Форму авторизации видишь? Нет. Вот и я не вижу. А она есть 🤔
В ходе недавнего расследования одного из инцидентов мы столкнулись с эксплуатацией злоумышленниками уязвимости в CMS Bitrix, связанной со множеством доступных эндпойнтов для аутентификации.
Несмотря на то, что данная уязвимость не является новой, ей все еще подвержено немалое количество веб-сайтов.
Многие администраторы закрывают доступ к странице /bitrix/admin, при этом не догадываясь, что есть еще ряд скриптов, использующих компонент prolog_admin_before.php, благодаря которому можно получить доступ к форме авторизации🤕
Среди них можно выделить:
Именно эндпойнт player_playlist_edit.php был использован злоумышленниками для аутентификации:
Вероятно, для доступа к системе использовались стандартные учетные данные, так как в логах веб-сервера мы увидели всего лишь несколько POST-запросов, предшествующих началу сессии.
👀 Эта уязвимость — наряду со многими другими — описана в отчете об уязвимостях Bitrix (п. 1.4.1).
Судя по всему, этим же отчетом пользовались и злоумышленники во время атаки: некоторые запросы, полностью совпадающие с приведенными в тексте отчета, были обнаружены нами при анализе логов. Например:
Помимо того, атакующие осуществляли запрос к каждому из приведенных выше эндпойнтов для аутентификации.
#dfir #detect #cve #web
@ptescalator
В ходе недавнего расследования одного из инцидентов мы столкнулись с эксплуатацией злоумышленниками уязвимости в CMS Bitrix, связанной со множеством доступных эндпойнтов для аутентификации.
Несмотря на то, что данная уязвимость не является новой, ей все еще подвержено немалое количество веб-сайтов.
Многие администраторы закрывают доступ к странице /bitrix/admin, при этом не догадываясь, что есть еще ряд скриптов, использующих компонент prolog_admin_before.php, благодаря которому можно получить доступ к форме авторизации
Среди них можно выделить:
— /bitrix/components/bitrix/desktop/admin_settings.php
— /bitrix/components/bitrix/map.yandex.search/settings/settings.php
— /bitrix/components/bitrix/player/player_playlist_edit.php
— /bitrix/tools/autosave.php
— /bitrix/tools/get_catalog_menu.php
— /bitrix/tools/upload.php
Именно эндпойнт player_playlist_edit.php был использован злоумышленниками для аутентификации:
POST /bitrix/components/bitrix/player/player_playlist_edit.php?login=yes
Вероятно, для доступа к системе использовались стандартные учетные данные, так как в логах веб-сервера мы увидели всего лишь несколько POST-запросов, предшествующих началу сессии.
👀 Эта уязвимость — наряду со многими другими — описана в отчете об уязвимостях Bitrix (п. 1.4.1).
Судя по всему, этим же отчетом пользовались и злоумышленники во время атаки: некоторые запросы, полностью совпадающие с приведенными в тексте отчета, были обнаружены нами при анализе логов. Например:
GET /ololo/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
Помимо того, атакующие осуществляли запрос к каждому из приведенных выше эндпойнтов для аутентификации.
#dfir #detect #cve #web
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍4👏4
Путешествие_Извилистых_Троп_манёвры_ExCobalt_в_атаках_на_российские.pdf
11.5 MB
Кстати, про Offzone 🙂
Обещали опубликовать в канале последнюю версию презентации с доклада про маневры ExCobalt — публикуем 🤝
В ней — про фишинг, эксплуатацию CVE-2023-38831 и CVE-2023-3519, а также другие векторы атак и инструменты группировки, обнаруженные специалистами PT ESC, о которых в докладе рассказали Владислав Лунин и Александр Бадаев.
Приятного изучения и happy hunting!
#ti #ir #hunt #detect #cve #malware #exCobalt #APT
@ptescalator
Обещали опубликовать в канале последнюю версию презентации с доклада про маневры ExCobalt — публикуем 🤝
В ней — про фишинг, эксплуатацию CVE-2023-38831 и CVE-2023-3519, а также другие векторы атак и инструменты группировки, обнаруженные специалистами PT ESC, о которых в докладе рассказали Владислав Лунин и Александр Бадаев.
