Отказ Cisco от старых VPN-маршрутизаторов
Cisco сообщила о том, что не планирует исправлять уязвимвость сервиса UPnP (Universal Plug-and-Play) в нескольких VPN-маршрутизаторах для малого бизнеса, для которых истёк срок эксплуатации.
Ошибка нулевого дня (отслеживаемая как CVE-2021-34730 и имеющая рейтинг 9,8/10) вызвана неправильной проверкой входящего UPnP-трафика и была обнаружена одним из экспертов исследовательской лаборатории IoT Inspector.
Неавторизованные злоумышленники удалённо могут использовать данную уязвимость для перезапуска взломанных устройств, или выполнения вредоносного кода от имени пользователя root в операционной системе.
"Маршрутизаторы Cisco Small Business RV110W, RV130, RV130W и RV215W вышли из эксплуатации".
Компания просит пользователей, которые все еще используют эти модели маршрутизаторов, перейти на более новые маршрутизаторы Cisco Small Business RV132W, RV160 или RV160W, которые все еще получают обновления безопасности.
Источник
#news #cisco #exploit
Cisco сообщила о том, что не планирует исправлять уязвимвость сервиса UPnP (Universal Plug-and-Play) в нескольких VPN-маршрутизаторах для малого бизнеса, для которых истёк срок эксплуатации.
Ошибка нулевого дня (отслеживаемая как CVE-2021-34730 и имеющая рейтинг 9,8/10) вызвана неправильной проверкой входящего UPnP-трафика и была обнаружена одним из экспертов исследовательской лаборатории IoT Inspector.
Неавторизованные злоумышленники удалённо могут использовать данную уязвимость для перезапуска взломанных устройств, или выполнения вредоносного кода от имени пользователя root в операционной системе.
"Маршрутизаторы Cisco Small Business RV110W, RV130, RV130W и RV215W вышли из эксплуатации".
Компания просит пользователей, которые все еще используют эти модели маршрутизаторов, перейти на более новые маршрутизаторы Cisco Small Business RV132W, RV160 или RV160W, которые все еще получают обновления безопасности.
Источник
#news #cisco #exploit
Воскрешение уязвимости PHPUnit RCE
Как только патч для ПО выпущен, мы думаем, что проблема решена, и баг теперь не работает. В большинстве случаев это не так. Для решения этой проблемы от всех разработчиков требуется использование последней версии патча. Поскольку обновление не является особенно тривиальным действием, разработчикам необходимо планировать заранее и вставлять изменения через процесс разработки, планируя подходящее время для применения. В примерах, приведённых ниже, вы увидите, что иногда, даже этого недостаточно.
Читать: https://codeby.net/threads/voskreshenie-ujazvimosti-phpunit-rce.73241/
#php #rce #cve
Как только патч для ПО выпущен, мы думаем, что проблема решена, и баг теперь не работает. В большинстве случаев это не так. Для решения этой проблемы от всех разработчиков требуется использование последней версии патча. Поскольку обновление не является особенно тривиальным действием, разработчикам необходимо планировать заранее и вставлять изменения через процесс разработки, планируя подходящее время для применения. В примерах, приведённых ниже, вы увидите, что иногда, даже этого недостаточно.
Читать: https://codeby.net/threads/voskreshenie-ujazvimosti-phpunit-rce.73241/
#php #rce #cve
Три правила, которых требуется придерживаться при удаленной работе
При первом переходе к работе из дома многие компании внесли огромные коррективы в этот способ организации процесса. IT-отделы по всему миру творили чудеса, обеспечивая персоналу доступ ко всему, что им нужно, где бы они ни находились, для поддержания бизнеса в рабочем состоянии. Но, как вам скажет любой айтишник: битва еще не окончена. Одно дело - все наладить, а другое - поддерживать его в рабочем состоянии.
Читать: https://codeby.net/threads/tri-pravila-kotoryx-trebuetsja-priderzhivatsja-pri-udalennoj-rabote.74766/
#rules #network #security
При первом переходе к работе из дома многие компании внесли огромные коррективы в этот способ организации процесса. IT-отделы по всему миру творили чудеса, обеспечивая персоналу доступ ко всему, что им нужно, где бы они ни находились, для поддержания бизнеса в рабочем состоянии. Но, как вам скажет любой айтишник: битва еще не окончена. Одно дело - все наладить, а другое - поддерживать его в рабочем состоянии.
Читать: https://codeby.net/threads/tri-pravila-kotoryx-trebuetsja-priderzhivatsja-pri-udalennoj-rabote.74766/
#rules #network #security
Программа конференции ZeroNights 2021
В Петербурге пройдет ZeroNights, конференция по практическим аспектам кибербезопасности
На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности.
Дата и время: 25 августа, 09:00-22:30 (МСК)
Место: Санкт-Петербург, Севкабель Порт
Программа конференции включает в себя доклады разных секций и тематические активности.
Основная программа
Основная программа – доклады о новейших методах атак, безопасности прошивок, десктопных и мобильных устройств и ОС.
