Архив метки: Закрытие уязвимостей

Уязвимости EternalChampion, EternalRomance и EternalSynergy

Арсенал хакеров пополнился новым крутым эксплойтом уязвимостей EternalChampion, EternalRomance и EternalSynergy (это все входит в MS17-010, как и широкоизвестный EternalBlue).

Эксплойт доступен в виде двух модулей метасплойта https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/smb/ms17_010_psexec.rb и https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/admin/smb/ms17_010_command.rb.

Работает для всех Windows от 2000, как 32, так и 64-битных. Более надежен, чем EternalBlue!

Вот так то, без обновлений дальше жить никак нельзя. (Ну вообще то и раньше нельзя было, но таки убедимся, что все хорошо)

PowerShell способ проверки:

При установке патча обновляется версия файла %systemroot%system32driverssrv.sys и по ее значению можно точно определить, установлено ли обновление.

Windows XP – 5.1.2600.7208 и выше

Windows Server 2003 с пакетом обновления 2 (SP2) – 5.2.3790.6021 и выше

Windows Vista, Windows Server 2008 с пакетом обновления 2 (SP2) – GDR:6.0.6002.19743, LDR:6.0.6002.24067 и выше

Windows 7, Windows Server 2008 R2 – 6.1.7601.23689 и выше

Windows 8, Windows Server 2012 – 6.2.9200.22099 и выше

Windows 8.1, Windows Server 2012 R2 – 6.3.9600.18604 и выше

Windows 10 TH1 v1507 – 10.0.10240.17319 и выше

Windows 10 TH2 v1511 – 10.0.10586.839 и выше

Windows 10 RS1 v1607, Windows Server 2016 – 10.0.14393.953 и выше

Прилагается PowerShell скрипт, который автоматически проверяет соответствие версии.

Сетевой способ проверки:

 # nmap -p445 --script smb-vuln-ms17-010 -Pn -n <target>

Проверка по KB, содержащим патч:

Их десятки. Перечислены вот тут: https://support.microsoft.com/ru-ru/help/4023262/how-to-verify-that-ms17-010-is-installed

Источник : https://t.me/informhardening



2018-02-07T12:21:14
Закрытие уязвимостей

Как настроить Mozilla Firefox для приватности

Mozilla решил дополнительно подсуетиться о приватности пользователей.

В 59-м Firefoxе заголовок Referer будет содержать не полный URL страницы, а только имя домена. Это при условиях, что включен private browsing и запрос на сторонний домен.

А что вообще стоит включить в Firefoxe для приватности?

network.http.sendSecureXSiteReferrer=false – можно отключить отправку Referer на HTTPS-сайтах

network.cookie.cookieBehavior=1 – отключает использование сторонних cookie

privacy.trackingprotection.enabled=true, privacy.trackingprotection.pbmode=true – включает защиту от отслеживания, которая реализуется в блокировке контента с определенного списка сайтов, замеченных в слежке за пользователями (формируется by Disconnect и встроен в Firefox)

geo.enabled=false – отключает геолокацию

Все настроечки доступны в about:config. Ну и че? А если 100 браузеров надо настроить?

Фаерфокс умеет считывать настроечки из файла, ага, даже не из реестра =/ Считывает он .js файлы из папки defaults/pref (Win, Linux) или Firefox.app/Contents/Resources/defaults/pref (Mac). Однако тут должна быть только ссылка на файл конфигурации, в общем надо создать .js файл со следующим содержанием:

// Any comment. You must start the file with a single-line comment!

pref("general.config.filename", "mozilla.cfg");

pref("general.config.obscure_value", 0);

Ну а теперь в директории, где лежит бинарь Фаерфокса, создаем файл mozilla.cfg уже с интересующими настройками, примерно так:

// Any comment. You must start the file with a comment!

lockPref("network.http.sendSecureXSiteReferrer", false);

lockPref("network.cookie.cookieBehavior", 1);

lockPref("privacy.trackingprotection.enabled ", true);

lockPref("privacy.trackingprotection.pbmode", true);

lockPref("geo.enabled", false);

Тут можно использовать разные уровни применения натроек:

lockPref – юзер не может изменить настройку

pref – настройка считывается при каждом запуске браузера, но юзер может ее перенастроить на время сессии

defaultPref – если юзер задаст новое значение настройки, оно будет использоваться и в новых сессиях

Источник: https://t.me/informhardening

 



2018-02-06T11:54:47
Закрытие уязвимостей

Как отключить Adobe Flash в браузерах Firefox, Internet Explorer , Microsoft Edge , Chrome

Adobe Flash славу получил как плагин небезопасный, густо снабженный уязвимостями и к отключению рекомендуемый. Вот и новая уязвимость в нем найдена – CVE-2018-4878, и хакерами эксплуатируется в wild. Ежели плагином вы пользуетесь, можете просто обновить до версии 28.0.0.137 превышающей, а в случае ином – можно и получше что-то сотворить.