Приятного изучения и happy hunting!
#ti #ir #hunt #detect #cve #malware #exCobalt #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14👍8🔥6🆒2
Мы, ESC-VR, успешно воспроизвели эксплойт для CVE-2024-30085 😎
Уязвимость фигурировала на прошедшем в Pwn2Own 2024 в Ванкувере, где Team Theori использовала эксплойт для этой уязвимости в цепочке эксплойтов, осуществляющих Guest-To-Host-Escape из-под управления VMware Workstation, за что и получили свои заслуженные 13 очков в номинации Master Of Pwn.
Соревнования по типу pwn2own и matrixcup помогают подсветить реально эксплуатируемые уязвимости, эксплойты для которых, как правило, не разглашаются (в результате чего образуется состояние Known-Unkown, когда известно, что эксплойт есть, но как он работает неизвестно), и обратить на них особое внимание, ведь за подобными соревнованиями следим не только мы, но и злоумышленник, который может их воспроизвести и проэксплуатировать против незапатченной системы.
🧐
Наш эксплойт утилизирует WNF- и ALPC- подсистемы для получения примитивов на запись и чтение, конкретно структуры
💡 Немного деталей о том, как наш эксплойт работает:
1️⃣ Создает множества чанков, размером 4096 байт, через
2️⃣ Создает множества дыр в последовательности созданной на шаге 1, через
3️⃣ Триггерит уязвимость, таким образом bitmap размещается в одной из заранее подготовлены дыр. Размер bitmap задается равный 4096 + 16, чтобы перезаписать размер данных (
4️⃣ Перезаписывает через
5️⃣ Осуществляет через
6️⃣ Крадет Token у процесса System (Token Stealing).
Конечно же, мы не могли не протестировать наши собственные продукты. И они нас не разочаровали: например, PT Sandbox обнаруживает эксплуатацию данной уязвимости.
Вердикты:
#escvr #cve #news
@ptescalator
Уязвимость фигурировала на прошедшем в Pwn2Own 2024 в Ванкувере, где Team Theori использовала эксплойт для этой уязвимости в цепочке эксплойтов, осуществляющих Guest-To-Host-Escape из-под управления VMware Workstation, за что и получили свои заслуженные 13 очков в номинации Master Of Pwn.
Соревнования по типу pwn2own и matrixcup помогают подсветить реально эксплуатируемые уязвимости, эксплойты для которых, как правило, не разглашаются (в результате чего образуется состояние Known-Unkown, когда известно, что эксплойт есть, но как он работает неизвестно), и обратить на них особое внимание, ведь за подобными соревнованиями следим не только мы, но и злоумышленник, который может их воспроизвести и проэксплуатировать против незапатченной системы.
🧐
Cldflt.sys — это драйвер мини-фильтр, отвечающий за синхронизацию между пользовательской файловой системой и облаком OneDrive. В драйвере существовала ошибка CWE-122, возникающая в результате некорректной проверки размера bitmap, содержимое которого получается из Reparse Point. При этом память, аллоцируемая под bitmap, имеет фиксированный размер 4096 байт, но при этом не проверяется размер актуальных данных, которые будут скопированы в аллоцированную память. Наш эксплойт утилизирует WNF- и ALPC- подсистемы для получения примитивов на запись и чтение, конкретно структуры
_WNF_STATE_DATA и _ALPC_HANDLE_ENTRY.NtCreateWnfStateName и NtAlpcCreateResourceReserve. Таким образом последовательно в памяти размещается _WNF_STATE_DATA и _ALPC_HANDLE_ENTRY.NtDeleteWnfStateData._WNF_STATE_DATA.DataSize), на которые указывает _WNF_STATE_DATA.Data.NtUpdateWnfStateData указатели в _ALPC_HANDLE_ENTRY.NtAlpcSendWaitReceivePort запись и чтение по произвольному адресу.Конечно же, мы не могли не протестировать наши собственные продукты. И они нас не разочаровали: например, PT Sandbox обнаруживает эксплуатацию данной уязвимости.
