#cve

CVE-2023-38831 winrar exploit generator ⚡️

Как работает уязвимость?

➡️ В ОС Windows нельзя иметь два файла с одинаковым именем в каталоге. Также нельзя иметь каталог и файл с одинаковым именем. Но это возможно в программах для сжатия файлов, таких как WinRar/7zip. В сжатом файле, независимо от того, есть ли у вас файлы с одинаковыми именами, они записываются в специальную структуру.
Поэтому в файле ZIP/RAR может быть два объекта (File/Dir) с одинаковыми именами.

Как описано в PoC, когда у вас есть файл и каталог с одинаковым именем в архивном файле и Вы хотите временно открыть этот файл, дважды щелкнув на нем (на целевой файл) в открытом архивном файле, Winrar извлекает этот файл для Вас, а вместе с ним и все файлы, которые имеют то же имя, что и целевой файл. Все они записываются во временный каталог по пути %tmp%. Такое извлечение влечёт за собой исполнение вредоносного кода в системе.

Причём здесь ShellExecuteExA и пробелы можно изучить в статьях репозитория, а также в дополнительных источниках

⚡️ Следует отметить, что уязвимости подвержена версия 6.22 и ниже ( последняя же 6.24) , а сам PoC был продемонстрирован в конце 2023 года, что доказывает необходимость регулярно проверять обновления на софт в организации.

#itnews

Обнаружена критическая уязвимость RCE в брандмауэрах Juniper SRX и коммутаторах серии EX 🗣

Компания Juniper Networks выпустила обновления для исправления критической уязвимости удаленного выполнения кода (RCE) в своих брандмауэрах серии SRX и коммутаторах серии EX ⚡️

Проблема, отслеживаемая как CVE-2024-21591, имеет оценку 9,8 в системе оценки CVSS.

Уязвимость с возможностью записи за пределы J-Web в Juniper Networks ОС Junos SRX серий и EX серий позволяет злоумышленнику, не прошедшему проверку подлинности в сети, вызвать отказ в обслуживании (DoS) или удаленное выполнение кода (RCE) и получить права root на устройстве

Эта проблема вызвана использованием небезопасной функции, позволяющей злоумышленнику перезаписывать произвольную память.

Данная уязвимость затрагивает следующие версии:
◽️Junos OS versions < 20.4R3-S9
◽️Junos OS 21.2 versions < 21.2R3-S7
◽️ Junos OS 21.3 versions < 21.3R3-S5
◽️ Junos OS 21.4 versions < 21.4R3-S5
◽️Junos OS 22.1 versions < 22.1R3-S4
◽️ Junos OS 22.2 versions < 22.2R3-S3
◽️ Junos OS 22.3 versions < 22.3R3-S2
◽️Junos OS 22.4 versions < 22.4R2-S2, 22.4R3

В качестве временных мер, пока не будут развернуты исправления, компания рекомендует пользователям отключить J-Web или ограничить доступ только доверенными узлами.

#forensics #soc

Легитимные процессы Windows: страшно ли это и как начать разбираться?✅

➡️ Коротко, ясно, с внимание к деталям автор делится базой, расширяет кругозор обычного пользователя и приучает к анализу системных процессов Windows ( в том числе речь заходит и про пресловутый svchost.exe 🖥)

В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.

Приятного прочтения 📌

#beginners

Что такое прокси и в чём же их отличие?👋

Прокси-сервер - промежуточный сервер (комплекс программ) в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером

◽️Обратный прокси-сервер (Reverse Proxy) — это тип прокси-сервера, который ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. При наличии обратного прокси-сервера вряд ли удастся напрямую поразить реальный сервер — это потому, что только IP-адрес обратного прокси является общедоступным

◽️Прямой прокси (Forward Proxy) - прямые прокси также обеспечивают анонимность. Прямой прокси-сервер будет скрывать исходный IP-адрес клиента при подключении к публичным серверам

#itnews

Компания по анализу угроз Recorded Future предупредила, что атакующие все чаще используют сервисы GitHub для проведения скрытых кибератак, и призвала ИТ-команды принять меры 👩‍💻

В новом отчете об использовании GitHub в качестве вредоносной инфраструктуры выявлены наиболее популярные сервисы GitHub для участников угроз.

Анализ данных об угрозах в период с марта по ноябрь 2023 года показал, что в атаках чаще всего использовались GitHub Raw (40%), GitHub Objects (35%) и GitHub Pages (14%).

В ближайшей перспективе защитникам следует придерживаться стратегии учёта сервисов, помечая или даже блокируя определенные сервисы GitHub, которые обычно не задействуются в среде организации и, как известно, используются злонамеренно”,

В Recorded Future заявили, что субъекты угроз используют сервисы GitHub, чтобы сливаться с безопасным сетевым трафиком, таким образом скрывая вредоносную активность.

