Крадем пароли, сертификаты, kerberos токены в открытом виде

В одном канале автор подняла тему защиты от подобных атак, но как мне показалось ее пост не полностью раскрывает все подробности этой ситуации. Вообще, тема эта давно и далеко не новая - любой безопасник, а особенно пентестер точно знают об утилите, которая умеет все это делать - mimikatz. Утилита довольно-таки известная, популярная и входит в массу пост эксплуатационных фреймворков.

Вообще, я хоть и закончил вуз по направлению КОИБАС (типа я дипломированный безопасник), сам к безопасникам себя не отношу, однако, для того чтобы грамотно строить свою инфраструктуру безопасность изучать следует - нужно знать и понимать к чему может привести то или иное решение. Причем, я сторонник изучения уязвимости именно со стороны атаки - потрогать руками, узнать что именно нужно злоумышленнику, чтобы поиметь вашу систему. Это и интересно и поучительно. Попробуйте обязательно поиграться с mimikatz и посмотреть результаты.

А вот и статья, которая достаточно подробно раскрывает детали ее работы, а в особенности как можно ее детектить и от нее защищаться:

https://adsecurity.org/?page_id=1821

#security #mimikatz

Удивительное рядом

Казалось бы - безопасность в современном мире уже набирает обороты и все больше людей повышают свою компьютерную грамотность, соц инженерия уже не так активно действует на людей, как раньше. И вот вы работаете с какой-то сторонней организацией, в которой заводят вам пользователя в своей системе, чтобы как-то взаимодействовать с вами. А потом, вдруг, неожиданно вам начинают приходить рассылки, которые вообще не для ваших глаз. И все почему? потому что ваше фио или просто фамилия совпадает с каким-то сотрудником. С кем не бывает скажете вы? За последний год такое происходит со мной третий раз. В разных организациях, которые занимаются вообще абсолютно разными направлениями. Мало того что это происходит, так еще и отписаться от этого сложно. Машина бюрократии неповоротлива, пока ты найдешь ответственных людей, которые уберут тебя из рассылки.. А дальше еще круче - через какое-то время ты снова начинаешь получать рассылки. Что это? добавление по регуляркам или просто вселенская глупость? Но как вектор атаки это тоже имеет смысл - выяснить фио руководителя и завестись в системе с таким же или похожим именем. Или взять себе имя начинающееся на А - как самое распространенное. Человеческий глаз не успеет ухватить полностью разницу, а уж в сокращении и.фамилия - тем более. Следите за вашими контрагентами, особенно за рассылками.

#security

Лаба по повышению привилегий в Linux

https://in.security/lin-security-practise-your-linux-privilege-escalation-foo/

#security #learning #thirdparty

Интегрируем проверку на уязвимости в CI

The Anchore Engine is an open source project that provides a centralized service for inspection, analysis and certification of container images. 

https://github.com/anchore/anchore-engine

https://medium.com/devopslinks/step-by-step-guide-to-integrate-opensource-container-security-scanner-anchore-engine-with-cicd-580da8db5dfc

#docker #jenkins #security

[SECURITY] [DSA 4462-1] dbus security update

Package : dbus
CVE ID : CVE-2019-12749
Debian Bug : 930375

Joe Vennix discovered an authentication bypass vulnerability in dbus, an asynchronous inter-process communication system. The implementation of the DBUS_COOKIE_SHA1 authentication mechanism was susceptible to a symbolic link attack. A local attacker could take advantage of this flaw to bypass authentication and connect to a DBusServer with elevated privileges.

The standard system and session dbus-daemons in their default configuration are not affected by this vulnerability.

The vulnerability was addressed by upgrading dbus to a new upstream version 1.10.28 which includes additional fixes.

For the stable distribution (stretch), this problem has been fixed in version 1.10.28-0+deb9u1.

https://security-tracker.debian.org/tracker/source-package/dbus

#security #updates

Security updates

Package : linux
CVE ID: CVE-2019-3846 CVE-2019-5489 CVE-2019-9500 CVE-2019-9503 CVE-2019-10126 CVE-2019-11477 CVE-2019-11478 CVE-2019-11479 CVE-2019-11486 CVE-2019-11599 CVE-2019-11815 CVE-2019-11833 CVE-2019-11884
Debian Bug : 928989

Several vulnerabilities have been discovered in the Linux kernel that may lead to a privilege escalation, denial of service or information leaks.