Вердикты:
Exploit.Win32.Generic.d,
Exploit.Win32.Generic.a,
Rootkit.Win32.Generic.a
#escvr #cve #news
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19😎6✍4❤4👍2⚡1
Уязвимость находилась в библиотеке
dwmcore.dll в функции CPrimitiveGroupDrawListBrush::IsColorConversionRequired (скриншот 1). При совместном использовании классов СSurfaceBrush и CPrimitiveGroup она позволяла достичь кода, который осуществляет вычисление положения экземпляра класса CDrawListBitmap в массиве drawListBitmap_Vec, располагающемся, в свою очередь, в экземпляре класса CPrimitiveGroupDrawListGenerator. При определенном сочетании свойств экземпляров
СSurfaceBrush и CPrimitiveGroup могла сложиться ситуация, при которой указатель drawListBitmap_Vec был бы равен нулю и все вычисления свелись бы только к работе с индексом, а его значение полностью контролировалось бы атакующим и имело размер DWORD. Таким образом можно было бы перехватить указатель на объект CDrawListBitmap (скриншот 2).#escvr #win #cve
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24👍10☃5👏5❤2🤗1
Not a Pwn2Own bug 🙂
CVE-2024-43641: ошибка типа CWE-190 позволяла переполнить счетчик ссылок на экземпляр
Для того чтобы достигнуть уязвимого кода, необходимо открыть или создать ключ реестра в режиме транзакций. Сделать это можно через функцию
Для того чтобы уязвимость «сдетонировала», необходимо прокрутить значение счетчика ссылок так, чтобы его значение стало меньше реального количества операций, записанных в рамках транзакции. Если это условие будет соблюдено, то после транзакции ячейка
На третьем скриншоте — часть функции
🩹 О патче
Патч переработал то, как подсистема Cоnfiguration Manager (СM) работает со ссылками на
К счастью, вряд ли уязвимость можно отнести к эксплуатабельным, так как, чтобы переполнить счетчик ссылок, последовательно увеличивая его на 1, потребуется очень много времени, да и окно, в рамках которого у нас есть возможность «подсунуть» что-то, слишком маленькое и неконтролируемое.
#cve #escvr
@ptescalator
CVE-2024-43641: ошибка типа CWE-190 позволяла переполнить счетчик ссылок на экземпляр
_CM_KEY_SECURITY. Уязвимый код располагался в ntoskrnl.exe — в функции CmpSetSecurityDescriptorInfo (скриншот 1).Для того чтобы достигнуть уязвимого кода, необходимо открыть или создать ключ реестра в режиме транзакций. Сделать это можно через функцию
RegCreateKeyTransacted. Так как нет ограничения на количество операций, которые могут быть записаны в рамках одной транзакции, мы можем последовательно вызывать функцию NtSetSecurityObject. И каждый такой вызов будет увеличивать счетчик ссылок на 1. Для того чтобы уязвимость «сдетонировала», необходимо прокрутить значение счетчика ссылок так, чтобы его значение стало меньше реального количества операций, записанных в рамках транзакции. Если это условие будет соблюдено, то после транзакции ячейка
_CM_KEY_SECURITY будет освобождена раньше, чем закончатся операции, которые нужно завершить, что приведет к использованию освободившейся памяти (скриншот 2).На третьем скриншоте — часть функции
CmpDereferenceSecurityNode, отвечающая за уменьшение числа ссылок и освобождение _CM_KEY_SECURITY.Патч переработал то, как подсистема Cоnfiguration Manager (СM) работает со ссылками на
_CM_KEY_SECURITY, добавив как минимум две новые функции — CmpKeySecurityDecrementReferenceCount и CmpKeySecurityIncrementReferenceCount, которые теперь будут выдавать bugcheck, если количество ссылок станет равным нулю или после инкремента их будет меньше, чем до (скриншот 4).К счастью, вряд ли уязвимость можно отнести к эксплуатабельным, так как, чтобы переполнить счетчик ссылок, последовательно увеличивая его на 1, потребуется очень много времени, да и окно, в рамках которого у нас есть возможность «подсунуть» что-то, слишком маленькое и неконтролируемое.
