Zamów książkę sekuraka o bezpieczeństwo aplikacji www!

W biegu

0day umożliwiający zdobycie admina przez zwykłego użytkownika. Microsoft niepoprawnie załatał CVE-2021-41379

23 listopada 2021, 18:51 | W biegu | komentarze 2
0day umożliwiający zdobycie admina przez zwykłego użytkownika. Microsoft niepoprawnie załatał  CVE-2021-41379

~Kilka dni temu Microsoft załatał podatność umożliwiającą lokalną eskalację uprawnień do administratora. Łatka jednak okazała się trochę dziurawa i nieco zdenerwowany ~badacz bezpieczeństwa opublikował PoCa (czy tak naprawdę działający exploit), umożliwiającego ponowne wykorzystanie podatności. Jest to raz jeszcze eskalacja uprawnień wymagająca posiadania uprawnień zwykłego użytkownika w Windows. Odpalamy PoCa i…

Czytaj dalej »

Czy logowanie się odciskiem palca jest bezpieczne?

23 listopada 2021, 11:53 | W biegu | komentarze 3

Historia przełamywania zabezpieczeń skanerów linii papilarnych jest już całkiem długa. Ekipa Krakena postanowiła zrobić mała aktualizację. Procedura jest dość prosta: Zdjęcie odcisku palca (np. z powierzchni tabletu). Wydruk na drukarce laserowej, na odpowiednim papierze. Trochę kleju do drewna – wykonanie finalnego 'sztucznego palca’. Etapy produkcji oraz efekty – na filmiku…

Czytaj dalej »

Ogromne włamanie do GoDaddy – dotkniętych ~1.2 miliona użytkowników WordPressa. Hasła, maile, telefony, klucze prywatne…

22 listopada 2021, 18:16 | W biegu | komentarze 3
Ogromne włamanie do GoDaddy – dotkniętych ~1.2 miliona użytkowników WordPressa.  Hasła, maile, telefony, klucze prywatne…

Wszystkiego nie da zmieścić się w tytule, więc po kolei. GoDaddy przesłał stosowne oświadczenie, które możecie zobaczyć tutaj: Using a compromised password, an unauthorized third party accessed the provisioning system in our legacy code base for Managed WordPress. Zatem ktoś dostał dostęp do części administracyjnej GoDaddy, odpowiedzialnej za fragment infrastruktury…

Czytaj dalej »

test sekurak black friday nie wchodzić

22 listopada 2021, 12:34 | W biegu | komentarze 4

Black Friday już niebawem, ale już teraz możecie mieć absolutnie rewelacyjną cenę na: Mega Sekurak Hacking Party (-40% na bilet Standard) z kodem: mega-BF40 Ksiązka bezpieczeństwo aplikacji webowych (papier) (-25%) z kodem: ksiazka-bf-25 Dwudniowe praktyczne szkolenie: wprowadzenie do OWASP Top Ten 2021 (podając kod: sekurak-prebf szkolenie jest w cenie 899…

Czytaj dalej »

Posiadacze Tesli nie mogą otworzyć swoich samochodów. Globalna awaria. [kapiszon czy znak naszych czasów?]

22 listopada 2021, 10:44 | W biegu | komentarze 2
Posiadacze Tesli nie mogą otworzyć swoich samochodów. Globalna awaria. [kapiszon czy znak naszych czasów?]

Media na całym świecie alarmują w takim tonie: Tesla drivers left unable to start their cars after outage. Wygląda dość groźnie, prawda? Choć moim zdaniem to chyba najlepszy kandydat na clickbait roku 2021 (a może nie?). Okazuje się, że rzeczywiście wystąpił globalny problem z appką Tesli, która może służyć również…

Czytaj dalej »

Przegląd ataków na polskich internautów (8–21.11.2021 r.)

22 listopada 2021, 09:00 | W biegu | 1 komentarz
Przegląd ataków na polskich internautów (8–21.11.2021 r.)

We wpisie prezentujemy wybrane ataki na polskich internautów. Wpadła Wam w oko złośliwa kampania? Komentujcie lub piszcie na sekurak@sekurak.pl. Poprzednie przeglądy: 6–19.09.2021 r. 20–26.09.2021 r. 27.09–3.10.2021 r. 4–10.10.2021 r. 11–17.10.2021 r. 18–24.10.2021 r. 25.10–7.11.2021 r. Wyłudzenia zdjęć dowodów i selfie. Ten sposób ataku ma miejsce w serwisach służących do sprzedaży….

