9 обходов Windows Administrator Protection
#LPE #Windows11 #UAC #kernel #ProjectZero

James Forshaw из Google Project Zero разобрал Administrator Protection (AP) - новую фичу Windows 11 25H2, которую Microsoft позиционирует как секьюрную замену UAC. Спойлер: он нашёл 9 способов тихо получить админские права. Хорошая новость - Microsoft всё исправила ещё до релиза (KB5067036).

♾️Как работает AP♾️
AP изолирует админские права в отдельном shadow administrator account. В отличие от классического UAC со split-token на одном аккаунте, AP создаёт отдельный сеанс входа (уникальный AuthenticationId/LUID) при каждого повышения прав. Это должно исключить перехват контекста между режимами и убрать auto-elevation для Microsoft-бинарников.

Самый интересный байпасс Forshaw детально описал атаку через перехват DOS Device Directory:
▪️Запускаем процесс shadow admin через RAiProcessRunOnce → выполнит runonce.exe с диска C:
▪️Открываем дескриптор процесса до обращения к файлам, запрашиваем primary token
▪️Конвертируем в impersonation token с уровнем SecurityIdentification
▪️Инициируем создание DOS-директории через NtOpenDirectoryObject к ??
▪️Из-за Identification level ядро назначает владельцем юзера из primary token, а не админа
▪️Создаём симлинк C: → подконтрольный путь
▪️Процесс загружает пейлоад с правами админа

Ирония в том, что этот баг существовал годами, но стал эксплуатируемым именно благодаря AP — раньше не было сценария, где ограниченный юзер мог выполнить код до создания первого админского процесса.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

CISO FORUM 2026 — Увидимся 28 апреля
#партнёрство #CISO #ИБ #event

Канал «Похек» выступает медиа-партнёром CISO FORUM 2026. Мероприятие пройдёт 28 апреля в Центре Международной Торговли (ЦМТ, Москва).
CISO FORUM — ежегодная площадка, объединяющая руководителей служб информационной безопасности, технических директоров, специалистов по рискам и комплаенсу. Формат мероприятия: от стратегических докладов до практических воркшопов по AppSec, AI-безопасности и SOC.

Программа 2026 года включает три тематических зала:
▪️CISO и бизнес — архитектура ИБ и метрики для совета директоров
▪️Когда атака — вопрос времени — инциденты, DDoS, Red/Blue Team
▪️Объект атаки — защита данных, API, облаков и подрядчиков

🌚 Ранее посещал данное мероприятие и планирую присутствовать лично в этом году.

🔗Регистрация и программа

Человек, при жизни ставший легендой! Похлопаем 🎉🐈

RCE на современных SoC MediaTek через переполнение кучи
#MediaTek #RCE #Exploit #Hardware #heapb8

Исследователи r0rt1z2 и shomy провели реверсинг проприетарного тулчейна MediaTek и обнаружили в Download Agent v6 (DA2, XML-протокол) критическую уязвимость heapb8 — heap overflow в обработчике USB-передачи файлов. Баг позволяет добиться arbitrary code execution в контексте DA2 на устройствах с современными SoC Dimensity, при успешной эксплуатации — отключить или обойти проверки SLA/DAA. Эксплойт реализован в penumbra.

♾️Предполагаемые связанные CVE (патч в 2025 году)♾️

▪️CVE-2025-20656 — out-of-bounds write в Download Agent (DA2 XML), приводящий к локальному повышению привилегий при физическом доступе.
▪️CVE-2025-20658 — логическая ошибка в DA, также приводящая к out-of-bounds write с аналогичными последствиями.

В новых SoC MediaTek BootROM-эксплойты в значительной степени закрыты или отключены (включая сценарии с USBDL), поэтому heapb8 ориентирован именно на USB-handler второй стадии загрузки (DA2) в XML-стеке DA v6. В результате возникает классический heap overflow, позволяющий получить примитив write-what-where за счет повреждения заголовков соседних чанков в куче.

♾️Эксплуатация♾️

Эксплоит опирается на особенности малого heap-аллокатора, реализованного в LK (Little Kernel), который MediaTek использует внутри DA2.

▪️ В DA загружается файл (имя и содержимое), под который выделяется буфер размера N.
▪️ При передаче данных по USB DA принимает пакеты без строгой проверки соответствия фактически полученного объема заявленному размеру.
▪️ Переполнение приводит к повреждению заголовка следующего чанка в куче.
▪️ При обработке ошибки DA2 вызывает free() для поврежденного блока, что триггерит классический free-list unlink. Коррупция полей prev/next дает write-what-where.
▪️ Используя этот примитив, атакующий может перезаписать указатель callback-функции в структуре DPC (Deferred Procedure Call) или другие организационные структуры управления, что приводит к RCE с привилегиями DA2.