CVE-2019-3846, CVE-2019-10126

huangwen reported multiple buffer overflows in the Marvell wifi (mwifiex) driver, which a local user could use to cause denial of service or the execution of arbitrary code.

CVE-2019-5489

Daniel Gruss, Erik Kraft, Trishita Tiwari, Michael Schwarz, Ari Trachtenberg, Jason Hennessey, Alex Ionescu, and Anders Fogh discovered that local users could use the mincore() system call to obtain sensitive information from other processes that access the same memory-mapped file.

CVE-2019-9500, CVE-2019-9503

Hugues Anguelkov discovered a buffer overflow and missing access validation in the Broadcom FullMAC wifi driver (brcmfmac), which a attacker on the same wifi network could use to cause denial of service or the execution of arbitrary code.

CVE-2019-11477

Jonathan Looney reported that a specially crafted sequence of TCP selective acknowledgements (SACKs) allows a remotely triggerable kernel panic.

CVE-2019-11478

Jonathan Looney reported that a specially crafted sequence of TCP selective acknowledgements (SACKs) will fragment the TCP retransmission queue, allowing an attacker to cause excessive resource usage.

CVE-2019-11479

Jonathan Looney reported that an attacker could force the Linux kernel to segment its responses into multiple TCP segments, each of which contains only 8 bytes of data, drastically increasing the bandwidth required to deliver the same amount of data.

This update introduces a new sysctl value to control the minimal MSS
(net.ipv4.tcp_min_snd_mss), which by default uses the formerly hardcoded value of 48. We recommend raising this to 536 unless you know that your network requires a lower value.

CVE-2019-11486

Jann Horn of Google reported numerous race conditions in the Siemens R3964 line discipline. A local user could use these to cause unspecified security impact. This module has therefore been disabled.

CVE-2019-11599

Jann Horn of Google reported a race condition in the core dump implementation which could lead to a use-after-free. A local user could use this to read sensitive information, to cause a denial of service (memory corruption), or for privilege escalation.

CVE-2019-11815

It was discovered that a use-after-free in the Reliable Datagram Sockets protocol could result in denial of service and potentially privilege escalation. This protocol module (rds) is not autoloaded on Debian systems, so this issue only affects systems where it is explicitly loaded.

CVE-2019-11833

It was discovered that the ext4 filesystem implementation writes uninitialised data from kernel memory to new extent blocks. A local user able to write to an ext4 filesystem and then read the filesystem image, for example using a removable drive, might be able to use this to obtain sensitive information.

CVE-2019-11884

It was discovered that the Bluetooth HIDP implementation did not ensure that new connection names were null-terminated. A local user with CAP_NET_ADMIN capability might be able to use this to obtain sensitive information from the kernel stack.

For the stable distribution (stretch), these problems have been fixed in version 4.9.168-1+deb9u3.

#security #updates

Jenkins снова радует RCE

https://iwantmore.pizza/posts/cve-2019-10392.html
https://iwantmore.pizza/assets/images/poc.png
https://jenkins.io/security/advisory/2019-09-12/

#jenkins #security

⚡️Уязвимость в sudo⚡️

Package: sudo
CVE ID: CVE-2019-14287
Debian Bug 942322

Joe Vennix discovered that sudo, a program designed to provide limited super user privileges to specific users, when configured to allow a user to run commands as an arbitrary user via the ALL keyword in a Runas specification, allows to run commands as root by specifying the user ID - -1 or 4294967295. This could allow a user with sufficient sudo privileges to run commands as root even if the Runas specification explicitly disallows root access.

Details can be found in the upstream advisory at https://www.sudo.ws/alerts/minus_1_uid.html .

For the oldstable distribution (stretch), this problem has been fixed in version 1.8.19p1-2.1+deb9u1.

For the stable distribution (buster), this problem has been fixed in version 1.8.27-1+deb10u1.

Краткий пример

если в sudoers написано что-то типа

myhost bob = (ALL, !root) /usr/bin/vi

что дает право запускать редактор пользователю боб от имени любого кроме root, то такое ограничение можно обойти:

bob:~$ sudo -u#-1 vi -c '!bash -c id -u'
0

#security #sudo

https://github.com/NuID/nebulousAD

NebulousAD is a tool for auditing Active Directory user passwords against a database of compromised passwords found in data breaches.

