#خبر
🔹4 آسیب پذیری #Zeroday دیگر #Windows وصله شد.
🔸 #بروز_رسانی های این ماه #Microsoft برای رفع 55 آسیب پذیری مختلف منتشر گردید.
@Engineer_Computer
🔹4 آسیب پذیری #Zeroday دیگر #Windows وصله شد.
🔸 #بروز_رسانی های این ماه #Microsoft برای رفع 55 آسیب پذیری مختلف منتشر گردید.
@Engineer_Computer
#Zimbra #Zeroday #Vulnerabilities
در این مقاله قصد داریم تا تحلیل فنی ای در خصوص آسیب پذیری های ایمیل سرور Zimbra داشته باشیم و بررسی کنیم که چگونه منجر به ایجاد دسترسی از راه دور شده، که بدون نیاز به احراز هویت بوده است. همچنین نحوه ارتقاء سطح دسترسی بعد از ایجاد دسترسی اولیه که مبتنی بر آسیب پذیری ای در خصوص وبسرویس می باشد، همچنین لازم به ذکر است که این آسیب پذیری طی ماه های گذشته موجب افشای اطلاعات از سازمان تولید و تحقیق سازمان انرژی…
⚠️ ادامه مطلب در لینک زیر
https://unk9vvn.com/2023/01/zimbra-server-zero-day-exploit-vulnerabilities/
@Engineer_Computer
در این مقاله قصد داریم تا تحلیل فنی ای در خصوص آسیب پذیری های ایمیل سرور Zimbra داشته باشیم و بررسی کنیم که چگونه منجر به ایجاد دسترسی از راه دور شده، که بدون نیاز به احراز هویت بوده است. همچنین نحوه ارتقاء سطح دسترسی بعد از ایجاد دسترسی اولیه که مبتنی بر آسیب پذیری ای در خصوص وبسرویس می باشد، همچنین لازم به ذکر است که این آسیب پذیری طی ماه های گذشته موجب افشای اطلاعات از سازمان تولید و تحقیق سازمان انرژی…
⚠️ ادامه مطلب در لینک زیر
https://unk9vvn.com/2023/01/zimbra-server-zero-day-exploit-vulnerabilities/
@Engineer_Computer
👍1
⭕️Analytics
A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG)
This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild [2021, 2020, 2019] and builds off of the mid-year 2022 review. The goal of this report is not to detail each individual exploit, but instead to analyze the exploits from the year as a whole, looking for trends, gaps, lessons learned, and successes.
Executive Summary
41 in-the-wild 0-days were detected and disclosed in 2022, the second-most ever recorded since we began tracking in mid-2014, but down from the 69 detected in 2021. Although a 40% drop might seem like a clear-cut win for improving security, the reality is more complicated. Some of our key takeaways from 2022 include:
N-days function like 0-days on Android due to long patching times. Across the Android ecosystem there were multiple cases where patches were not available to users for a significant time. Attackers didn’t need 0-day exploits and instead were able to use n-days that functioned as 0-days.
0-click exploits and new browser mitigations drive down browser 0-days. Many attackers have been moving towards 0-click rather than 1-click exploits. 0-clicks usually target components other than the browser. In addition, all major browsers also implemented new defenses that make exploiting a vulnerability more difficult and could have influenced attackers moving to other attack surfaces.
Over 40% of the 0-days discovered were variants of previously reported vulnerabilities. 17 out of the 41 in-the-wild 0-days from 2022 are variants of previously reported vulnerabilities. This continues the unpleasant trend that we’ve discussed previously in both the 2020 Year in Review report and the mid-way through 2022 report. More than 20% are variants of previous in-the-wild 0-days from 2021 and 2020.
Bug collisions are high. 2022 brought more frequent reports of attackers using the same vulnerabilities as each other, as well as security researchers reporting vulnerabilities that were later discovered to be used by attackers. When an in-the-wild 0-day targeting a popular consumer platform is found and fixed, it's increasingly likely to be breaking another attacker's exploit as well
https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html
@Engineer_Computer
#vulnerability #zerotrust #zeroday #threatintelligence #threathunting
A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG)
This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild [2021, 2020, 2019] and builds off of the mid-year 2022 review. The goal of this report is not to detail each individual exploit, but instead to analyze the exploits from the year as a whole, looking for trends, gaps, lessons learned, and successes.