Так как HTML5 потихоньку (или уже и не потихоньку) вытесняет Flash, на мобильных платформах Flash уже и не поддерживается, и вообще, вы мало где можете встретить потребность в нем, самый действенный способ – отключить или удалить его. Если на такое вы пока решиться не готовы, обязательно стоит включить функцию подтверждения запуска содержимого для флеша.

Internet Explorer

Тут у нас флеш установлен по умолчанию.

Чтобы отключить: открываем меню -> “Manage add-ons” -> “All add-ons”, находим “Shockwave Flash Object” и жмем “Disable”.

Отключаем массово: через групповые политики в User ConfigurationWindows ComponentsInternet ExplorerSecurity FeaturesAdd-on Management:Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects

Включаем запрос о запуске: открываем меню -> “Manage add-ons” -> “All add-ons”, находим “Shockwave Flash Object”, жмакаем пракой кнопкой и “More information”. Там есть поле с перечнем разрешенных сайтов, а под ним кнопка “Remove all sites”, жмем ее и готово.

Microsoft Edge

Опять же, флеш добавлен по умолчанию.

Отключить: Settings -> “View advanced settings”, найти “Use Adobe Flash Player” и отключить.

Отключить массово: с помощью групповой политики Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsMicrosoft EdgeAllow Adobe Flash

Включаем запрос о запуске: массово с помощью групповой политики Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsMicrosoft EdgeConfigure the Adobe Flash Click-to-Run setting или в реестре HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftMicrosoftEdgeSecurity:FlashClickToRunMode в значение 1.

Chrome

По умолчанию флеш установлен.

Отключить: открываем chrome://plugins/, находим Adobe Flash Player и кликаем “Отключить”.

Включить запрос о запуске: массово с помощью политики Computer ConfigurationAdministrative TemplatesGoogleGoogle ChromeContent SettingsDefault Plugins Setting. Или в Settings -> Show Advanced Settings -> Content settings, находим “Plugins” и выбираем “Let me choose when to run plugin content”, а еще под ним проверяем исключения.

Firefox

Флеш не установлен по умолчанию.

Выбрать поведение: Tools -> Addons -> Plugins, находим Flash и выбираем опцию “Ask to activate” или “Never activate”.

Источник : https://t.me/informhardening

 



2018-02-05T11:41:08
Закрытие уязвимостей

Усиление защиты EMET

На самом деле общесистемный масштаб имеют лишь некоторые функции EMET, а гораздо больших спектр фич применим к процессам конкретных приложений.

Для приложения можно включить следующие функции:

DEP — реализуется за счет вызова kernel32!SetProcessDEPPolicy в контексте контролируемого процесса

BottomUpASLR — в некотором роде представляет собой ASLR для выделяемых регионов памяти на стеке и в куче (по мере выделения памяти и в старших адресах)

NullPage — защита от эксплуатации MS13-031

MandatoryASLR — принудительно включает ASLR для динамически загружаемых библиотек процесса. Реализуется за счет перехвата функции ntdll!NtMapViewOfSection

HeapSpray — позволяет фиксировать попытки операций выделения большого количества участков памяти с размещением там кода эксплойта

LoadLib — отслеживание операций LoadLibrary с целью предотвращения загрузки библиотеки в память по пути UNC

MemProt — запрет изменения статуса страниц стека на executable

Caller — контроль за тем, чтобы функция была вызвана с помощью call, а не ret, что широко применяется в эксплойтах

SimExecFlow — позволяет обнаруживать ROP-гаджеты после вызова контролируемой EMET функции

StackPivot — позволяет обнаруживать ситуации перемещения регистра стека ESP на нужный для эксплойта адрес

SEHOP — отслеживает попытки эксплуатирования обработчиков SEH

EAF (Export Address Table Access Filtering) — запрещает какие-либо операции обращения к странице памяти, на которой расположена таблица экспорта модуля, кроме доступа легитимного кода

Все эти функции можно настроить в окне Mitigations графического интерфейса. Кроме того, в окне Application Configuration есть еще три дополнительных функции:

Deep Hooks — для защиты критических API EMET будет перехватывать не только сами функции, но и те функции (другие API), которые из них будут вызываться

Anti Detours — блокирует действия эксплойтов, которые пропускают первые байты API (обычно пролог) и передают управление на инструкции, следующие за ними

Banned Functions — запрещает вызов API-функций из специального списка

Каждое отдельно взятое приложение может быть несовместимо с некоторыми защитами EMET, поэтому перед его включением требуется тестирование (или гуглинг данных от тех, кто уже протестировал). Однако в административных шаблонах EMET поставляются уже готовые проверенные политики для ряда приложений.

Включаются они следующими групповыми политиками:

– Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsEMETDefault Protections for Internet Explorer

– Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsEMETDefault Protections for Recommended Software (включает Adobe Reader, Adobe Acrobat, Java, Microsoft Office, блокнот)

– Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsEMETDefault Protections for Popular Software (включает Media Pleer, Skype, Lync, Windows Live, Google Talk, Chrome, Firefox, Thunderbird, Adobe Photoshop, Winamp, Opera, WinRAR, WinZip, VLC, 7-Zip, Safari, iTunes и еще немного)

Источник : https://t.me/informhardening



2018-02-02T12:33:01
Закрытие уязвимостей

Рандомизация распределения виртуальной памяти (ASLR)

В Linux есть возможность включить рандомизацию распределения виртуальной памяти (ASLR).

Это одновременно защищает от эксплуатации всех уязвимостей, связанных с манипуляцией памятью, и не защищает ни от каких.

То есть защищает от не очень продвинутых эксплойтов.

Ну что ж, есть не просит – не помешает.

Включается ASLR в файле /etc/sysctl.conf с помощью следующей строки:

 kernel.randomize_va_space = 2

В семействе Red Hat есть еще фича по защите буферов с данными, текстовых и прочие попытки пресечь переполнение буфера, зовется ExecShield. Включается в том же /etc/sysctl.conf с помощью строки:

kernel.exec-shield = 1

Похожая функция есть в Solaris, только называется Stack Protection и настраивается в файле /etc/system следующей строкой:

 set noexec_user_stack=1

ASLR тоже имеется, включается так (необходимо, чтобы активная зона была global):

 sxadm delcust aslr

В AIX нет функций ASLR и защиты стека.

В HP-UX можно включить защиту стека следующей командой, после которой потребуется ребут:

 kctune executable_stack=0

Источник: https://t.me/informhardening

 



2018-02-01T11:16:50
Закрытие уязвимостей

Шаблоны MSS описание

Ну раз уж мы установили шаблоны MSS, посмотрим, что еще в них есть полезного.

Неспроста же это дополнительный пак шаблонов для безопасности.


AutoAdminLogon – позволяет включить функцию автологона по сохраненным в реестре учетным данным при запуске системы. По умолчанию (если политика не задана) выключено, как и рекомендуется.

AutoReboot – просто определяет, будет ли система автоматически перезагружаться после сбоя. Если ничего не менять – то будет.

AutoShareWks – дает возможность отключить административные шары на рабочей станции (типа ADMIN$, C$, IPC$). Но сие действо может привести к проблемам в работе софта или администрировании, так что даже стандарты по безопасности не требуют удалять административные шары.

DisableSavePassword – позволяет отключить возможность сохранения пароля для dial-up и VPN-подключений. Безопасники рекомендуют.

Hidden – компьютер перестает вещать о своих ресурсах. Что не особо смутит хакера, а для юзверей может быть неудобно.

NoDefaultExempt – определяет к каким типам трафика не применяются фильтры IPSec. Рекомендуется оставлять только IKE.

NoDriveTypeAutoRun – можно отключить автозапуск. Конечно, отключим! на всех, пожалуйста!

NoNameReleaseOnDemand – включить, чтобы защититься от спуфинга по NBT-NS. Но мы уже отключали NBT-NS, так что мало что изменится.

NtfsDisable8dot3NameCreation – возможность отключить использование имен файлов в стиле 8.3 (типа блабла~.doc). Рекомендуется отключить (т.е. поставить политику в Enabled), т.к. хакер порой может воспользоваться упрощенными наименованиями.

SafeDllSearchMode – определяет порядок поиска загружаемых библиотек. Значение Enabled определенно безопаснее.

ScreenSaverGracePeriod – фигня какая-то, определяет срок, когда экранная заставка может быть сброшена без пароля. Безопасники рекомендуют ставить 0, но вроде это ничего особо не меняет.

WarningLevel – полезен для предупреждения о заполнении лога безопасности, если в нем не настроена перезапись при заполнении.

EnableDeadGWDetect – контролирует переключение на запасной дефолтный гейтвэй. Для безопасников бесполезна.

PerformRouterDiscovery – включает автоматический поиск шлюза по протоколу IRDP. Обязательно отключаем!

SynAttackProtect – понижает тайм-ауты в условиях SYN-флуда, полезно.

TcpMaxConnectResponseRetransmissions – количество попыток отправить SYN для установки сессии. Для нормально работающих сетей просто оставить как есть.

TcpMaxDataRetransmissions – количество попыток передачи датаграмм TCP. Рекомендуется 3, по умолчанию 5, так что разница невелика.

Источник: https://t.me/informhardening



2018-01-30T11:23:59
Закрытие уязвимостей