#security

#security сертификация

#backoffice_security #Эксперт_администратор_Winodws #Security
Что нужно будет делать:
• администрирование и развитие backoffice инфраструктуры компании
• автоматизация рутинной деятельности и повышение своего КПД написанием скриптов, политик, применением подготовленных образом систем и т.п.
• security-харденинг (мы подскажем что и как)
• интеграция IT-систем и систем безопасности
• внедрение безопасных технологий
• разделение сетей, разграничение полномочий

Основные навыки:
Опыт и знания характерные для админа Windows обязательны. (AD, GPO, etc, CA, ADFS, WSUS, ..., etc...)

Будут плюсом следующие навыки:
• Умение разобраться в том, как технология работает, заглянуть за ширму GUI-интерфейса;
• Продвинутая настройка Linux в том числе на уровне devops (применение salt, ansible, etc)
• Опыт настройки и обновления VMware vSphere в кластере
• Понимание проблем безопасности сетей, построенных на базе MS AD (сколь угодно глубоко)
• Понимание как безопасно администрировать сеть и пользовательские компьютеры
• Хороший бекгрануд по настройке сетей
• Хороший бекграунд по автоматизации
• Опыт исправления инфраструктуры после проведения тестирования на проникновение

Уровень от мидл до синьор. Много работы по харденингу и безопасности в команде крутых специалистов. Модный офис в центре и прочее в комплекте. Важно чтобы человек умел понять как работает технология, копнуть глубже чем это дают на вендорских курсах. ПМ в @one_frz

тут один коллега притащил. почитать чтоли на досуге..

att&ck матрица для кубера, занятно https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/

#kubernetes #security

Один коллега попросил рассказать о новой платформе в ctf-стиле. Дальше повествование от его лица.

Я хочу рассказать о проекте по обучению безопасности, к созданию которого сам приложил руку (даже две) - https://hacktory.ai/

Сейчас там доступно два курса, которые можно попробовать бесплатно.

Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.

Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.

Первым 20 пользователям, кто пройдёт любую лабораторную работу и скинет в личку md5 от самого последнего флага в формате Имя лабы - md5(last_flag), я отправлю в ответ код, который позволит активировать доступ на месяц.

Если флаг кем-то уже был сдан, то следующему придётся добывать новый, а код активации выдаётся только один на человека.

Также есть канал @hacktory, где выкладываются анонсы и обучающие материалы.

Ну и буду рад любому фидбеку в личных сообщениях - @rusdacent.

Всем приятного обучающего времяпрепровождения! :)


#ctf #security

небольшая подборка чатов по всяким там безопасностям

SOC/Incident Response:
* [RU] SOС Технологии - https://t.me/phd_soc
* [EN] Incident Response Community - https://t.me/IncidentResponse

Forensics:
* [EN] CyberForensicator

Malware Analysis:
* [EN] Malware Research - https://t.me/MalwareResearch

AppSec:
* [RU] RU.APPSEC - https://t.me/ru_appsec

ICS/SCADA:
* [RU] RUSCADASEC community - https://t.me/RuScadaSec

VM:
* [RU] Vulners Chat - https://t.me/VulnersChat
* [EN] Chat Information Security Automation - https://t.me/avleonovchat

Mitre ATT&CK:
* [RU] ATT&CK™ COMMUNITY RUSSIA - https://t.me/attack_community

#security

набор уязвимых сервисов для обучения

https://github.com/cliffe/SecGen/
https://www.hackthebox.eu/
https://www.vulnhub.com/
https://github.com/rapid7/metasploitable3
http://www.itsecgames.com/

#security

Тут подсказали что уже есть более обширные подборки пентест-лабораторий, вот список

