www.opennet.ru
Взлом сайта Xubuntu с заменой ссылок на странице загрузки на вредоносное ПО
Официальный сайт дистрибутива Xubuntu скомпрометирован неизвестными злоумышленниками, которые на странице загрузки дистрибутива поменяли ссылки, ведущие на торренты, на файл "https://xubuntu.org/wp-content/Xubuntu-Safe-Download.zip". В итоге на странице загрузки…
🔗Ссылка:
https://opennet.ru/64079/
https://opennet.ru/64079/
Forwarded from AP Security
#soc #tools
Windows Security Events Terminal🔍
Комплексный инструмент, облегчающий поиск событий безопасности Windows и их фильтрацию.
🌟 Ознакомиться с исходниками утилиты можно по следующей ссылке.
Windows Security Events Terminal
Комплексный инструмент, облегчающий поиск событий безопасности Windows и их фильтрацию.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1
Forwarded from purple shift
Мы часто видим, что в различных статьях по детектированию техник повышения привилегий с использованием ADCS (ESC-атаки) авторы до сих пор используют старый формат событий запросов сертификатов в ADCS (события 4886—4889). Однако в этом году компания Microsoft обновила формат упомянутых событий, и обновлённая схема даёт намного больше возможностей для написания хантов.
К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.
На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.
В обновлённом формате видно использованный шаблон,
А вот как выглядит теперь событие 4887 при таком запросе:
Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле
К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.
Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.
К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.
На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.
В обновлённом формате видно использованный шаблон,
subjectAltName (SAN) в CSR, RequestClientInfo с пользователем, хостом и даже процессом из COM-объекта, использованный протокол для запроса (RPC или DCOM) и т.д. А вот как выглядит теперь событие 4887 при таком запросе:
Certificate Services approved a certificate request and issued a certificate.
Request ID: 79
Requester: ESSOS\daenerys.targaryen
Attributes:
ccm:meereen.essos.local
Disposition: 3
SKI: 93 be 4b 84 64 d7 19 20 6e 94 82 4d 1f ed 86 a5 c1 2c 0e 09
Subject: CN=daenerys.targaryen, CN=Users, DC=essos, DC=local
Subject Alternative Name:
Other Name:
Principal Name=viserys.targaryen
Certificate Template: ESC1
Serial Number: 200000004f317b974a5431d29a00000000004f
Authentication Service: Kerberos
Authentication Level: Privacy
DCOMorRPC: DCOM
Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле
CertSerialNumber). К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.
Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.
www.opennet.ru
Обновление VirtualBox 7.2.4 с устранением уязвимостей
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.2, в котором устранено 8 уязвимостей, подробности о которых пока не раскрываются. Указано только, что наиболее серьёзная проблема имеет уровень опасности 8.2 из 10. Кроме…
🔗Ссылка:
https://opennet.ru/64094/
https://opennet.ru/64094/
www.opennet.ru
Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые…
🔗Ссылка:
https://opennet.ru/64093/
https://opennet.ru/64093/
Forwarded from Caster
Релиз моего исследования о безопасности протокола Kerberos. Обнаружение атак на основе анализа сетевого трафика.
Caster - Parallax
Genre: Defensive
Label: caster0x00.com
Release Date: 21 October 2025
Language: English
Length: 10476 Words
Reading Time: 39 Minutes
Performed by: Caster
Written by: Mahama Bazarov
Cover Man: Mahama Bazarov (Sony ILCE-7M3, f/5.6, 1/3 sec)
https://caster0x00.com/parallax
Caster - Parallax
Genre: Defensive
Label: caster0x00.com
Release Date: 21 October 2025
Language: English
Length: 10476 Words
Reading Time: 39 Minutes
Performed by: Caster
Written by: Mahama Bazarov
Cover Man: Mahama Bazarov (Sony ILCE-7M3, f/5.6, 1/3 sec)
https://caster0x00.com/parallax
❤1