#cve #escvr
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👍6💯6
Что произошло с безопасностью OpenSSH в 2024 году 🚪
Взглянем на таймлайн:
• Весна. Бэкдор в xz-utils ((то есть скорее речь об атаке на цепочку поставок этих дистрибутивов, а не конкретно на OpenSSH) .
• Июль. Критически опасная уязвимость «состояния гонки» для систем на базе glibc, получившая название regreSSHion (
• Все тот же июль. Опубликована схожая проблема, получившая идентификатор
• Август. Еще одна, уже специфичная для FreeBSD,
❔ Что это вообще было
Исследователи утверждают, что успешная эксплуатация «состояний гонки» позволяет получить RCE на подверженных системах. Более того, regreSSHion — главный баг (затрагивает привилегированный процесс
Мы решили разобраться, так ли опасны эти «состояния гонки» и какие механизмы в
🔣 И теперь все это с технической базой и экскурсом на 30 секунд доступно в нашем блоге на Хабре. Enjoy!
#CVE #escvr
@ptescalator
Взглянем на таймлайн:
• Весна. Бэкдор в xz-utils (
CVE-2024-3094). В результате его внедрения были скомпрометированы системы с systemd, в которых в OpenSSH есть зависимость liblzma, отсутствующая в нем изначально и самим OpenSSH напрямую не используемая • Июль. Критически опасная уязвимость «состояния гонки» для систем на базе glibc, получившая название regreSSHion (
CVE-2024-6387) и представляющая собой перерожденную CVE-2006-5051.• Все тот же июль. Опубликована схожая проблема, получившая идентификатор
CVE-2024-6409.• Август. Еще одна, уже специфичная для FreeBSD,
CVE-2024-7589.Исследователи утверждают, что успешная эксплуатация «состояний гонки» позволяет получить RCE на подверженных системах. Более того, regreSSHion — главный баг (затрагивает привилегированный процесс
sshd) — ставит под угрозу безопасность множества SSH-серверов с glibc. Эксплуатация уязвимости не требует особой конфигурации сервера (проблема актуальна и для конфигурации по умолчанию). Но при этом публичного PoC нет до сих пор.Мы решили разобраться, так ли опасны эти «состояния гонки» и какие механизмы в
sshd призваны не допустить эксплуатации этой уязвимости или хотя бы уменьшить ущерб в случае успешной атаки. Попутно провели обзор и остальных уязвимостей OpenSSH прошедшего года.#CVE #escvr
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍11🥴3🤡2👻2❤1✍1
Net group "babyk" /addВ рамках расследования одного из инцидентов мы обнаружили факт эксплуатации уязвимости CVE-2024-37085. Она позволяет злоумышленнику получить полный контроль над гипервизором VMware ESXi, присоединенным к домену
Уязвимость заключается в том, что пользователи, входящие в группу с именем
ESX Admins, по умолчанию имеют максимальные права доступа к гипервизору. Эта группа не существует в домене по умолчанию, поэтому злоумышленнику необходимо завладеть учетной записью, имеющей права на создание группы и добавление в нее пользователей.В статье упоминается эксплуатация этого недостатка операторами шифровальщиков Akira и Black Basta. В публичных отчетах информации об использовании уязвимости в атаках на российские организации нет.
👤 В рассматриваемом нами случае злоумышленникам удалось получить доступ к контроллеру домена и завладеть учетной записью с необходимыми правами. После они создали группу
ESX Admins и добавили в нее пользователя, выполнив следующие команды:net group "ESX Admins" /add /domain
net group "ESX Admins" superuser /add /do
От имени этого пользователя впоследствии нарушители вошли на гипервизор и зашифровали файлы и диски виртуальных машин с применением Babyk.