♾️Payload♾️

Исследователи загрузили собственный пэйлоад hakujoudai, который:

▪️ устраняет последствия heap-corruption и восстанавливает целостность heap/free-list;
▪️ регистрирует кастомные команды Download Agent;
▪️ дает возврат управления в основной цикл DA в состоянии, позволяющем выполнять дополнительные операции над устройством без стандартных ограничений.

Это обеспечивает полный контроль над DA2-контекстом и дальнейшее управление процессом загрузки.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

JA4 Fingerprinting: детектим AI-скраперы по TLS-отпечаткам
#TLS #fingerprinting #antibot #scraping

Browser-as-a-Service платформы вроде Browserbase научились подделывать практически всё: User-Agent, JavaScript API, IP через residential proxy. Но есть то, что они не могут фейкнуть без перекомпиляции TLS-стека - handshake.

♾️Что такое JA4♾️

JA4 - эволюция JA3, созданная FoxIO в 2023. Формат читаемый, не MD5-каша:
t13d1516h2_8daaf6152771_b0da82dd1658
Расшифровка: TCP, TLS 1.3, есть SNI, 15 cipher suites, 16 extensions, HTTP/2. Два хеша - ciphers и extensions.

♾️Почему работает♾️

JA4 сортирует cipher suites и extensions перед хешированием, отсеивает GREASE-значения. Fingerprint стабилен между сессиями одного клиента - но уникален для каждого TLS-стека.

♾️Fingerprints AI-ботов♾️

➡️ Browserbase: t13d1517h2_... - 17 extensions вместо 16 у Chrome. User-Agent говорит Chrome 121, TLS выдаёт модифицированное окружение.
➡️ Python requests: t12d1307h1_... - TLS 1.2, 7 extensions, HTTP/1.1. Instant detection.
➡️ Playwright: использует Chromium, но модифицирует TLS-конфигурацию - extension hash отличается от stock Chrome.

♾️Обход JA4♾️

Если цель использует JA4 для блокировки - вот рабочие методы обхода:

➡️ Burp Suite

burp-awesome-tls - спуфит TLS fingerprint любого браузера. Работает против Cloudflare, Akamai, DataDome. Установка: JAR → Extender.

Альтернатива: bypass-bot-detection от PortSwigger - мутирует cipher suites для обхода TLS-детекта.

➡️ Python автоматизация

requests палится моментально (TLS 1.2, 7 extensions). Замена - curl_cffi:

from curl_cffi import requests

# Имитация Chrome 136
resp = requests.get(
    "https://target.com",
    impersonate="chrome136"
)

Поддерживает chrome99-chrome136, firefox, safari. Под капотом - curl-impersonate с BoringSSL вместо OpenSSL.

➡️ Go

uTLS - форк стандартной TLS-библиотеки с доступом к ClientHello:

import tls "github.com/refraction-networking/utls"

config := tls.Config{ServerName: "target.com"}
conn := tls.UClient(rawConn, &config, tls.HelloChrome_120)

Для HTTP-клиента: spoofed-round-tripper - обёртка над uTLS, реализует http.RoundTripper.

➡️ Node.js

CycleTLS - спуфинг JA3/JA4 для JS. Использует JA4R (raw format) для конфигурации cipher suites и extensions.

Критично: fingerprint должен соответствовать User-Agent и HTTP/2 settings. Chrome JA4 + Firefox User-Agent = instant block.

Защита (defence in depth)

JA4 + JA4H (HTTP headers) + поведенческий анализ + honeypot-ссылки. Один слой обойти легко, комбинацию - сложнее.

🔗 Источники:
- WebDecoy - JA4 Guide
- burp-awesome-tls | bypass-bot-detection от PortSwigger
- curl_cffi
- uTLS

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ловите вкусные баги прошедшей недели
#CVE #RCE #SiliconLabsZigbee #IBM_Db2 #Open5GS #Podman #Apache

➡️ Open5GS (CVE-2026-1586, CVSS 5.5) — DoS в Open5GS, открытой реализации 5G Core Network. Баг расположен в функции ogs_gtp2_f_teid_to_ip файла /sgwc/s11-handler.c компонента SGWC и связан с некорректной обработкой полей GTPv2 F-TEID на интерфейсе S11. Удаленный атакующий без аутентификации может отправить специально сформированный GTP-пакет во время операций bearer modification или context creation, что приводит к крашу процесса SGWC и DoS всего 5G-ядра. Есть PoC.

