwalają namierzyć AirTag, który znajduje się blisko mnie, ale nie jest mój. Działa to jednak w obie strony…