• «Data-only атаки на UEFI BIOS» — Александр Ермолов, Дмитрий Фролов
• «Исследуя Galaxy: построение эмуляторов для поиска уязвимостей в современных телефонах» — Александр Тарасиков
• «Эксплуатация checkm8 с неизвестным SecureROM на примере чипа T2» — Алексей Коврижных
• «Chip Red Pill: Как нам удалось выполнить произвольный микрокод внутри процессоров Intel Atom» — Марк Ермолов, Максим Горячий
• «LPE в Ring -3 / Intel ME» — Дмитрий Турченков
• «Weird proxies/2 и немного магии» — Алексей Тюрин
• «Доработка эксплойта для уязвимости CVE-2021-26708 в ядре Linux с целью обхода LKRG» — Александр Попов
• «8 способов шпионить за вашими консолями» — Иван Агарков
• «Hacking KaiOS» — Алексей Россовский
• «Автоматизация перемещения внутри периметра» — Андрей Жуков
• «Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы» — ValdikSS, Unnamed user
• «0day баг в Apache, о котором никто до сих пор не знает и который был исправлен случайно» — Макс Дмитриев
• «Спасибо, что пользуетесь сократителями URL: теперь я знаю все о ваших клиентах» — Александр Колчанов
Web Village
Это секция о веб-приложениях, их уязвимостях, обходах механизмов безопасности и о программах Bug Bounty.
• «31337» — Антон Лопаницын
• «Sentry и (не)приватный просмотр эксепшенов» — Тимур Абдуллин
• «Приключения хакера на сайтах знакомств» — Алексей Морозов
• «Фантастические баги и где они обитают» — Валерий Шевченко
• «HotPics 2021» — Эмиль Лернер
• «PD%00» — Павел Сорокин
• «Новые пути вызывать alert: Prototype Pollution» — Сергей Бобров, Никита Ступин
• «Уязвимости dApp’ов» — Омар Ганиев
• «ЖВМячни Отаке» — Paul Axe
Defensive Track
Defensive Track посвящен безопасной разработке, DevSecOps и обнаружению инцидентов.
• «О метриках с практической точки зрения» — Денис Рыбин
• «Побег из контейнера: Kubernetes» — Дмитрий Евдокимов
• «Опыт внедрения статического анализа в большой организации» — Евгений Проценко, Александр Каледа, Алексей Мещеряков
• «CVEhound: проверка исходников Linux на известные CVE» — Денис Ефремов
• «IPMI backdoor не своими руками» — Илья Зуев
• «Атаки на микросервисные приложения: методы и практические советы» —Александр Барабанов
• «Лезем невидимой рукой аппсека в релизные сборки» — Дмитрий Терешин
Воркшопы на ZeroNights
Воркшопы — это мастер-классы, которые дают возможность перейти от теории к практике под руководством профессионалов в сфере кибербезопасности.
• «Red Team 101» — Corporation 9
• «Комплексное обучение атакам на приложения» — Александр Савельев (Академия Digital Security)
• «Практический интенсив по взлому веб-приложений» — Омар Сантос, Джозеф Млодзяновски (WebSploit)
• «Воркшоп по SELinux» — Иван Агарков
Hardware Zone
Эта секция организована для любителей железа и для тех, кому интересно послушать доклады, попробовать свои силы в тематических конкурсах и просто пообщаться с единомышленниками.
• «Реверс AVR для начинающих» — Zen
• «Как мы делаем Flipper Zero» — Павел Жовнер
• «Воркшоп по беспроводному протоколу Zigbee» — Егор Литвинов
Также участники смогут принять участие в тематических активностях, например, в конкурсе «Hack to be hired» от Академии Digital Security, баг-баунти от Bitaps, активностях от ЦФТ и от комьюнити-партнеров.
Обратите внимание, что в программе могут быть изменения. Следите за обновлениями в Telegram-канале конференции.
В Петербурге пройдет ZeroNights, конференция по практическим аспектам кибербезопасности
На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности.
Дата и время: 25 августа, 09:00-22:30 (МСК)
Место: Санкт-Петербург, Севкабель Порт
Программа конференции включает в себя доклады разных секций и тематические активности.
Основная программа
Основная программа – доклады о новейших методах атак, безопасности прошивок, десктопных и мобильных устройств и ОС.
• «Data-only атаки на UEFI BIOS» — Александр Ермолов, Дмитрий Фролов
• «Исследуя Galaxy: построение эмуляторов для поиска уязвимостей в современных телефонах» — Александр Тарасиков
• «Эксплуатация checkm8 с неизвестным SecureROM на примере чипа T2» — Алексей Коврижных
• «Chip Red Pill: Как нам удалось выполнить произвольный микрокод внутри процессоров Intel Atom» — Марк Ермолов, Максим Горячий
• «LPE в Ring -3 / Intel ME» — Дмитрий Турченков
• «Weird proxies/2 и немного магии» — Алексей Тюрин
• «Доработка эксплойта для уязвимости CVE-2021-26708 в ядре Linux с целью обхода LKRG» — Александр Попов
• «8 способов шпионить за вашими консолями» — Иван Агарков
• «Hacking KaiOS» — Алексей Россовский
• «Автоматизация перемещения внутри периметра» — Андрей Жуков
• «Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы» — ValdikSS, Unnamed user
• «0day баг в Apache, о котором никто до сих пор не знает и который был исправлен случайно» — Макс Дмитриев
• «Спасибо, что пользуетесь сократителями URL: теперь я знаю все о ваших клиентах» — Александр Колчанов
Web Village
Это секция о веб-приложениях, их уязвимостях, обходах механизмов безопасности и о программах Bug Bounty.
• «31337» — Антон Лопаницын
• «Sentry и (не)приватный просмотр эксепшенов» — Тимур Абдуллин
• «Приключения хакера на сайтах знакомств» — Алексей Морозов
• «Фантастические баги и где они обитают» — Валерий Шевченко
• «HotPics 2021» — Эмиль Лернер
• «PD%00» — Павел Сорокин
• «Новые пути вызывать alert: Prototype Pollution» — Сергей Бобров, Никита Ступин
• «Уязвимости dApp’ов» — Омар Ганиев
• «ЖВМячни Отаке» — Paul Axe
Defensive Track
Defensive Track посвящен безопасной разработке, DevSecOps и обнаружению инцидентов.