➡️ Podman Desktop (CVE-2026-24835, CVSS 8.8) — критическая логическая ошибка в Podman Desktop, позволяющая вредоносному расширению обходить permission checks. Функция isAccessAllowed() безусловно возвращает true, тем самым предоставляя несанкционированный доступ ко всем authentication sessions пользователя. Это позволяет атакующему имперсонализировать пользователя и использовать сохраненные токены и сессии интеграций, доступных в среде Podman Desktop. Есть PoC.

➡️ Apache bRPC (CVE-2025-60021, CVSS 9.8) — критическая RCE-уязвимость, связанная со встроенным сервисом heap-профилирования. HTTP-эндпоинт /pprof/heap?extra_options=<cmd> не выполняет валидацию параметра extra_options, который передается как аргумент командной строки профайлера. Это позволяет удаленному неаутентифицированному атакующему выполнить произвольные команды с правами сервиса при доступности эндпоинта. Есть PoC.

➡️ Silicon Labs Zigbee (CVE-2025-7964, CVSS 9.2) — критическая уязвимость, связанная с некорректной обработкой 802.15.4 MAC Data Request координатором сети. При получении специально сформированного MAC-фрейма координатор ошибочно инициирует команду network leave для маршрутизатора. В результате маршрутизатор зависает и не может повторно присоединиться к сети без ручного вмешательства, что приводит к DoS для всех зависимых конечных устройств.

➡️ IBM Db2 for Windows (CVE-2025-36384, CVSS 8.4) — unquoted search path в IBM Db2 for Windows. Локальный пользователь с доступом к файловой системе может разместить произвольный исполняемый файл в одном из каталогов, участвующих в некавыченной search path, и добиться его выполнения при запуске привилегированного сервиса Db2. Это приводит к локальной эскалации привилегий до SYSTEM и захвату контроля над хостом на уровне ОС, включая доступ к данным и конфигурации СУБД в рамках прав ОС.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

AI пишет малварь для КНДР
#APT #NorthKorea #AI #malware

Северокорейская группировка Konni (Opal Sleet, TA406) перешла от экспериментов к боевому применению AI в разработке малвари. Цель - разработчики блокчейн-проектов в APAC регионе.

Как работает атака
Жертва получает Discord-ссылку на ZIP-архив с PDF-приманкой и вредоносным LNK. При запуске LNK выполняет PowerShell-загрузчик, который извлекает DOCX-документ и CAB-архив с backdoor. Далее - создание scheduled task под видом OneDrive, XOR-дешифровка и in-memory исполнение.

Почему исследователи считают, что backdoor сгенерирован AI
➡️ Структурированная документация в начале скрипта (нетипично для APT-малвари)
➡️ Модульная архитектура с четким разделением функций
➡️ Комментарий # <- your permanent project UUID - типичный артефакт AI-ассистентов

Impact
AI-assisted малварь эволюционирует быстрее и обходит signature-based детекцию. Это уже не эксперимент - это operational capability.

🔗 Check Point Research

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Burp-AI-Agent - AI-ассистент для пентестера прямо в Burp Suite
#burpsuite #ai #pentest #ollama

Расширение от six2dez, которое превращает Burp Suite в AI-powered инструмент для security testing. Поддерживает 7 бэкендов - можно гонять локально через Ollama/LM Studio или подключить облачные Claude CLI, Gemini CLI, Codex CLI.

Что умеет

➡️ 53+ MCP-инструментов - Claude Desktop или другой MCP-клиент может автономно управлять Burp: слать запросы, запускать сканы, создавать issues. По сути, AI-агент для пентеста.

➡️ 62 класса уязвимостей - пассивный и активный сканер. SQLi, XSS, cache poisoning, JWT-атаки и ещё 58 категорий. Три режима: BUG_BOUNTY, PENTEST, FULL.

➡️ Privacy modes - STRICT/BALANCED/OFF. В строгом режиме редактирует чувствительные данные перед отправкой в облако. JSONL-логи с SHA-256 для аудита.

Требования

- Burp Suite 2023.12+ (Community или Pro)
- Java 21
- AI-бэкенд (для локального - ollama serve + нужная модель)

🔗 GitHub | Docs

🌚 @poxek_ai | 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

7 GitHub-репозиториев для входа в Web3 Security
#web3 #security #blockchain #smartcontracts

Если ты web2-пентестер и думаешь о переходе в web3 - вот подборка репозиториев, с которых стоит начать. Без воды, только практика.

➡️ Smart Contract Vulnerabilities (2.3k ⭐️) / GitHub
Классика. 37 уязвимостей с примерами и митигациями. Категории: Access Control, Math, Control Flow, Data Handling, Unsafe Logic, Code Quality. Для web2-шника - как OWASP Top 10, только для смарт-контрактов.