В обнаружении эксплуатации CVE-2024-37085 могут помочь события журнала Security:
• 4727 — создание группы безопасности Active Directory с именем
ESX Admins;• 4737 — изменение группы безопасности Active Directory (переименование группы в
ESX Admins);• 4728 — добавление пользователя в группу безопасности Active Directory с именем
ESX Admins.Для исправления описанной уязвимости рекомендуется установить последние обновления безопасности для VMware ESXi.
#dfir #cve #detect #win
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍10👏7🆒2❤1😁1🤯1
Корни уязвимости CVE-2024-30085 🌳
Еще в сентябре прошлого года мы в ESC-VR успешно воспроизвели эксплойт для CVE-2024-30085 — уязвимости в подсистеме Windows Cloud Files Mini Filter. Код подсистемы располагается в
Используя уязвимость и связку WNF + ALPC, мы создали примитивы на чтение и запись в ядерную память. Благодаря этому украли системный токен и запустили терминал с правами
🧐 На днях в продолжение публикации мы выпустили подробный разбор уязвимости CVE-2024-30085 и техник, применимых во время эксплуатации кучи в ядре
Читайте разбор в блоге на Хабре.
#escvr #cve #win
@ptescalator
Еще в сентябре прошлого года мы в ESC-VR успешно воспроизвели эксплойт для CVE-2024-30085 — уязвимости в подсистеме Windows Cloud Files Mini Filter. Код подсистемы располагается в
cldflt.sys — это драйвер мини-фильтра, и он относится к предустановленному клиенту облачного сервиса Microsoft OneDrive.Используя уязвимость и связку WNF + ALPC, мы создали примитивы на чтение и запись в ядерную память. Благодаря этому украли системный токен и запустили терминал с правами
NT AUTHORITY\SYSTEM.🧐 На днях в продолжение публикации мы выпустили подробный разбор уязвимости CVE-2024-30085 и техник, применимых во время эксплуатации кучи в ядре
Windows 10 22H2 19045.3803.Читайте разбор в блоге на Хабре.
#escvr #cve #win
@ptescalator
🔥20👍9👏7🤡1
⚠️ Эксперты PT ESC обнаружили попытки эксплуатации уязвимости CVE-2025-24071
Уязвимость CVE-2025-24071, затрагивающая широкий спектр операционных систем Windows, включая серверные и клиентские версии Windows 10 и Windows 11, была выявлена 11 марта.
CVE-2025-24071 связана с механизмом обработки файлов в Windows Explorer и системой индексирования — они автоматически анализируют файл
Операционная система без взаимодействия с пользователем инициирует NTLM-аутентификацию на атакующем SMB-сервере — это приводит к утечке хеш-суммы NTLMv2 учетной записи жертвы, что может быть использовано для атаки.
Впервые описание и РoС уязвимости привел исследователь 0x6rss в своем блоге. Эксперты также заметили, что уязвимость может использоваться при сохранении файла с расширением
🕵️♀️ Несмотря на то что данные об уязвимости были опубликованы пару дней назад, злоумышленники не спят: мы уже обнаружили попытки эксплуатации CVE-2025-24071 в организациях в России и Республике Беларусь.
Атакующие распространяют архивы, в которых содержатся документ в формате PDF и файл
📈 Эксперты PT ESC прогнозируют всплеск атак с использованием этой уязвимости. Мы рекомендуем следующие методы защиты:
• Ограничить соединения по SMB-протоколу к внешним серверам.
• Обновить Windows до последней версии (установить мартовские обновления).
• Запретить запуск файлов с расширением
• Заблокировать получение файлов с расширением
IoCs
#win #news #cve #detect #ioc
@ptescalator
Уязвимость CVE-2025-24071, затрагивающая широкий спектр операционных систем Windows, включая серверные и клиентские версии Windows 10 и Windows 11, была выявлена 11 марта.