• «О метриках с практической точки зрения» — Денис Рыбин
• «Побег из контейнера: Kubernetes» — Дмитрий Евдокимов
• «Опыт внедрения статического анализа в большой организации» — Евгений Проценко, Александр Каледа, Алексей Мещеряков
• «CVEhound: проверка исходников Linux на известные CVE» — Денис Ефремов
• «IPMI backdoor не своими руками» — Илья Зуев
• «Атаки на микросервисные приложения: методы и практические советы» —Александр Барабанов
• «Лезем невидимой рукой аппсека в релизные сборки» — Дмитрий Терешин
Воркшопы на ZeroNights
Воркшопы — это мастер-классы, которые дают возможность перейти от теории к практике под руководством профессионалов в сфере кибербезопасности.
• «Red Team 101» — Corporation 9
• «Комплексное обучение атакам на приложения» — Александр Савельев (Академия Digital Security)
• «Практический интенсив по взлому веб-приложений» — Омар Сантос, Джозеф Млодзяновски (WebSploit)
• «Воркшоп по SELinux» — Иван Агарков
Hardware Zone
Эта секция организована для любителей железа и для тех, кому интересно послушать доклады, попробовать свои силы в тематических конкурсах и просто пообщаться с единомышленниками.
• «Реверс AVR для начинающих» — Zen
• «Как мы делаем Flipper Zero» — Павел Жовнер
• «Воркшоп по беспроводному протоколу Zigbee» — Егор Литвинов
Также участники смогут принять участие в тематических активностях, например, в конкурсе «Hack to be hired» от Академии Digital Security, баг-баунти от Bitaps, активностях от ЦФТ и от комьюнити-партнеров.
Обратите внимание, что в программе могут быть изменения. Следите за обновлениями в Telegram-канале конференции.
Forwarded from surfIT | Новости IT
Группа киберпреступников предлагает сотрудникам компаний установить вредоносное ПО за вознаграждение
Нигерийский злоумышленник пытался завербовать сотрудников, предлагая им миллион долларов в биткоинах за развертывание программ-вымогателей Black Kingdom в сетях компаний.
«Отправитель говорит сотруднику, что если он сможет развернуть вредоносное ПО на компьютере компании или сервере Windows, ему заплатят миллион долларов в биткоинах, или 40% от выкупа в размере 2,5 миллиона долларов», — говорится в отчете Abnormal Security. «Сотруднику говорят, что он может запустить программу-вымогатель с места или удаленно. Отправитель предоставил два способа связаться с ним, если сотрудник заинтересован: почта Outlook и имя в Telegram.
Black Kingdom, также известный как DemonWare и DEMON, привлек внимание в марте этого года, когда были обнаружены злоумышленники, использующие недостатки ProxyLogon, влияющие на серверы Microsoft Exchange, чтобы заразить непропатченные системы.
Abnormal Security, которая обнаружила фишинговые электронные письма, связалась с мошенником в Telegram, создав фиктивную учетку и узнала, что письмо включает две ссылки на исполняемую полезную нагрузку программы-вымогателя, которую сотрудник мог загрузить из WeTransfer или Mega.nz.
«Мошенник также поручил нам избавиться от . EXE файлов и удалить их из корзины. Основываясь на ответах мошенника, понятно, что он:
1) ожидает, что сотрудник будет иметь доступ к серверу
2) он не очень знаком с цифровой криминалистикой», — сказал директор по разведке угроз Abnormal Security.
Также следует отметить метод использования LinkedIn для сбора корпоративных адресов электронной почты руководителей высшего звена, еще раз подчеркивая, как атаки компрометации деловой электронной почты (BEC), исходящие из Нигерии, продолжают развиваться и подвергать предприятия сложным атакам, таким как программы-вымогатели.
Идея недовольного сотрудника как угрозы кибербезопасности не нова. До тех пор, пока организациям требуются сотрудники, всегда будет какой-то инсайдерский риск. Обещание получить долю выкупа может показаться привлекательным, но нет никакой гарантии, что соучастие будет вознаграждено, и весьма вероятно, что принявший предложение злоумышленника будет пойман.
Источник
#infosec #ransomware
Нигерийский злоумышленник пытался завербовать сотрудников, предлагая им миллион долларов в биткоинах за развертывание программ-вымогателей Black Kingdom в сетях компаний.
«Отправитель говорит сотруднику, что если он сможет развернуть вредоносное ПО на компьютере компании или сервере Windows, ему заплатят миллион долларов в биткоинах, или 40% от выкупа в размере 2,5 миллиона долларов», — говорится в отчете Abnormal Security. «Сотруднику говорят, что он может запустить программу-вымогатель с места или удаленно. Отправитель предоставил два способа связаться с ним, если сотрудник заинтересован: почта Outlook и имя в Telegram.
Black Kingdom, также известный как DemonWare и DEMON, привлек внимание в марте этого года, когда были обнаружены злоумышленники, использующие недостатки ProxyLogon, влияющие на серверы Microsoft Exchange, чтобы заразить непропатченные системы.
Abnormal Security, которая обнаружила фишинговые электронные письма, связалась с мошенником в Telegram, создав фиктивную учетку и узнала, что письмо включает две ссылки на исполняемую полезную нагрузку программы-вымогателя, которую сотрудник мог загрузить из WeTransfer или Mega.nz.
