Арсенал хакеров пополнился новым крутым эксплойтом уязвимостей EternalChampion, EternalRomance и EternalSynergy (это все входит в MS17-010, как и широкоизвестный EternalBlue).

Эксплойт доступен в виде двух модулей метасплойта https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/smb/ms17_010_psexec.rb и https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/admin/smb/ms17_010_command.rb.

Работает для всех Windows от 2000, как 32, так и 64-битных. Более надежен, чем EternalBlue!

Вот так то, без обновлений дальше жить никак нельзя. (Ну вообще то и раньше нельзя было, но таки убедимся, что все хорошо)

PowerShell способ проверки:

При установке патча обновляется версия файла %systemroot%system32driverssrv.sys и по ее значению можно точно определить, установлено ли обновление.

Windows XP – 5.1.2600.7208 и выше

Windows Server 2003 с пакетом обновления 2 (SP2) – 5.2.3790.6021 и выше

Windows Vista, Windows Server 2008 с пакетом обновления 2 (SP2) – GDR:6.0.6002.19743, LDR:6.0.6002.24067 и выше

Windows 7, Windows Server 2008 R2 – 6.1.7601.23689 и выше

Windows 8, Windows Server 2012 – 6.2.9200.22099 и выше

Windows 8.1, Windows Server 2012 R2 – 6.3.9600.18604 и выше

Windows 10 TH1 v1507 – 10.0.10240.17319 и выше

Windows 10 TH2 v1511 – 10.0.10586.839 и выше

Windows 10 RS1 v1607, Windows Server 2016 – 10.0.14393.953 и выше

Прилагается PowerShell скрипт, который автоматически проверяет соответствие версии.

Сетевой способ проверки:

 # nmap -p445 --script smb-vuln-ms17-010 -Pn -n <target> 

Проверка по KB, содержащим патч:

Их десятки. Перечислены вот тут: https://support.microsoft.com/ru-ru/help/4023262/how-to-verify-that-ms17-010-is-installed

Источник : https://t.me/informhardening

Mozilla решил дополнительно подсуетиться о приватности пользователей.

В 59-м Firefoxе заголовок Referer будет содержать не полный URL страницы, а только имя домена. Это при условиях, что включен private browsing и запрос на сторонний домен.

А что вообще стоит включить в Firefoxe для приватности?

network.http.sendSecureXSiteReferrer=false – можно отключить отправку Referer на HTTPS-сайтах

network.cookie.cookieBehavior=1 – отключает использование сторонних cookie

privacy.trackingprotection.enabled=true, privacy.trackingprotection.pbmode=true – включает защиту от отслеживания, которая реализуется в блокировке контента с определенного списка сайтов, замеченных в слежке за пользователями (формируется by Disconnect и встроен в Firefox)

geo.enabled=false – отключает геолокацию

Все настроечки доступны в about:config. Ну и че? А если 100 браузеров надо настроить?

Фаерфокс умеет считывать настроечки из файла, ага, даже не из реестра =/ Считывает он .js файлы из папки defaults/pref (Win, Linux) или Firefox.app/Contents/Resources/defaults/pref (Mac). Однако тут должна быть только ссылка на файл конфигурации, в общем надо создать .js файл со следующим содержанием:

// Any comment. You must start the file with a single-line comment!

pref("general.config.filename", "mozilla.cfg");

pref("general.config.obscure_value", 0);

Ну а теперь в директории, где лежит бинарь Фаерфокса, создаем файл mozilla.cfg уже с интересующими настройками, примерно так:

// Any comment. You must start the file with a comment!

lockPref("network.http.sendSecureXSiteReferrer", false);

lockPref("network.cookie.cookieBehavior", 1);

lockPref("privacy.trackingprotection.enabled ", true);

lockPref("privacy.trackingprotection.pbmode", true);

lockPref("geo.enabled", false);

Тут можно использовать разные уровни применения натроек:

lockPref – юзер не может изменить настройку

pref – настройка считывается при каждом запуске браузера, но юзер может ее перенастроить на время сессии

defaultPref – если юзер задаст новое значение настройки, оно будет использоваться и в новых сессиях

Источник: https://t.me/informhardening

Adobe Flash славу получил как плагин небезопасный, густо снабженный уязвимостями и к отключению рекомендуемый. Вот и новая уязвимость в нем найдена – CVE-2018-4878, и хакерами эксплуатируется в wild. Ежели плагином вы пользуетесь, можете просто обновить до версии 28.0.0.137 превышающей, а в случае ином – можно и получше что-то сотворить.

Так как HTML5 потихоньку (или уже и не потихоньку) вытесняет Flash, на мобильных платформах Flash уже и не поддерживается, и вообще, вы мало где можете встретить потребность в нем, самый действенный способ – отключить или удалить его. Если на такое вы пока решиться не готовы, обязательно стоит включить функцию подтверждения запуска содержимого для флеша.