CVE-2025-24071 связана с механизмом обработки файлов в Windows Explorer и системой индексирования — они автоматически анализируют файл
.library-ms, извлекаемый при распаковке вредоносного архива и содержащий ссылку на SMB-ресурс. Операционная система без взаимодействия с пользователем инициирует NTLM-аутентификацию на атакующем SMB-сервере — это приводит к утечке хеш-суммы NTLMv2 учетной записи жертвы, что может быть использовано для атаки.
Впервые описание и РoС уязвимости привел исследователь 0x6rss в своем блоге. Эксперты также заметили, что уязвимость может использоваться при сохранении файла с расширением
.library-ms из электронного письма.🕵️♀️ Несмотря на то что данные об уязвимости были опубликованы пару дней назад, злоумышленники не спят: мы уже обнаружили попытки эксплуатации CVE-2025-24071 в организациях в России и Республике Беларусь.
Атакующие распространяют архивы, в которых содержатся документ в формате PDF и файл
.library-ms (скриншот 1). Жертва распаковывает архив и запускает PDF-приманку (скриншот 2), в то время как файл .library-ms автоматически и незаметно для пользователя отправляет данные на командный центр злоумышленников.📈 Эксперты PT ESC прогнозируют всплеск атак с использованием этой уязвимости. Мы рекомендуем следующие методы защиты:
• Ограничить соединения по SMB-протоколу к внешним серверам.
• Обновить Windows до последней версии (установить мартовские обновления).
• Запретить запуск файлов с расширением
.library-ms.• Заблокировать получение файлов с расширением
.library-ms по электронной почте.IoCs
Письмо Минпромторга России от 17.03.2025 № 182544_21 о направлении сведений по кадровому потенциалу предприятий 2025.pdf.library-ms
MD5: c3f9813545b7f830183369dd649bd595
SHA-1: fcadd1a24f2fa6e0f5338ff0e8d186258c79a05d
SHA-256: a4205e773eee7f33d1bb776a2f7b36da4b3955284208c015257311b8ef23f721
Письмо Минпромторга России от 17.03.2025 № 182544_21.zip
MD5: 83a60de9faed1b0a0344eda108aee44f
SHA-1: 10c02f7a3214dc166f6a8ce19c3d0a988084b3ea
SHA-256: e7897176a7d226c82af27ff525399bd0c7d7b73fdfffac8d2d56b8707637aa99
01 Сопроводительное.pdf.library-ms
MD5: 74e2f206e99040868b60eef04781de8a
SHA-1: f27ecc7ec9c6425a41a3cbfa8bf74f24c32c6488
SHA-256: 8a3728ebdb64e69347c14356b250eb0720801ce367acd1b53510a8dea16f7001
01 Сопроводительное.zip
MD5: 78cd8d4481713fbd4beb790a127bd793
SHA-1: 595b68aaad8a705e78125735cdb7136b6f17b077
SHA-256: 07f6d81b5e3fba23f5de34038424ebec4710cbc16959de4389ceb7855e69bac2
spisoc.library-ms
MD5: 9bab71704cefac935546e09d12dfd2c1
SHA-1: 922c6ee612bd22a85cd1e84f50e18d21656c3f3d
SHA-256: cb9810b6492aad667554958332a3518aeed8d356dcd03b43e4116cd92c938d0f
154.205.148.56
38.60.247.250
94.250.249.129
#win #news #cve #detect #ioc
@ptescalator
🔥20👍16❤8👏4🆒2❤🔥1
Team46 и TaxOff: две стороны одной медали 😑
В марте 2025 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) исследовали атаку, в которой использовалась зарегистрированная примерно в это же время уязвимость нулевого дня CVE-2025-2783 в браузере Chrome. Использование этой уязвимости и саму атаку описали исследователи из «Лаборатории Касперского», однако последующая цепочка заражения осталась без атрибуции.
🪞 В отчете описана атрибуция данной атаки к группировке TaxOff, о которой мы писали ранее. Кроме того, приводятся данные, которые позволяют считать еще одну найденную нами ранее группировку Team46 и TaxOff одной и той же группой.