«Мошенник также поручил нам избавиться от . EXE файлов и удалить их из корзины. Основываясь на ответах мошенника, понятно, что он:
1) ожидает, что сотрудник будет иметь доступ к серверу
2) он не очень знаком с цифровой криминалистикой», — сказал директор по разведке угроз Abnormal Security.
Также следует отметить метод использования LinkedIn для сбора корпоративных адресов электронной почты руководителей высшего звена, еще раз подчеркивая, как атаки компрометации деловой электронной почты (BEC), исходящие из Нигерии, продолжают развиваться и подвергать предприятия сложным атакам, таким как программы-вымогатели.
Идея недовольного сотрудника как угрозы кибербезопасности не нова. До тех пор, пока организациям требуются сотрудники, всегда будет какой-то инсайдерский риск. Обещание получить долю выкупа может показаться привлекательным, но нет никакой гарантии, что соучастие будет вознаграждено, и весьма вероятно, что принявший предложение злоумышленника будет пойман.
Источник
#infosec #ransomware
Пишем Bruteforce для панели PHPmyadmin с нуля: работаем, используя Python3
Доброго времени суток, коллеги, сегодня мы с вами будем писать небольшую программу для брутфорс атаки на панель авторизации, на замечательном языке Python3.Мы с вами постараемся придерживаться парадигмы ООП в ее самом простом виде, так как поддержка и расширение функционала даже в маленьком приложении без применения этого может стать весьма затруднительным делом.
Читать: https://codeby.net/threads/pishem-bruteforce-dlja-paneli-phpmyadmin-s-nulja-rabotaem-ispolzuja-python3.74434/
#python #bruteforce #datebase
Доброго времени суток, коллеги, сегодня мы с вами будем писать небольшую программу для брутфорс атаки на панель авторизации, на замечательном языке Python3.Мы с вами постараемся придерживаться парадигмы ООП в ее самом простом виде, так как поддержка и расширение функционала даже в маленьком приложении без применения этого может стать весьма затруднительным делом.
Читать: https://codeby.net/threads/pishem-bruteforce-dlja-paneli-phpmyadmin-s-nulja-rabotaem-ispolzuja-python3.74434/
#python #bruteforce #datebase
Интернет-безопасность: советы по защите конфиденциальности от хакеров и шпионов
Конфиденциальность отличает нас от животных. Люди часто не думают о своих правах до тех пор, пока они не понадобятся им - будь то арест во время акции протеста или при остановке авто на дороге. Наблюдение является частью сегодняшней жизни, и оно становится все более агрессивным. Правительство прослушивает людей, а осуществляется это в секретности, и наблюдение становится локализованным. Совершенной безопасности не бывает. Но, независимо от того, кто вы и где находитесь в мире, вы можете сделать вещи, многие из которых просты, чтобы защитить себя в это неспокойное время.
Читать: https://codeby.net/threads/internet-bezopasnost-sovety-po-zaschite-konfidencialnosti-ot-xakerov-i-shpionov.74767/
#security #network #infosec
Конфиденциальность отличает нас от животных. Люди часто не думают о своих правах до тех пор, пока они не понадобятся им - будь то арест во время акции протеста или при остановке авто на дороге. Наблюдение является частью сегодняшней жизни, и оно становится все более агрессивным. Правительство прослушивает людей, а осуществляется это в секретности, и наблюдение становится локализованным. Совершенной безопасности не бывает. Но, независимо от того, кто вы и где находитесь в мире, вы можете сделать вещи, многие из которых просты, чтобы защитить себя в это неспокойное время.
Читать: https://codeby.net/threads/internet-bezopasnost-sovety-po-zaschite-konfidencialnosti-ot-xakerov-i-shpionov.74767/
#security #network #infosec
Forwarded from surfIT | Новости IT
Cloudflare предотвратила крупнейшую DDoS-атаку
Компания Cloudflare, специализирующаяся на веб-инфраструктуре и безопасности веб-сайтов, в четверг сообщила о том, что ей удалось предотвратить крупнейшую на сегодняшний день DDoS атаку.
Атака, запущенная через ботнет Mirai, как сообщается, была направлена на одного из клиентов Cloudflare финансовой отрасли в прошлом месяце. "В течение нескольких секунд ботнет атаковал Cloudflare более чем 330 миллионами запросов", - отметили в компании. В какой-то момент атака достигла рекордной отметки в 17,2 миллиона запросов в секунду (rps), что в три раза превышает ранее зарегистрированные HTTP DDoS-атаки.
В данном конкретном инциденте трафик исходил от более чем 20 000 ботов в 125 странах мира, причем почти 15% атаки исходило из Индонезии, за которой следуют Индия, Бразилия, Вьетнам и Украина. Более того, только 17,2 млн оборотов составили 68% от среднего показателя оборотов легитимного HTTP-трафика, обработанного Cloudflare во втором квартале 2021 года, который составляет 25 млн оборотов HTTP.
Кроме того, ботнет, созданный на основе Mirai-варианта, запустил более десятка DDoS-атак на основе UDP и TCP, пик которых несколько раз превышал 1 Тбит/с. Компания сообщила, что неудачные атаки были направлены на игровую компанию и крупного азиатско-тихоокеанского поставщика интернет-услуг, телекоммуникаций и хостинга.
"Хотя большинство атак являются небольшими и короткими, мы продолжаем наблюдать, что подобные объемные атаки возникают все чаще", - заявили в Cloudflare. "Важно отметить, что эти объемные атаки с короткими всплесками могут быть особенно опасны для устаревших систем защиты от DDoS или организаций без активной, постоянно включенной облачной защиты".