#pentest #phishing

BobTheSmuggler - реализуем HTML Smuggling Attack и прячемся от детектирования 👌

Bob the Smuggler - это инструмент, в основе которого лежит реализация HTML Smuggling Attack.

➡️Утилита позволяет создавать HTML-файлы со встроенными 7z/zip-архивами. Инструмент сжимает ваши двоичные файлы (EXE/DLL) в формат 7z/zip, затем архив шифруется с использованием XOR, а затем утилита прячет его внутри файла изображения формата PNG/GIF (Image Polyglots). JavaScript, встроенный в HTML, загрузит PNG/GIF-файл и сохранит его в кэше.
➡️После этого JavaScript извлечет данные, встроенные в PNG/GIF, соберет их, выполнит XOR-дешифрование, а затем сохранит в виде блока в памяти.

#avbypass #pentest #redteam

Bypass AV: учимся обходить антивирус на практике✅

Обход антивируса является неотъемлемой частью любого пентеста. Для дальнейшей успешной эксплуатации необходимо знать и уметь применять на практике основные техники обхода программ защиты

В статье рассмотрены основные способы и утилиты для обфускации и шифрования кода: как классические (Shellter, Chimera), так и не самые распространенные, но не менее эффективные (Simple Loader)

Ссылка на статью🧘‍♀️

#phishing #pentest #cheatsheet

Техники фишинга с OLE😩

OLE-объект: суть метода заключается в том, что в легитимный Office-документ встраивается скрипт, запускающийся по клику. Скрипт может быть совершенно любой, обычно это просто полезная нагрузка

В данных заметках будут рассмотрены основные способы встраивания нагрузки в документы☠️

Red Team Notes 👩‍💻

#itnews #infosec #malware

Новая кампания вредоносного ПО использует 9hits для нападения на Docker🖥

Обнаруженная лабораторией Cado Security Labs кампания развертывает на уязвимом экземпляре Docker два контейнера - стандартный майнер XMRig и приложение 9hits viewer. Последнее используется для генерации кредитов для злоумышленника на платформе 9hits

Платформа 9hits, описываемая как:

Уникальное решение для обмена веб-трафиком", позволяющее участникам приобретать кредиты для обмена трафиком веб-сайтов

Атака начинается с развертывания контейнеров на уязвимом хосте Docker через интернет с помощью контролируемого злоумышленником сервера. Хотя исследователи Cado не смогли получить доступ к спредеру, они предположили, что злоумышленники могли обнаружить honeypot через такие платформы, как Shodan. Спредер использует API Docker для запуска двух контейнеров, получая готовые образы с Dockerhub для программного обеспечения 9hits и XMRig

#pentest #фишинг #redteam

Полное руководство по Smuggling HTML👺

Smuggling HTML - техника доставки вредоносной нагрузки через "безопасные" HTML-страницы

Данная статья объясняет, что представляет из себя данная техника, а также подробно описан алгоритм создания данного вида вредоносной нагрузки. Мы также ранее выкладывали утилиту для проведения данной атаки

Smuggling HTML

#pentest #redteam #phishing

Крадем NTLM-креды👁

Статья содержит подробное руководство о способах закладки вредоносной нагрузки и атаках для кражи NTLM-хеша: вложение в xml,docx,pdf, а также LFI, XXE и различные инъекции

HackTricks

#itnews #infosec #hackers

Китайские хакеры незаметно использовали уязвимость нулевого дня VMware в течение 2 лет🏚

Передовая китайская группа кибершпионажа, ранее связанная с эксплуатацией недостатков безопасности в устройствах VMware и Fortinet, с конца 2021 года занимается использованием критической уязвимости в VMware vCenter Server в качестве уязвимости нулевого дня

В отчете Google упоминается:

У UNC3886 есть опыт использования уязвимостей нулевого дня для незаметного выполнения своих задач, и этот последний пример еще раз демонстрирует их возможности

Речь идет об уязвимости CVE-2023-34048 (CVSS score: 9.8), которая представляет собой запись за пределы границ и может быть использована злоумышленником, имеющим сетевой доступ к vCenter Server. Она была исправлена компанией, принадлежащей Broadcom, 24 октября 2023 года

#soc #phishing #apt

Как защищаться от APT-группировок🛡

Каждый сотрудник любой компании, будь он техническим специалистом или просто HR-ом, важно быть осведомленным о том, какими способами хакерские группировки проникают в вашу инфраструктуру

Данная статья не содержит подробных технических разъяснений и разборов, а рассказывает о базовых моментах предотвращения целевых атак. Для начинающих свое знакомство с миром ИБ будет очень полезно, а для опытных специалистов повторение - мать учения☯️

Статья Лаборатории Касперского

Обнаружен новый эксплойт для Outlook: CVE-2023-35636 приводит к краже паролей NTLM v2💻

CVE-2023-35636 - это уязвимость безопасности, обнаруженная в Microsoft Outlook, а именно в функции совместного использования календаря. Этот эксплойт позволяет злоумышленникам перехватывать хэши NTLM v2, которые используются для аутентификации в системах Microsoft Windows. NTLM v2, хотя и более безопасен, чем его предшественник, все еще подвержен автономным атакам перебора и повторной пересылке данных аутентификации.

