Переполнение буфера кучи. Часть 2


Дата публикации: 2020-04-30
Автор: Перевод – Анонимный переводчик, ред. @N3M351D4
Теги: , ,

Источник: https://www.fuzzysecurity.com/tutorials/mr_me/3.html

В первой части я рассказывал про способы эксплуатации переполнения буфера кучи на старой версии Windows. Задачей было предоставить читателю практические знания и понимание того, как работает процесс выделения/освобождения памяти и как через указатели flink/blink из freelist[n] можно записывать произвольные 4 байта.

В этой статье я в первую очередь освежаю свои собственные знания (я забывчив), а также пытаюсь помочь специалистам по безопасности обрести понимание принципов работы менеджера кучи в старых версиях Windows (NT v5 и старше). Оно нужно для эксплуатации переполнения кучи и преодоления некоторых ограничений, предотвращающих запись четырёх байт. Помимо этого, статья даст читателю некоторую точку отсчёта в знаниях, которая без сомнения пригодится при эксплуатации более свежих версий кучи windows.

(далее…)

“I’ll ask your body”: SMBGhost pre-auth RCE – злоупотребление структурами прямого доступа к памяти


Дата публикации: 2020-04-27
Автор: Вольный перевод: @brom_samedi
Теги: ,

Источник: https://ricercasecurity.blogspot.com/2020/04/ill-ask-your-body-smbghost-pre-auth-rce.html

Введение

11 марта Microsoft выпустил отчет об уязвимости SMB Ghost – уязвимости целочисленного переполнения в программе распаковки сообщений SMBv3.1.1 драйвера ядра srv2.sys. SMB Ghost уже давно привлекает к себе внимание из-за возможности RCE (удаленного выполнения кода) и его “применимости” (ввиду распространенности пр. переводчика).

(далее…)

MQTT – Нервная Система IoT


Дата публикации: 2020-04-24
Автор: Перевод: @N3M351DA
Теги: ,

Источник: http://blog.catchpoint.com/2017/05/30/protocol-for-internet-of-things/

http://blog.catchpoint.com/wp-content/uploads/2017/05/MQTT-internet-of-things.jpg

 

Сегодня в нашем мире существуют миллиарды интеллектуальных устройств, но что было бы, если эти устройства были взаимосвязаны? Что если эти устройства могли бы взаимодействовать друг с другом так же, как это делают их владельцы, образуя глобальную нервную систему? По сути, это описывает то, что сегодня люди называют Интернетом вещей или IoT. IoT произвел революцию в мире информационных технологий и внедрении инноваций. Углубляясь в IoT необходимо учитывать все, начиная от производительности и заканчивая безопасностью.

(далее…)

Переполнение буфера кучи


Дата публикации: 2020-04-22
Автор: Перевод – Анонимный переводчик, ред. @N3M351D4
Теги: ,

Источник: https://www.fuzzysecurity.com/tutorials/mr_me/1.html, https://www.fuzzysecurity.com/tutorials/mr_me/2.html

Введение

Всем привет! Вы, наверное, думаете: Что мне дадут туториалы по эксплуатации кучи от b33f’а? Я надеюсь, это короткое введение ответит на все вопросы. Как вы наверняка знаете, я очень интересуюсь разработкой эксплойтов.

Когда я начинал учиться чёрной магии, которой является разработка эксплойтов, было всего несколько ресурсов, где можно было достать бесценную информацию.

Именно поэтому, когда я увидел этот твит от mr_me, я понял, что я должен сделать что-то ради сохранения его туториалов по эксплуатации кучи Windows.

(далее…)

Система обнаружения вторжений для выявления внутренних атак в системах IoT на основе доверия


Дата публикации: 2020-04-21
Автор: Перевод: @ZzzNein Добавление уточнений к исходной статье: @N3M351DA, @qwerty_bubble
Теги:

Источник: https://eprint.iacr.org/2019/849.pdf

Амбили К.Н. и Джимми Хосе, Национальный институт технологии в Калькутте, Индия

Краткое описание. Cистемы на основе технологии интернета вещей (далее – IoT-системы) уязвимы для различных кибератак, поскольку формируют в сети вложенные группы. Все большее значение начинают играть внутренние атаки, потому что многие устройства настраиваются на доступ к Интернету без средств обнаружения вторжений или межсетевых экранов. Данное исследование построено на изучении трех внутренних атак, а именно – «черная дыра», «воронка» и «червоточина» (blackhole, sinkhole и wormhole). Для их обнаружения предлагается использовать распределенную систему обнаружения вторжений на основе доверия. Для этого, индексы доверия хоста сравниваются с теми, что хранятся в неизменяемом распределенном реестре и используются для принятия решения о включении или исключении узла.

Ключевые слова: IoT, «черная дыра», «воронка», «червоточина», IDS, DDoS.

(далее…)

Анализ и обнаружение вредоносного содержимого в файлах формата DOCX


Дата публикации: 2020-04-17
Автор: Перевод @ndyNPV, ред. @N3M351DA, ред. @ZzzNein
Теги:

Источник: International Journal of Computer Science and Information Security (IJCSIS), Vol. 14, No. 8, August 2016, “Analyzing and Detecting Malicious Content: DOCX Files”

1. Введение.

За последние 10 лет организации, корпорации, да и обычные люди, стали больше зависеть от компьютеров. Microsoft Office один из самых популярных пакетов офисных приложений для ПК. Версии 2007 и 2010 годов используют для хранения данных XML и ZIP. Но одним из самых популярных форматов обмена электронными документами стал DOCX.

(далее…)

Снижение угроз в системах корневых серверов


Дата публикации: 2020-04-12
Автор: @ZzzNein
Теги:

Оригинальная статья

Введение

Система доменных имен (DNS) системы корневых серверов (RSS) является важной частью интернет-инфраструктуры. Почти все службы в сети Интернет полагаются на способность разрешать имена и адреса в глобально уникальном пространстве DNS. RSS – первый шаг на пути процесса разрешения, и его безопасность может затронуть всех Интернет-пользователей. Организации, входящие в группу операторов корневых серверов (RSO), признают важность безопасности и ее роль в поддержке сети Интернет. В этом документе описываются существующие риски безопасности RSS и общие способы их снижения. Доступность и целостность данных корневой зоны в настоящее время являются первоочередными задачами, которые стоят перед системой корневых серверов. Второй задачей выступает конфиденциальность, но ее решением занимаются уже другие люди (к примеру, рабочая группа DPRIVE Инженерного совета Интернета (IETF)). RSO признают, что RSSAC001 является юридически действительным документом, регулирующим адекватность, доступность, возможности, эксплуатационную безопасность и разнообразие реализации. Разнообразие RSO в рамках RSS позволяет RSO на независимой основе использовать собственные стратегии снижения угроз и рисков различных атак. Они сами решают, делиться ли такими методами с сообществом корневых операторов, чтобы они могли их протестировать и в дальнейшем использовать.

(далее…)