Источник
#infosec #ddos #cloudflare
Компания Cloudflare, специализирующаяся на веб-инфраструктуре и безопасности веб-сайтов, в четверг сообщила о том, что ей удалось предотвратить крупнейшую на сегодняшний день DDoS атаку.
Атака, запущенная через ботнет Mirai, как сообщается, была направлена на одного из клиентов Cloudflare финансовой отрасли в прошлом месяце. "В течение нескольких секунд ботнет атаковал Cloudflare более чем 330 миллионами запросов", - отметили в компании. В какой-то момент атака достигла рекордной отметки в 17,2 миллиона запросов в секунду (rps), что в три раза превышает ранее зарегистрированные HTTP DDoS-атаки.
В данном конкретном инциденте трафик исходил от более чем 20 000 ботов в 125 странах мира, причем почти 15% атаки исходило из Индонезии, за которой следуют Индия, Бразилия, Вьетнам и Украина. Более того, только 17,2 млн оборотов составили 68% от среднего показателя оборотов легитимного HTTP-трафика, обработанного Cloudflare во втором квартале 2021 года, который составляет 25 млн оборотов HTTP.
Кроме того, ботнет, созданный на основе Mirai-варианта, запустил более десятка DDoS-атак на основе UDP и TCP, пик которых несколько раз превышал 1 Тбит/с. Компания сообщила, что неудачные атаки были направлены на игровую компанию и крупного азиатско-тихоокеанского поставщика интернет-услуг, телекоммуникаций и хостинга.
"Хотя большинство атак являются небольшими и короткими, мы продолжаем наблюдать, что подобные объемные атаки возникают все чаще", - заявили в Cloudflare. "Важно отметить, что эти объемные атаки с короткими всплесками могут быть особенно опасны для устаревших систем защиты от DDoS или организаций без активной, постоянно включенной облачной защиты".
Источник
#infosec #ddos #cloudflare
Forwarded from surfIT | Новости IT
Атака на Microsoft Exchange с помощью ProxyShell
Новая группа вымогателей, именуемая как LockFile, занимается взломом серверов Microsoft Exchange и шифрованием доменов Windows с использованием недавно обнаруженных уязвимостей ProxyShell.
ProxyShell - это атака на Microsoft Exchange с помощью трёх (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), связанных между собой, уязвимостей. Она позволяет удалённо выполнять код без аутентификации. Microsoft устранила эти уязвимости ещё в мае 2021 года, но недавно были раскрыты дополнительные технические детали, которые дали эксплойту вторую жизнь.
Злоумышленники начали активно сканировать и взламывать сервера компании. После использования сервера Exchange, киберпреступники загружали веб-шелл на него, который давал доступ для более обширных действий. При проникновении в сеть, LockFile сначала получала доступ к серверу Exchange, используя атаку ProxyShell, а после использовала уязвимость PetitPotam для захвата доменов Windows и шифрования устройств.
Чтобы исправить уязвимости ProxyShell, необходимо установить последние обновления Microsoft Exchange. Атаку PetitPotam устранить не так просто, поскольку обновления безопасности Microsoft не исправляют все векторы уязвимостей. Чтобы заблокировать этот вектор атаки ретрансляции NTLM, можно установить неофициальный патч от 0patch, либо же применить фильтры NETSH RPC, которые блокируют доступ к уязвимым функциям в MS-EFSRPC API.
Источник
#infosec #microsoft #exploit
Новая группа вымогателей, именуемая как LockFile, занимается взломом серверов Microsoft Exchange и шифрованием доменов Windows с использованием недавно обнаруженных уязвимостей ProxyShell.
ProxyShell - это атака на Microsoft Exchange с помощью трёх (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), связанных между собой, уязвимостей. Она позволяет удалённо выполнять код без аутентификации. Microsoft устранила эти уязвимости ещё в мае 2021 года, но недавно были раскрыты дополнительные технические детали, которые дали эксплойту вторую жизнь.
Злоумышленники начали активно сканировать и взламывать сервера компании. После использования сервера Exchange, киберпреступники загружали веб-шелл на него, который давал доступ для более обширных действий. При проникновении в сеть, LockFile сначала получала доступ к серверу Exchange, используя атаку ProxyShell, а после использовала уязвимость PetitPotam для захвата доменов Windows и шифрования устройств.
Чтобы исправить уязвимости ProxyShell, необходимо установить последние обновления Microsoft Exchange. Атаку PetitPotam устранить не так просто, поскольку обновления безопасности Microsoft не исправляют все векторы уязвимостей. Чтобы заблокировать этот вектор атаки ретрансляции NTLM, можно установить неофициальный патч от 0patch, либо же применить фильтры NETSH RPC, которые блокируют доступ к уязвимым функциям в MS-EFSRPC API.
Источник
#infosec #microsoft #exploit
Сказание о том, как Игорь начинал выполнять челленджи HTB
Тёплые, ясные летние вечера лета начинают становиться прохладными и более тёмными. Ночь и прохладная тьма мало-помалу начинают господствовать над силами света. В одну из таких ночей Игорь не спал. Бессонница истязала его в тот момент, это было частое явление. Работа в качестве сетевого админа часто выматывала его. Эх, если бы невозможность уснуть была единственной причиной того, почему в эту ночь он не спал.