🔤🔤🔤

➡️ Blockchain Attack Vectors (92 ⭐️) / GitHub
Справочник атак от ImmuneBytes. Покрывает всё: EVM, DeFi, Bridges, Solana, NFT, Mining Pools. Есть раздел по OSINT и форензике. Хорош, чтобы понять какие вообще атаки бывают.

🔤🔤🔤

➡️ Awesome Smart Contracts (513 ⭐️) / GitHub
Не про уязвимости - про эталонный код. Uniswap V2/V3/V4, Aave, Compound, MakerDAO, EigenLayer. Чтобы ломать контракты - надо понимать как они работают.

🔤🔤🔤

➡️ DeFiHackLabs / GitHub
Организация с CTF-курсами и разборами реальных взломов. Web3-CTF-Intensive-CoLearning (157 ⭐️) - интенсив по CTF. Solidity-Intensive-CoLearning (93 ⭐️) - если хочешь писать эксплойты на Solidity.

🔤🔤🔤

➡️ Bounties-Exploit-Bugs (44 ⭐️) / GitHub
Разборы критических багов с bug bounty. Dust attacks, rounding errors, oracle mismatches. Каждый кейс содержит вопросы, которые привели к находке - полезно для построения методологии.

🔤🔤🔤

➡️ Awesome Solana Security (518 ⭐️) / GitHub
Solana сейчас активно растёт. Здесь: гайды по Rust/Anchor, статьи по уязвимостям, инструменты (Trident fuzzing), CTF-челленджи. Есть материалы для тех, кто переходит с Ethereum.

🔤🔤🔤

➡️ Awesome Move Security (26 ⭐️) / GitHub
Sui и Aptos - экосистемы на Move, которые сейчас растут. Репозиторий молодой, но уже содержит 20+ публичных аудит-репортов, разборы эксплойтов и CTF-райтапы.

🔤🔤🔤

♾️Зачем web2-пентестеру идти в web3♾️

- Навыки переносятся: реверс, фаззинг, анализ логики
- Bug bounty выплаты выше > средний critical от $50k
- Специалистов мало, конкуренция ниже
- Код открыт > аудит можно делать без согласований
- Задолбал обычный веб

Начни со Smart Contract Vulnerabilities + Awesome Smart Contracts. Потом CTF от DeFiHackLabs. Дальше - специализация по цепочке.
Если вы уже этим занимаетесь, то буду рад если укажите на мои ошибки и напишите пару советов от себя

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Hackberry Pi Zero Clear Case

In this video, we'll take a look at swapping the stock blacked out case for Zitaotech's Hackberry Pi Zero with a clear case printed by PCBWay to give our Hackberry some hacker flare!

https://youtu.be/8__Q6C0gmo8?si=uGcp33oES2pBb2QC

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Remote auth bypass в Teleport (CVE-2025-49825, CVSS 10.0)
#Teleport #SSH #CVE

В открытом доступе появился PoC уязвимости в Teleport Community Edition, найденной в июне 2025 года. Баг позволяет обойти SSH-аутентификацию и получить несанкционированный доступ к системам, управляемым Teleport.

Логические ошибки в cert issuance и identity verification, влияющие на контроль доступа, уже встречались в Teleport как в форме отдельных CVE (CVE-2022-36633, CVE-2022-38599), так и в качестве security advisory без присвоения идентификатора. Для access-gateway систем это один из наиболее критичных классов уязвимостей — успешная эксплуатация приводит к мгновенному root-доступу ко всей инфраструктуре.

♾️Техническая суть♾️

В эндпоинте /v1/webapi/sessions/web компонент аутентификации Teleport Proxy некорректно обрабатывает JWT-подобные пейлоады, позволяя принять произвольное значение user: admin без полноценной проверки сертификата и cert_authority. В результате атакующий, используя крафтовый заголовок X-Teleport-Cluster, может инициировать выпуск валидной сессии и получить полные права доступа без знания кредов и прохождения аутентификации.

♾️Эксплуатация♾️

▪️Сканирование публично доступных Teleport Proxy (TCP/443) на предмет уязвимых версий.
▪️Отправка запроса на /v1/webapi/sessions/web с поддельным X-Teleport-Cluster — proxy принимает user: admin без проверки сертификатов.
▪️Получение легитимного session token и логин через tsh с правами администратора (RBAC-роли подгружаются без дополнительной валидации).
▪️Получение доступа ко всем ресурсам инфраструктуры: SSH к внутренним серверам, RDP-сессии, Kubernetes API, database-подключения через Teleport Proxy + возможность добавления собственных SSH-ключей, создания persist-доступа, эксфильтрации данных и действий под видом легитимного audit-трафика.

Сообщений о массовых эксплуатациях in-the-wild на момент публикации нет. Патч доступен с июня 2025 года.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK