• Уходит целая эпоха: Microsoft меняет "синий экран смерти" на "черный" спустя 40 лет. В новой версии теперь можно будет наблюдать не только код ошибки, но и системный файл, который мог спровоцировать ошибку.
• Заявлено, что новый дизайн BSOD будет доступен в обновлении Windows 11 уже этим летом, наряду с новой функцией Quick Machine Recovery. Данная функция позволит системным администраторам накатывать критические исправления и обновления на системах, которые не могут загрузиться, например, из-за тех же BSOD, бесконечных циклов загрузки или других критических ошибок.
➡️ https://www.theverge.com/news/692648/
#Новости
• Заявлено, что новый дизайн BSOD будет доступен в обновлении Windows 11 уже этим летом, наряду с новой функцией Quick Machine Recovery. Данная функция позволит системным администраторам накатывать критические исправления и обновления на системах, которые не могут загрузиться, например, из-за тех же BSOD, бесконечных циклов загрузки или других критических ошибок.
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
• Ошибка в 689 моделях принтеров Brother и десятках моделей Fujifilm, Toshiba и Konica Minolta раскрывает пароли администратора по умолчанию, которые могут удалённо сгенерировать злоумышленники. Более того, отсутствует способ устранить проблему через прошивку существующих принтеров.
• CVE-2024-51978 — это одна из восьми уязвимостей, которые обнаружили исследователи Rapid7 в рамках исследования оборудования Brother. Используя CVE-2024-51978 и другие уязвимости, злоумышленники имеют возможность определить пароль администратора, получить контроль над устройствами, выполнить удалённое выполнение кода, вывести устройства из строя или проникнуть в сеть, к которой подключены принтеры.
• Пароль по умолчанию в затронутых принтерах генерируется на этапе производства с использованием специального алгоритма, основанного на серийном номере устройства. В Rapid7 указывают, что алгоритм генерации пароля представляет собой легко обратимый процесс:
➡ Необходимо взять первые 16 символов серийного номера.
➡ Добавить 8 байт, полученных из статической таблицы «соли».
➡ Хэшировать результат с помощью SHA256.
➡ Закодировать хэш в формате Base64.
➡ Взять первые восемь символов и заменить некоторые буквы специальными символами.
• У атакующих есть возможность получить доступ к серийному номеру принтера, используя различные методы эксплуатации, например CVE-2024-51977. Затем хакеры могут использовать алгоритм для генерации пароля по умолчанию и войти в систему как администратор.
• После этого открываются возможности для перенастройки принтера, доступа к сохранённым отсканированным изображениям и адресным книгам. Также злоумышленники могут использовать CVE-2024-51979 для удалённого выполнения кода или CVE-2024-51984 для сбора учётных данных.
• Brother сообщила, что CVE-2024-51978 нельзя полностью исправить в прошивке. Пользователи существующих моделей должны учитывать уязвимость своих устройств и немедленно изменить пароль администратора по умолчанию, а затем обновить прошивку.
• Для устранения проблем уже есть соответствующие инструкции:
➡ Brother;
➡ Konica Minolta;
➡ Fujifilm;
➡ Ricoh;
➡ Toshiba.
#Новости
• CVE-2024-51978 — это одна из восьми уязвимостей, которые обнаружили исследователи Rapid7 в рамках исследования оборудования Brother. Используя CVE-2024-51978 и другие уязвимости, злоумышленники имеют возможность определить пароль администратора, получить контроль над устройствами, выполнить удалённое выполнение кода, вывести устройства из строя или проникнуть в сеть, к которой подключены принтеры.
• Пароль по умолчанию в затронутых принтерах генерируется на этапе производства с использованием специального алгоритма, основанного на серийном номере устройства. В Rapid7 указывают, что алгоритм генерации пароля представляет собой легко обратимый процесс:
• У атакующих есть возможность получить доступ к серийному номеру принтера, используя различные методы эксплуатации, например CVE-2024-51977. Затем хакеры могут использовать алгоритм для генерации пароля по умолчанию и войти в систему как администратор.