Читать: https://codeby.net/threads/skazanie-o-tom-kak-igor-nachinal-vypolnjat-chellendzhi-htb.74543/
#ctf #forensic
Тёплые, ясные летние вечера лета начинают становиться прохладными и более тёмными. Ночь и прохладная тьма мало-помалу начинают господствовать над силами света. В одну из таких ночей Игорь не спал. Бессонница истязала его в тот момент, это было частое явление. Работа в качестве сетевого админа часто выматывала его. Эх, если бы невозможность уснуть была единственной причиной того, почему в эту ночь он не спал.
Читать: https://codeby.net/threads/skazanie-o-tom-kak-igor-nachinal-vypolnjat-chellendzhi-htb.74543/
#ctf #forensic
Forwarded from Social Engineering
😈 Постэксплуатация. Подборка инструментов.
• Постэксплуатация — это один из этапов взлома компьютерных систем, позволяющий собирать дальнейшую информацию о целевой системе, получить дальнейший доступ к сети и хранящимся данным. Фаза постэксплуатации позволяет идентифицировать такие вещи, как дополнительные подсети, маршрутизаторы, названия серверов, сетевых служб и установленных приложений.
• Как известно, идеальных систем не бывает — всегда найдется уязвимое место, где можно закрепиться и продвинуться вглубь. Но если у тебя одна-единственная точка входа, то каждый твой шаг должен быть досконально продуман и каждое решение должно быть тщательно взвешено.
• В этом посте я собрал для тебя подборку инструментов для постэксплуатации, описание каждого инструмента и всю необходимую информацию, ты найдешь перейдя по ссылке нужного инструмента:
• 3snake • Apfell • Backdoorme • CatTails • Cloudy-kraken • Covenant • CrackMapExec • CredCrack • Creddump • DBC2 • DET • DNSlivery • Dnsteal • Empire • Enumdb • EvilOSX • Fireaway • FruityC2 • GetVulnerableGPO • Ghost In The Logs • HoneyBadger •
HoneypotBuster • Iodine • Koadic • Mallory • Mimikatz • Mimikittenz • NoPowerShell • Orc • P0wnedShell • PacketWhisper • Paragon • Pivoter • Poet • PoshC2 • PowerOPS • ProcessHider • Pupy • Pwnat • Pypykatz • RedGhost • RemoteRecon • RottenPotatoNG • Rpc2socks • SafetyKatz • Shad0w • SharpC2 • SocksOverRDP • SpYDyishai • SprayWMI • Tgcd • TheFatRat •
WCE • Weasel •
• Ценность взломанной системы определяется весомостью фактических данных, хранящихся в ней, и тем, как ты можешь их использовать в своих целях.
‼️ Дополнительный материал, ты сможешь найти по хештегу #Пентест #ИБ #Hack и #tools. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках.
• Постэксплуатация — это один из этапов взлома компьютерных систем, позволяющий собирать дальнейшую информацию о целевой системе, получить дальнейший доступ к сети и хранящимся данным. Фаза постэксплуатации позволяет идентифицировать такие вещи, как дополнительные подсети, маршрутизаторы, названия серверов, сетевых служб и установленных приложений.
• Как известно, идеальных систем не бывает — всегда найдется уязвимое место, где можно закрепиться и продвинуться вглубь. Но если у тебя одна-единственная точка входа, то каждый твой шаг должен быть досконально продуман и каждое решение должно быть тщательно взвешено.
• В этом посте я собрал для тебя подборку инструментов для постэксплуатации, описание каждого инструмента и всю необходимую информацию, ты найдешь перейдя по ссылке нужного инструмента:
• 3snake • Apfell • Backdoorme • CatTails • Cloudy-kraken • Covenant • CrackMapExec • CredCrack • Creddump • DBC2 • DET • DNSlivery • Dnsteal • Empire • Enumdb • EvilOSX • Fireaway • FruityC2 • GetVulnerableGPO • Ghost In The Logs • HoneyBadger •
HoneypotBuster • Iodine • Koadic • Mallory • Mimikatz • Mimikittenz • NoPowerShell • Orc • P0wnedShell • PacketWhisper • Paragon • Pivoter • Poet • PoshC2 • PowerOPS • ProcessHider • Pupy • Pwnat • Pypykatz • RedGhost • RemoteRecon • RottenPotatoNG • Rpc2socks • SafetyKatz • Shad0w • SharpC2 • SocksOverRDP • SpYDyishai • SprayWMI • Tgcd • TheFatRat •
WCE • Weasel •
• Ценность взломанной системы определяется весомостью фактических данных, хранящихся в ней, и тем, как ты можешь их использовать в своих целях.
‼️ Дополнительный материал, ты сможешь найти по хештегу #Пентест #ИБ #Hack и #tools. Твой S.E.
Пароли под защитой GPG
Хранить пароли в гугл-хроме очень удобно. Можно залогиниться с любого устройства под своим аккаунтом и получить доступ ко всем сайтам и паролям. Круто? Круто. До тех пор, пока вы не поймаете стилер. Проприетарные менеджеры так же удобны. Но концепция хранения моих паролей где-то там, на каких-то серверах меня не впечатляет. А мы сегодня будем использовать связку gpg + pass + browserpass.
Читать: https://codeby.net/threads/paroli-pod-zaschitoj-gpg.70288/
#gpg #pass #web
Хранить пароли в гугл-хроме очень удобно. Можно залогиниться с любого устройства под своим аккаунтом и получить доступ ко всем сайтам и паролям. Круто? Круто. До тех пор, пока вы не поймаете стилер. Проприетарные менеджеры так же удобны. Но концепция хранения моих паролей где-то там, на каких-то серверах меня не впечатляет. А мы сегодня будем использовать связку gpg + pass + browserpass.