Executive Summary
41 in-the-wild 0-days were detected and disclosed in 2022, the second-most ever recorded since we began tracking in mid-2014, but down from the 69 detected in 2021. Although a 40% drop might seem like a clear-cut win for improving security, the reality is more complicated. Some of our key takeaways from 2022 include:
N-days function like 0-days on Android due to long patching times. Across the Android ecosystem there were multiple cases where patches were not available to users for a significant time. Attackers didn’t need 0-day exploits and instead were able to use n-days that functioned as 0-days.
0-click exploits and new browser mitigations drive down browser 0-days. Many attackers have been moving towards 0-click rather than 1-click exploits. 0-clicks usually target components other than the browser. In addition, all major browsers also implemented new defenses that make exploiting a vulnerability more difficult and could have influenced attackers moving to other attack surfaces.
Over 40% of the 0-days discovered were variants of previously reported vulnerabilities. 17 out of the 41 in-the-wild 0-days from 2022 are variants of previously reported vulnerabilities. This continues the unpleasant trend that we’ve discussed previously in both the 2020 Year in Review report and the mid-way through 2022 report. More than 20% are variants of previous in-the-wild 0-days from 2021 and 2020.
Bug collisions are high. 2022 brought more frequent reports of attackers using the same vulnerabilities as each other, as well as security researchers reporting vulnerabilities that were later discovered to be used by attackers. When an in-the-wild 0-day targeting a popular consumer platform is found and fixed, it's increasingly likely to be breaking another attacker's exploit as well
https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html
@Engineer_Computer
#vulnerability #zerotrust #zeroday #threatintelligence #threathunting
Google Online Security Blog
The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG) This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild...
#Exchange #Zeroday
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.
@Engineer_Computer
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.
@Engineer_Computer
#Adobe Reader 2018 #Zeroday Exploit Analysis
در تصویر شماره 0 در فایل فرمت PDF و در زبان ActionScript مهاجم اقدام به صدا زدن مفسر JavaScript میکنه، و بواسطه یک دکمه میاد و تابع trigger رو به اجرا در میاره.
قبل از به اجرا در اومدن تابع، یک دکمه ساخته میشه که از نوع display.visible هستش که اینکار باعث میشه JIT Compiler برنامه Adobe Reader بیاد و پردازشگر JPEG2000 رو صدا کنه و به طبع اون کتابخونه (JP2KLib.dll) پردازشگر این Object رو فراخوانی خواهد کرد.
در تصویر 3 مهاجم میاد تکنیک Heap Spray رو اجرا میکنه که موجب میشه در حافظه Heap طول بافر 10 هزار رزرو بشه، بعد میاد همون حافظه Alloc شده رو آزاد میکنه، بعد میاد بواسطه Object که f.display ساخته بود (JP2KLib) به رو از همون منطقه اشاره میکنه بعد میاد index رو بدست میاره و طول بافر 250 رو آزاد میکنه، بعد محاسبه میکنه از از 10 هزار 249 تا بره بالا چه آدرسی خواهد بود، بعد میاد بواسطه یه sprayarr دقیقا به همون اندازه که آزاد کرده بود به بالا، یعنی 0x400 اشاره میکنه که اینجا OOB Read اتفاق می افته...
هک بواسطه یک PDF !
@Engineer_Computer
در تصویر شماره 0 در فایل فرمت PDF و در زبان ActionScript مهاجم اقدام به صدا زدن مفسر JavaScript میکنه، و بواسطه یک دکمه میاد و تابع trigger رو به اجرا در میاره.
قبل از به اجرا در اومدن تابع، یک دکمه ساخته میشه که از نوع display.visible هستش که اینکار باعث میشه JIT Compiler برنامه Adobe Reader بیاد و پردازشگر JPEG2000 رو صدا کنه و به طبع اون کتابخونه (JP2KLib.dll) پردازشگر این Object رو فراخوانی خواهد کرد.
در تصویر 3 مهاجم میاد تکنیک Heap Spray رو اجرا میکنه که موجب میشه در حافظه Heap طول بافر 10 هزار رزرو بشه، بعد میاد همون حافظه Alloc شده رو آزاد میکنه، بعد میاد بواسطه Object که f.display ساخته بود (JP2KLib) به رو از همون منطقه اشاره میکنه بعد میاد index رو بدست میاره و طول بافر 250 رو آزاد میکنه، بعد محاسبه میکنه از از 10 هزار 249 تا بره بالا چه آدرسی خواهد بود، بعد میاد بواسطه یه sprayarr دقیقا به همون اندازه که آزاد کرده بود به بالا، یعنی 0x400 اشاره میکنه که اینجا OOB Read اتفاق می افته...
هک بواسطه یک PDF !
@Engineer_Computer
❤1