• После этого открываются возможности для перенастройки принтера, доступа к сохранённым отсканированным изображениям и адресным книгам. Также злоумышленники могут использовать CVE-2024-51979 для удалённого выполнения кода или CVE-2024-51984 для сбора учётных данных.
• Brother сообщила, что CVE-2024-51978 нельзя полностью исправить в прошивке. Пользователи существующих моделей должны учитывать уязвимость своих устройств и немедленно изменить пароль администратора по умолчанию, а затем обновить прошивку.
• Для устранения проблем уже есть соответствующие инструкции:
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
• Пост выходного дня: все же знают, что iOS не позволяет просто скачать и запустить любое приложение из сторонних источников, в отличии от Android? Так вот, это не совсем так, и способом описанным ниже активно пользуются злоумышленники для распространения вредоносного ПО на iOS.
• Дело в том, что Apple предоставляет разработчикам, участвующим в программе Apple Developer, так называемые provisioning-профили. Они позволяют загружать на устройство пользователя сертификаты разработчика, которые iOS в дальнейшем использует для проверки цифровой подписи приложения и определения, можно ли его запускать. Помимо собственно сертификата, в provisioning-профилях содержится его срок годности, предоставляемые приложению разрешения и прочие данные о разработчике и программе. При установке профиля на устройство сертификат становится доверенным, а подписанное им приложение — доступным для запуска.
• Provisioning-профили могут быть нескольких видов. Отладочные профили используются для тестирования приложений и распространяются только на заранее заданный набор устройств. Профили App Store Connect позволяют публиковать приложения в App Store. Enterprise-профили созданы для того, чтобы организации могли разрабатывать и устанавливать на устройства своих сотрудников приложения для внутреннего пользования без публикации в App Store и без ограничений по числу устройств. Хотя участие в программе Apple Developer платное и предполагает проверку разработчика со стороны Apple, нередко Enterprise-профили используются как разработчиками программ, не подходящих для распространения в App Store (например, кряков, читов или пиратских модификаций популярных программ), так и авторами вредоносного ПО.
• Кстати, таким образом распространялась малварь SparkCat, которая была нацелена на получение доступа к криптокошелькам своих жертв. Если интересно, то подробный разбор распространения SparkCat есть вот тут. Ну а пример установки provisioning-профиля, устанавливаемого для запуска вредоносной модификации можете наблюдать на скриншоте выше. Такие вот дела...
#ИБ
• Дело в том, что Apple предоставляет разработчикам, участвующим в программе Apple Developer, так называемые provisioning-профили. Они позволяют загружать на устройство пользователя сертификаты разработчика, которые iOS в дальнейшем использует для проверки цифровой подписи приложения и определения, можно ли его запускать. Помимо собственно сертификата, в provisioning-профилях содержится его срок годности, предоставляемые приложению разрешения и прочие данные о разработчике и программе. При установке профиля на устройство сертификат становится доверенным, а подписанное им приложение — доступным для запуска.
• Provisioning-профили могут быть нескольких видов. Отладочные профили используются для тестирования приложений и распространяются только на заранее заданный набор устройств. Профили App Store Connect позволяют публиковать приложения в App Store. Enterprise-профили созданы для того, чтобы организации могли разрабатывать и устанавливать на устройства своих сотрудников приложения для внутреннего пользования без публикации в App Store и без ограничений по числу устройств. Хотя участие в программе Apple Developer платное и предполагает проверку разработчика со стороны Apple, нередко Enterprise-профили используются как разработчиками программ, не подходящих для распространения в App Store (например, кряков, читов или пиратских модификаций популярных программ), так и авторами вредоносного ПО.
• Кстати, таким образом распространялась малварь SparkCat, которая была нацелена на получение доступа к криптокошелькам своих жертв. Если интересно, то подробный разбор распространения SparkCat есть вот тут. Ну а пример установки provisioning-профиля, устанавливаемого для запуска вредоносной модификации можете наблюдать на скриншоте выше. Такие вот дела...
#ИБ