Начальным вектором атаки было фишинговое письмо, содержащее ссылку, при переходе по которой жертва активировала one-click exploit, приводящий к установке бэкдора Trinper группировки TaxOff в скомпрометированной системе. В этой атаке был обнаружен бэкдор группировки Team46.
Группировка Team46 была ранее замечена в атаках, использующих DLL-Hijacking для Яндекс Браузера (CVE-2024-6473).
📖 Подробнее читайте на нашем сайте.
#TI #APT #cve
@ptescalator
В марте 2025 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) исследовали атаку, в которой использовалась зарегистрированная примерно в это же время уязвимость нулевого дня CVE-2025-2783 в браузере Chrome. Использование этой уязвимости и саму атаку описали исследователи из «Лаборатории Касперского», однако последующая цепочка заражения осталась без атрибуции.
Начальным вектором атаки было фишинговое письмо, содержащее ссылку, при переходе по которой жертва активировала one-click exploit, приводящий к установке бэкдора Trinper группировки TaxOff в скомпрометированной системе. В этой атаке был обнаружен бэкдор группировки Team46.
Группировка Team46 была ранее замечена в атаках, использующих DLL-Hijacking для Яндекс Браузера (CVE-2024-6473).
#TI #APT #cve
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👍11❤7👏2🤡2🤓1😨1
Reflection Relay. Никогда такого не было, и вот опять (CVE-2025-33073) 😐
Одной из самых популярных техник для повышения привилегий в домене Active Directory является Relay. Долгое время всем были хорошо известны атаки NTLM Relay, но не так давно было описано несколько техник, позволяющих выполнить Relay с использованием Kerberos. Многим будет понятнее, о чем речь, если сказать SMB Relay или ADCS ESC8. Но техник для Relay-атак гораздо больше, выполнять их можно на HTTP, SMB, RPC, MSSQL, WinRMS, LDAP и, вероятно, еще на какие-то протоколы, которые будут описаны в будущем.
Если Relay-атакам подвержены NTLM и Kerberos в связке с различными протоколами, то как защититься от них? На самом деле существуют встроенные механизмы защиты, которые просто нужно отладить. Подробнее о каждом из них поговорим в следующих постах. Но сегодня хочется акцентировать внимание на недавно обнаруженной уязвимости — CVE-2025-33073.
❗️ Сначала немного о самой уязвимости. Эксплуатация проходит в связке с Relay-атакой — хоть Kerberos, хоть NTLM. Корни ее уходят в далекий 2008 год. В том году Microsoft выпустила бюллетень по безопасности MS08-068, после которого перестала работать техника Relay, когда компьютер атаковал бы сам себя.
В то время еще не были широко известны техники типа Coerce, но ярлычками уже активно пользовались (например, LNK-файлами, которые хакеры разбрасывали в доступных для записи общих папках SMB) для получения сессии администратора на устройстве и выполнения Relay-атаки на него же для повышения привилегий. Такой Relay будем называть Reflective.
С тех пор появились техники принуждения к аутентификации — Coerce- и сами Relay-атаки стали более изощренными, но Reflective Relay именно через сеть не было. Но вот наступает 2021 год, и в сети появляется исследование, в котором достаточно подробно описывается механизм Kerberos-аутентификации, в том числе на SMB-сервере. Нет смысла повторятся, стоит лишь сказать, что там впервые фигурирует странное хостовое имя:
Кроме того, автор справедливо замечает, что строка подобного вида вполне может быть DNS-записью. Несмотря на фундаментальность исследования, уязвимостей в механизме найдено не было.
🗓 Вот наступает 2025 год, и 11 июня выходит два исследования подряд: первое и второе. Они тесно связаны друг с другом и основаны на ресерче 2021 года, поэтому читать их лучше именно в таком порядке. В этих исследованиях демонстрируется возможность Reflective Relay как NTLM, так и Kerberos.