Читать: https://codeby.net/threads/paroli-pod-zaschitoj-gpg.70288/
#gpg #pass #web
Программирование HDD/SSD. Часть.2 – практика
Прикладная программа общается с физ.устройством через его драйвер, т.к. запросы должны преодолеть запретную черту из юзера в кернел. Как-правило, одно устройство (в нашем случае диск) на разном уровне обслуживает сразу несколько связанных в цепочку драйверов – в литературе, эту цепочку назвали "стеком-драйверов". В то-же время, пользователь не может вызывать функции драйвера напрямую, поэтому система подключает посредников, в лице диспетчера ввода-вывода I/O Manager (по требованию юзера формирует пакеты запроса на ввод-вывод IRP), и диспетчера объектов Object Manager (прописывает символические ссылки на каждый из драйверов в системном пространстве имён).
Читать: https://codeby.net/threads/programmirovanie-hdd-ssd-chast-2-praktika.74805/
#programming #asm #ioctl
Прикладная программа общается с физ.устройством через его драйвер, т.к. запросы должны преодолеть запретную черту из юзера в кернел. Как-правило, одно устройство (в нашем случае диск) на разном уровне обслуживает сразу несколько связанных в цепочку драйверов – в литературе, эту цепочку назвали "стеком-драйверов". В то-же время, пользователь не может вызывать функции драйвера напрямую, поэтому система подключает посредников, в лице диспетчера ввода-вывода I/O Manager (по требованию юзера формирует пакеты запроса на ввод-вывод IRP), и диспетчера объектов Object Manager (прописывает символические ссылки на каждый из драйверов в системном пространстве имён).
Читать: https://codeby.net/threads/programmirovanie-hdd-ssd-chast-2-praktika.74805/
#programming #asm #ioctl
Forwarded from surfIT | Новости IT
Razer для повышения прав в Windows
В Twitter был опубликован пост, раскрывающий уязвимость Razer Synapse. При подключении мыши или клавиатуры Razer к Windows 10 или Windows 11, ОС автоматически устанавливает на компьютер Razer Synapse. По словам компании, уязвимую программу используют более чем 100 миллионов пользователей.
Эксперт обнаружил уязвимость нулевого дня в ПО Razer Synapse для получения привилегий SYSTEM. Привилегии SYSTEM дают полный контроль над системой.
Эксперт написал об этом Razer, но так и не получив ответа, опубликовал свою находку в Twitter, подробно объяснив, как работает эта ошибка.
Уязвимость заключается в указании пути для программы. При определённых действиях, диалоговое окно позволяет открыть PowerShell, который запускается с привилегиями SYSTEM.
После того, как эта уязвимость привлекла широкое внимание в Twitter, компания Razer сообщила, что выпустит исправление.
Источник
#infosec #razer #exploit
В Twitter был опубликован пост, раскрывающий уязвимость Razer Synapse. При подключении мыши или клавиатуры Razer к Windows 10 или Windows 11, ОС автоматически устанавливает на компьютер Razer Synapse. По словам компании, уязвимую программу используют более чем 100 миллионов пользователей.
Эксперт обнаружил уязвимость нулевого дня в ПО Razer Synapse для получения привилегий SYSTEM. Привилегии SYSTEM дают полный контроль над системой.
Эксперт написал об этом Razer, но так и не получив ответа, опубликовал свою находку в Twitter, подробно объяснив, как работает эта ошибка.
Уязвимость заключается в указании пути для программы. При определённых действиях, диалоговое окно позволяет открыть PowerShell, который запускается с привилегиями SYSTEM.
После того, как эта уязвимость привлекла широкое внимание в Twitter, компания Razer сообщила, что выпустит исправление.
Источник
#infosec #razer #exploit
SYSENTER – скрытый запуск Native-API
Многоуровневое разграничение прав в системах класса Windows, накладывает свой отпечаток на систему безопасности в целом. Разработчикам логичней было создать один защитный пласт и закрыть его на большой замок, но они раскромсали его на мелкие части, в результате чего появилось множество дыр и обходных путей на разных уровнях. В данной статье рассматривается одна из таких лазеек, а точнее – скрытый запуск ядерных API-функций, что даёт возможность прямо под юзером обходить различные гуарды, мониторы безопасности, API-шпионы, антивирусы и прочие силовые структуры. Не сказать, что тема новая.. просто она незаслуженно забыта, и в силу своей сложности всё реже встречается в защитных механизмах наших дней.
Читать: https://codeby.net/threads/sysenter-skrytyj-zapusk-native-api.75264/
#asm #sys #api
Многоуровневое разграничение прав в системах класса Windows, накладывает свой отпечаток на систему безопасности в целом. Разработчикам логичней было создать один защитный пласт и закрыть его на большой замок, но они раскромсали его на мелкие части, в результате чего появилось множество дыр и обходных путей на разных уровнях. В данной статье рассматривается одна из таких лазеек, а точнее – скрытый запуск ядерных API-функций, что даёт возможность прямо под юзером обходить различные гуарды, мониторы безопасности, API-шпионы, антивирусы и прочие силовые структуры. Не сказать, что тема новая.. просто она незаслуженно забыта, и в силу своей сложности всё реже встречается в защитных механизмах наших дней.
Читать: https://codeby.net/threads/sysenter-skrytyj-zapusk-native-api.75264/
#asm #sys #api
Forwarded from surfIT | Новости IT
Уязвимости электронной почты
Area 1 Security опубликовала исследование, в котором проанализировала более 31 миллиона угроз из разных отраслей. В отчёте сказано, что ряды угроз, в частности BEC (Business Email Compromise) - атаки, которые использует корпоративную электронную почту, могут приводить к огромным убыткам с невообразимыми суммами, если эти угрозы не предотвращать.