Czytaj dalej »

Obejście BitLockera nakładem 50 USD (TPM sniffing)

22 listopada 2021, 08:53 | W biegu | komentarzy 12
Obejście BitLockera nakładem 50 USD (TPM sniffing)

Dokładny sposób przeprowadzenia czynności wspomnianej w tytule przedstawiono w tym tekście. Badacze w praktyce zaprezentowali metodę z 2019 roku autorstwa Denisa Andzakovica, o której napisano również na Sekuraku. BitLocker nie jest całkowicie bezpieczny, jak każde inne rozwiązanie, i można dostać się do zaszyfrowanych danych na różne sposoby, np. poprzez aktualizację…

Czytaj dalej »

Badacze przygotowali appkę wykrywającą ukryte szpiegowskie kamery ze skutecznością ~90%

19 listopada 2021, 17:17 | W biegu | komentarzy 9
Badacze przygotowali appkę wykrywającą ukryte szpiegowskie kamery ze skutecznością ~90%

Ukryte kamery to zmora np. Airbnb (właściciele mieszkań chcą monitorować co się dzieje, wynajmujący niekoniecznie chcą być podglądani). Zobaczcie zresztą ten przypadek (przeskanował nmapem mieszkanie wynajęte na Airbnb – znalazł siebie…w ukrytej kamerze): Wracając do tytułu wpisu – wspominana praca opiera się na wykorzystaniu czujników ToF (Time of Flight) dostępnych…

Czytaj dalej »

Osoba sprzątająca w domu ministra obrony Izraela wyciekła jego prywatne dane + oferowała infekcję komputera malware

19 listopada 2021, 15:52 | W biegu | komentarzy 6
Osoba sprzątająca w domu ministra obrony Izraela wyciekła jego prywatne dane + oferowała infekcję komputera malware

Ten ciekawy wątek opisuje The Record. Omri Goren Gorochovsky, którzy sprzątał w domu ministra został zatrzymany; wcześniej kontaktował się z grupami hackerskimi oferując swoje usługi (niekoniecznie związane ze sprzątaniem). W ramach udowodnienia swoich dostępów przesłał takie dane jak: Zdjęcia wnętrza domu Zdjęcia prywatnych fotografii Zdjęcia prywatnych dokumentów Zdjęcia różnych sprzętów…

Czytaj dalej »

Podsumowanie drugiej edycji konkursu CTF TIME TO HACK organizowanego przez Agencję Wywiadu

18 listopada 2021, 21:27 | W biegu | 0 komentarzy
Podsumowanie drugiej edycji konkursu CTF TIME TO HACK organizowanego przez Agencję Wywiadu

Podsumowanie drugiej edycji konkursu CTF TIME TO HACK organizowanego przez Agencję Wywiadu W październiku informowaliśmy Was o drugiej już edycji konkursu CTF TIME TO HACK organizowanego przez Agencję Wywiadu: Piętnastego listopada poznaliśmy zaś zwycięzców: W odróżnieniu od pierwszej edycji organizatorzy tym razem postawili na współpracę uczestników zabawy, zaś sam CTF…

Czytaj dalej »

FBI ostrzega o wykorzystywanej przez grupę APT podatności 0day w VPN [Fatpipe]. Podatność jest banalna.

18 listopada 2021, 09:37 | W biegu | 1 komentarz
FBI ostrzega o wykorzystywanej przez grupę APT podatności 0day w VPN [Fatpipe]. Podatność jest banalna.

Esencja z ostrzeżenia FBI wygląda następująco: As of November 2021, FBI forensic analysis indicated exploitation of a 0-day vulnerability in the FatPipe MPVPN® device software going back to at least May 2021. The vulnerability allowed APT actors to gain access to an unrestricted file upload function to drop a webshell…

Czytaj dalej »

Awaria orlenomatu – otwarte były niektóre skrytki [mamy odpowiedź Orlen]

18 listopada 2021, 09:13 | W biegu | komentarzy 15
Awaria orlenomatu – otwarte były niektóre skrytki [mamy odpowiedź Orlen]

Jeden z czytelników zaalertował nas o takim znalezisku: Osoba, która wykonała zdjęcie okrasiła całość następującym komentarzem: Radzę nie korzystać z automatów paczkowych Orlenu, zwłaszcza tego przy stacji na ul. Łaskiej [Pabianice – dopisek Sekurak]. Większość skrytek jest otwartych i każdy, kto chce może odebrać cudzą przesyłkę, więc jeśli macie paczkę…

Czytaj dalej »

Krok od totalnego chaosu i masowych hacków aplikacji w Internecie. W NPM można było bez autoryzacji publikować nowe wersje dowolnego pakietu!

17 listopada 2021, 12:18 | W biegu | 0 komentarzy
Krok od totalnego chaosu i masowych hacków aplikacji w Internecie. W NPM można było bez autoryzacji publikować nowe wersje dowolnego pakietu!

Do tej pory opisywaliśmy scenariusze, gdy ktoś hackował konto developera jakiegoś popularnego pakietu (np. NPM), a następnie wypuszczał nową wersję (w której był malware). W ten sposób złośliwy kod dostawał się do projektów, które wykonywały aktualizacje pakietów. Tutaj jednak NPM poinformował o znacznie gorszym problemie, który został zgłoszony do ich…

Czytaj dalej »