Internet Explorer

Тут у нас флеш установлен по умолчанию.

Чтобы отключить: открываем меню -> “Manage add-ons” -> “All add-ons”, находим “Shockwave Flash Object” и жмем “Disable”.

Отключаем массово: через групповые политики в User ConfigurationWindows ComponentsInternet ExplorerSecurity FeaturesAdd-on Management:Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects

Включаем запрос о запуске: открываем меню -> “Manage add-ons” -> “All add-ons”, находим “Shockwave Flash Object”, жмакаем пракой кнопкой и “More information”. Там есть поле с перечнем разрешенных сайтов, а под ним кнопка “Remove all sites”, жмем ее и готово.

Microsoft Edge

Опять же, флеш добавлен по умолчанию.

Отключить: Settings -> “View advanced settings”, найти “Use Adobe Flash Player” и отключить.

Отключить массово: с помощью групповой политики Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsMicrosoft EdgeAllow Adobe Flash

Включаем запрос о запуске: массово с помощью групповой политики Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsMicrosoft EdgeConfigure the Adobe Flash Click-to-Run setting или в реестре HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftMicrosoftEdgeSecurity:FlashClickToRunMode в значение 1.

Chrome

По умолчанию флеш установлен.

Отключить: открываем chrome://plugins/, находим Adobe Flash Player и кликаем “Отключить”.

Включить запрос о запуске: массово с помощью политики Computer ConfigurationAdministrative TemplatesGoogleGoogle ChromeContent SettingsDefault Plugins Setting. Или в Settings -> Show Advanced Settings -> Content settings, находим “Plugins” и выбираем “Let me choose when to run plugin content”, а еще под ним проверяем исключения.

Firefox

Флеш не установлен по умолчанию.

Выбрать поведение: Tools -> Addons -> Plugins, находим Flash и выбираем опцию “Ask to activate” или “Never activate”.

Источник : https://t.me/informhardening

На самом деле общесистемный масштаб имеют лишь некоторые функции EMET, а гораздо больших спектр фич применим к процессам конкретных приложений.

Для приложения можно включить следующие функции:

DEP — реализуется за счет вызова kernel32!SetProcessDEPPolicy в контексте контролируемого процесса

BottomUpASLR — в некотором роде представляет собой ASLR для выделяемых регионов памяти на стеке и в куче (по мере выделения памяти и в старших адресах)

NullPage — защита от эксплуатации MS13-031

MandatoryASLR — принудительно включает ASLR для динамически загружаемых библиотек процесса. Реализуется за счет перехвата функции ntdll!NtMapViewOfSection

HeapSpray — позволяет фиксировать попытки операций выделения большого количества участков памяти с размещением там кода эксплойта

LoadLib — отслеживание операций LoadLibrary с целью предотвращения загрузки библиотеки в память по пути UNC

MemProt — запрет изменения статуса страниц стека на executable

Caller — контроль за тем, чтобы функция была вызвана с помощью call, а не ret, что широко применяется в эксплойтах

SimExecFlow — позволяет обнаруживать ROP-гаджеты после вызова контролируемой EMET функции

StackPivot — позволяет обнаруживать ситуации перемещения регистра стека ESP на нужный для эксплойта адрес

SEHOP — отслеживает попытки эксплуатирования обработчиков SEH

EAF (Export Address Table Access Filtering) — запрещает какие-либо операции обращения к странице памяти, на которой расположена таблица экспорта модуля, кроме доступа легитимного кода

Все эти функции можно настроить в окне Mitigations графического интерфейса. Кроме того, в окне Application Configuration есть еще три дополнительных функции:

Deep Hooks — для защиты критических API EMET будет перехватывать не только сами функции, но и те функции (другие API), которые из них будут вызываться

Anti Detours — блокирует действия эксплойтов, которые пропускают первые байты API (обычно пролог) и передают управление на инструкции, следующие за ними

Banned Functions — запрещает вызов API-функций из специального списка

Каждое отдельно взятое приложение может быть несовместимо с некоторыми защитами EMET, поэтому перед его включением требуется тестирование (или гуглинг данных от тех, кто уже протестировал). Однако в административных шаблонах EMET поставляются уже готовые проверенные политики для ряда приложений.

Включаются они следующими групповыми политиками:

– Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsEMETDefault Protections for Internet Explorer

– Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsEMETDefault Protections for Recommended Software (включает Adobe Reader, Adobe Acrobat, Java, Microsoft Office, блокнот)

– Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsEMETDefault Protections for Popular Software (включает Media Pleer, Skype, Lync, Windows Live, Google Talk, Chrome, Firefox, Thunderbird, Adobe Photoshop, Winamp, Opera, WinRAR, WinZip, VLC, 7-Zip, Safari, iTunes и еще немного)

Источник : https://t.me/informhardening