https://captf.com/practice-ctf/
https://unaalmes.hispasec.com/login
https://365.csaw.io/
https://defcon2018.ctfd.io/
https://ctf.hackucf.org/challenges
http://ctf.infosecinstitute.com/index.php
https://junior.stillhackinganyway.nl/home#challenge-information
https://challenges.re
https://angstromctf.com
https://3206.innotecsystem.com/home
https://hack.me
http://www.cipher-ctf.org/CaptureTheFlag.php
https://www.cybergamesuk.com/code-crackers
https://atenea.ccn-cert.cni.es/home
https://www.hackthebox.eu/
http://ctfs.me/
https://ctf365.com/
https://overthewire.org/wargames
https://www.hacking-lab.com/
https://www.picoctf.com
https://ctftime.org/
https://www.pentestit.ru/
https://shellterlabs.com/en/
https://ringzer0team.com/
https://challenges.ka0labs.org
https://www.sans.org/netwars/continuous/
https://www.sans.org/netwars/cybercity
https://www.vulnhub.com/
https://exploit-exercises.com
https://w3challs.com/
http://smashthestack.org/wargames.html
https://www.hackthissite.org/
https://www.pentesterlab.com/exercises/
https://www.root-me.org/
https://www.enigmagroup.org/
https://www.hackthis.co.uk/levels/
http://www.kioptrix.com/blog/test-page/
http://bright-shadows.net/
https://microcorruption.com/login
http://www.dvwa.co.uk/
https://www.owasp.org/index.php/
https://sourceforge.net/projects/metasploitable/
https://bitcoinchallenge.codes
https://backdoor.sdslabs.co
http://io.netgarage.org
https://ctf.hitcon.org
http://hackthis.co.uk.
https://ctf.secadmin.es
https://uni.hctf.fun/pages/home
https://ctf-classic.ihacklabs.com/
http://ctf.hackmadrid.org/home
https://ctf.honeycon.eu
https://tryhackme.com/
https://github.com/cliffe/SecGen/
http://www.itsecgames.com/
https://hacktory.ai
https://www.amanhardikar.com/mindmaps/Practice.html

#security

Вооооот. А еще я наклепал лабу по linux hardening... По большей части это компиляция из известных ресурсов, моего там практически нет. В целом это выглядит как чистый хахреднинг, но на самом деле он лежит в разделе про ansible, потому что тут довольно неплохие задачи которые позволят прокачать свои умения в этом продукте. Так шо объединяем приятное с полезным - инфраструктура как код и сесурити, шобы злобный хацкер не майнил бетховенов на вашем железе!

https://github.com/bykvaadm/OS/tree/master/devops/ansible/lab4

#linux #hardening #security #ansible

защищаем апишный роут в nginx

действия не сложные, но приходится делать не часто, потому не помню всё наизусть и каждый раз гуглить приходится, а потому запишу сюды, чтобы было.

Дано: апи, и N подрядчиков которые будут туда ходить. на границе с интенрнетами стоит nginx.
Задача: максимально защитить доступ к апи для внешних сервисов. (подходит в том числе для pcidss)

1) каким либо способом генерим сертификаты. Хорошо описано вот здесь: https://habr.com/ru/post/213741/#comment_10231686
По сути нам нужно будет получить пару для УЦ, пару для nginx, и N пар для клиентов. там же написано как это подключить, чтобы требовало проверки, используя ssl_client_certificate и ssl_verify_client on;
2) для того чтобы ходить могли только конкретные сертификаты, нужно рассказать nginx какие из них доверенные. это сделать можно например проверяя сериал или хеш сертификата, в данном случае сериал. получаем его так:

cert=filename.crt
serial=$(openssl x509 -in ${cert} -text -noout | grep -A1 Serial | grep -v Serial | tr -d ' ') && \
echo classic serial: $serial && \
echo \$ssl_client_serial: $(echo $serial | tr -d ":" | tr '[:lower:]' '[:upper:]')

и интегрируем

    map $ssl_client_serial $reject {
        default 1;
        ..........C5CE16 0; #client1
        ..........635A2D60 0; # client2
    }
    server {
....
      location / { deny all; }
      location /secret {
        if ($reject) { return 403; }

тут мы запрещаем ходить везде кроме особого роута, чтобы клиент не мог случайно попасть на случайно открытые роуты которые ему не предназначены (когда разраб накосяпорил и выставил какой-то роут с дебагом или метриками)
3) получаем список ip подрядчика и пишем в роуте стандартные allow-deny

        allow 1.2.3.4 # client1
...
        deny all;

4) в качестве дополнительной проверки передаём апстриму инфу о том что за клиент пришёл

proxy_set_header X-Subject-Name $ssl_client_s_dn;

Таким образом, только конкретный ip только имея конкретный сертификат может сходить только на конкретный роут и о том какой пришёл клиент узнаёт бекэнд.

#nginx #security