Эксплойт для Outlook заключается в добавлении определенных заголовков в письмо, что заставляет Outlook делиться содержимым и взаимодействовать с указанным компьютером. Эта манипуляция создает возможность для злоумышленников перехватить хэши NTLM v2 в процессе аутентификации. Эксплойт требует наличия двух заголовков: "Content-Class" и "x-sharing-config-url", которые указывают на машину злоумышленника.

Помимо Outlook, злоумышленники могут использовать Windows Performance Analyzer (WPA) и Windows File Explorer для получения доступа к хэшам NTLM v2. Используя обработчики URI и специфические параметры, злоумышленники могут обманом заставить эти приложения раскрыть конфиденциальную информацию.

Microsoft устранила уязвимость Outlook (CVE-2023-35636) с помощью патча, выпущенного 12 декабря 2023 года, отнеся его к категории "важных". Однако уязвимости, связанные с WPA и Windows File Explorer, были признаны Microsoft "умеренно серьезными".

➡️ Чтобы обезопасить свои системы и данные от атак NTLM v2, рассмотрите возможность применения следующих мер безопасности:

1. Подписание SMB: Включите функцию подписи SMB для защиты SMB-трафика от несанкционированного доступа и атак типа "человек посередине". Эта функция подписывает все SMB-сообщения цифровой подписью, что позволяет получателям обнаруживать и отклонять любые поддельные сообщения.

2. Блокировка исходящего NTLM v2: Начиная с Windows 11 (сборка 25951), можно блокировать исходящую аутентификацию NTLM, добавляя дополнительный уровень безопасности.

3. Принудительная аутентификация Kerberos: По возможности применяйте аутентификацию Kerberos и блокируйте NTLM v2 как на сетевом уровне, так и на уровне приложений. Это поможет предотвратить использование NTLM v2 там, где это не требуется.

Приняв эти меры предосторожности, вы сможете значительно снизить риск стать жертвой атак NTLM v2 и обеспечить безопасность своих систем и данных.

#osint #pentest #redteam

Shodan Command Line: Ищем информацию, не выходя из CMD👩‍💻

Shodan - очень известный хакерский поисковик, который позволяет проводить разведку и доставать информацию как о конкретным хостах, так и о доменах. Не только базовую информацию, но и возможные уязвимости

Данная статья содержит гайд по полному использованию Shodan прямо из командной строки

Shodan Command Line 🌐

#itnews #infosec #malware

Вредоносное ПО для macOS прячется во взломанных приложениях и атакует криптовалютные кошельки🍏

Лаборатория Касперского, обнаружившая артефакты в "дикой природе", заявила, что ВПО предназначено для компьютеров под управлением macOS Ventura 13.6 и более поздних версий для сбора данных криптовалютных кошельков

Цепочки атак используют заминированные файлы образов дисков (DMG), которые содержат программу под названием "Activator" и пиратскую версию легитимного программного обеспечения, такого как xScope. При запуске Activator появляется приглашение ввести пароль администратора, что запускает двоичный файл Mach-O с повышенными правами для запуска xScope

Хитрость заключалась в том, что злоумышленники брали заранее взломанные версии приложений и добавляли несколько байт в начало исполняемого файла, тем самым отключая его, чтобы заставить пользователя запустить Activator

исследователь безопасности Сергей Пузан

Далее устанавливалось соединение с С2 для получения зашифрованного скрипта и дальнейшего сбора информации🖥

#byapsecurity #web #pentest

Используем SSTI для обхода песочницы🏃

Лаборатория кибербезопасности и инновационных технологий компании AP Security подготовила для вас новую статью, которая расскажет как работает уязвимость SSTI и как злоумышленник может использовать ее для своих целей

Приятного прочтения📌

Хабр

#pentest #redteam #beginners

О том, как правильно пентестить для начинающих специалистов: об этике и правилах контрактов👩‍💻

Пентестер - профессия, в которой вы буквально ходите по лезвию ножа. Шаг влево или шаг вправо - вы уже попадаете под уголовную ответственность. Поэтому в данном деле важно знать базовые правила вашей работы, чтобы не допустить ошибок, которые до вас уже успели допустить большое количество специалистов

Хабр