Основные выводы исследования:
✔️ Практически в 9% атак использовался спуфинг, подмена домена и изменение отображаемого домена. Другие атаки включали сборщики учётных данных (9,33%), вредоносные ссылки (8,96%) и навесное оборудование (3,31%).
✔️ На список из 10 организаций приходится более 56% всех атак, в котором ВОЗ, Google и Microsoft входят в тройку самых популярных.
✔️ В некоторых случаях поддельные электронные письма скрывали атаки BEC. Несмотря на их небольшое количество (1,3%), с данного вида злоумышленники получили 1,5 миллиона долларов.
Рекомендации по эффективной защите:
✔️ Защитите свои учётные записи добавив многофакторную аутентификацию (MFA). Никогда не повторяйте пароли.
✔️ Обучите сотрудников процедурам предотвращения финансовых проблем, в случае BEC или финансового мошенничества, например: проверки поставщика при переводе средств на новый счёт.
✔️ Проверяйте все сообщения, которые приходят по электронной почте: оценивайте достоверность сообщений, помимо отправителя, чтобы снизить риск от скомпрометированных партнёров.
Источник
#infosec #email
Area 1 Security опубликовала исследование, в котором проанализировала более 31 миллиона угроз из разных отраслей. В отчёте сказано, что ряды угроз, в частности BEC (Business Email Compromise) - атаки, которые использует корпоративную электронную почту, могут приводить к огромным убыткам с невообразимыми суммами, если эти угрозы не предотвращать.
Основные выводы исследования:
✔️ Практически в 9% атак использовался спуфинг, подмена домена и изменение отображаемого домена. Другие атаки включали сборщики учётных данных (9,33%), вредоносные ссылки (8,96%) и навесное оборудование (3,31%).
✔️ На список из 10 организаций приходится более 56% всех атак, в котором ВОЗ, Google и Microsoft входят в тройку самых популярных.
✔️ В некоторых случаях поддельные электронные письма скрывали атаки BEC. Несмотря на их небольшое количество (1,3%), с данного вида злоумышленники получили 1,5 миллиона долларов.
Рекомендации по эффективной защите:
✔️ Защитите свои учётные записи добавив многофакторную аутентификацию (MFA). Никогда не повторяйте пароли.
✔️ Обучите сотрудников процедурам предотвращения финансовых проблем, в случае BEC или финансового мошенничества, например: проверки поставщика при переводе средств на новый счёт.
✔️ Проверяйте все сообщения, которые приходят по электронной почте: оценивайте достоверность сообщений, помимо отправителя, чтобы снизить риск от скомпрометированных партнёров.
Источник
#infosec #email
Forwarded from surfIT | Новости IT
Telegraph
Топ-15 уязвимостей Linux
Статья подготовлена для канала surfIT Около 14 миллионов систем на базе Linux напрямую выходят в интернет, что делает их очень привлекательной целью для целого ряда кибер-атак: развертывание вредоносных веб-шеллов, майнеров, программ-вымогателей и других…
Новостной дайджест по ИБ/IT за 16.08-23.08
Здравия всем, дамы и господа. Пока за окном моего купе проносятся просторы России, мои пальцы проносятся по клавишам и создают сей текст. Приятного чтения.
Читать: https://codeby.net/threads/novostnoj-dajdzhest-po-ib-it-za-16-08-23-08.78330/
#news #it #digest
Здравия всем, дамы и господа. Пока за окном моего купе проносятся просторы России, мои пальцы проносятся по клавишам и создают сей текст. Приятного чтения.
Читать: https://codeby.net/threads/novostnoj-dajdzhest-po-ib-it-za-16-08-23-08.78330/
#news #it #digest
🔥 The Codeby представляет 🔥
Курс «SQL-injection Master» ©
Старт курса 25 сентября
В курсе рассматриваются навыки работы с SQL-запросами к базам данных. Также вы научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.
Подробнее: https://school.codeby.net/lms/courses/76-sql-injection-master.html
#sqlinj #codeby
Курс «SQL-injection Master» ©
Старт курса 25 сентября
В курсе рассматриваются навыки работы с SQL-запросами к базам данных. Также вы научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.
Подробнее: https://school.codeby.net/lms/courses/76-sql-injection-master.html
#sqlinj #codeby
Как Игорь Volatility framework изучал и сетевой дамп смотрел
Утро. Звенит будильник. Некоторые делают зарядку, завтракают, одеваются и идут на работу. После работы идут домой. День Игоря прошёл также. За исключением одного, во время беседы с неестественным в той компании коллегой, речь зашла о дампах памяти. Имя того служащего — Николай. В той беседе решено было вечерком встретиться у Игоря дома и обсудить форензику. Главная тема их беседы - The Volatility Framework.
Читать: https://codeby.net/threads/kak-igor-volatility-framework-izuchal-i-setevoj-damp-smotrel.74669/
#framework #forensic #wireshark
Утро. Звенит будильник. Некоторые делают зарядку, завтракают, одеваются и идут на работу. После работы идут домой. День Игоря прошёл также. За исключением одного, во время беседы с неестественным в той компании коллегой, речь зашла о дампах памяти. Имя того служащего — Николай. В той беседе решено было вечерком встретиться у Игоря дома и обсудить форензику. Главная тема их беседы - The Volatility Framework.
Читать: https://codeby.net/threads/kak-igor-volatility-framework-izuchal-i-setevoj-damp-smotrel.74669/
#framework #forensic #wireshark