Про эксплуатацию CVE-2025-33073 в посте ниже👇
#cve #win #offensive
@ptescalator
Одной из самых популярных техник для повышения привилегий в домене Active Directory является Relay. Долгое время всем были хорошо известны атаки NTLM Relay, но не так давно было описано несколько техник, позволяющих выполнить Relay с использованием Kerberos. Многим будет понятнее, о чем речь, если сказать SMB Relay или ADCS ESC8. Но техник для Relay-атак гораздо больше, выполнять их можно на HTTP, SMB, RPC, MSSQL, WinRMS, LDAP и, вероятно, еще на какие-то протоколы, которые будут описаны в будущем.
Если Relay-атакам подвержены NTLM и Kerberos в связке с различными протоколами, то как защититься от них? На самом деле существуют встроенные механизмы защиты, которые просто нужно отладить. Подробнее о каждом из них поговорим в следующих постах. Но сегодня хочется акцентировать внимание на недавно обнаруженной уязвимости — CVE-2025-33073.
В то время еще не были широко известны техники типа Coerce, но ярлычками уже активно пользовались (например, LNK-файлами, которые хакеры разбрасывали в доступных для записи общих папках SMB) для получения сессии администратора на устройстве и выполнения Relay-атаки на него же для повышения привилегий. Такой Relay будем называть Reflective.
С тех пор появились техники принуждения к аутентификации — Coerce- и сами Relay-атаки стали более изощренными, но Reflective Relay именно через сеть не было. Но вот наступает 2021 год, и в сети появляется исследование, в котором достаточно подробно описывается механизм Kerberos-аутентификации, в том числе на SMB-сервере. Нет смысла повторятся, стоит лишь сказать, что там впервые фигурирует странное хостовое имя:
fileserver1UWhRCAAAAAAAAAAUAAAAAAAAAAAAAAAAAAAAAfileserversBAAA
Кроме того, автор справедливо замечает, что строка подобного вида вполне может быть DNS-записью. Несмотря на фундаментальность исследования, уязвимостей в механизме найдено не было.
🗓 Вот наступает 2025 год, и 11 июня выходит два исследования подряд: первое и второе. Они тесно связаны друг с другом и основаны на ресерче 2021 года, поэтому читать их лучше именно в таком порядке. В этих исследованиях демонстрируется возможность Reflective Relay как NTLM, так и Kerberos.
Про эксплуатацию CVE-2025-33073 в посте ниже👇
#cve #win #offensive
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍8❤7👏2
• Учетная запись в домене с самыми рядовыми привилегиями.
• На атакуемом устройстве не настроено принудительное требование подписи SMB.
• На атакуемом устройстве не стоит патч, устраняющий уязвимость CVE-2025-33073, который был выпущен в июне 2025 года.
И дополнительно одно из двух:
• Либо возможность регистрации DNS-записи в домене (по умолчанию могут все пользователи домена).
• Либо нахождение в одной широковещательной сети с атакуемым устройством (проведение атаки NBNS, LLMNR и mDNS-спуфинга).
Рассмотрим два варианта эксплуатации с дампом локальных учетных данных из
SAM и SECURITY. 1. Атакующий регистрирует DNS-запись формата
localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA2. Атакующий выполняет Coerce-атаку на устройство без SMB Signing.
3. Устройство разрешает имя по DNS, в котором получает IP-адрес атакующего.
4. Устройство проходит аутентификацию на сервере атакующего.
5. Атакующий выполняет Relay-атаку на это же устройство, получает аутентифицированную сессию с правами SYSTEM.
1. Атакующий запускает спуфинг с ответом на имя хоста
localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA2. Атакующий выполняет Coerce-атаку на устройство в локальной сети.
3. Устройство пытается разрешить имя по DNS, не находит его и переходит к многоадресным протоколам.
4. Атакующий сообщает устройству, что имя принадлежит ему.
5. Устройство проходит аутентификацию на сервере атакующего.
6. Атакующий выполняет Relay-атаку на это же устройство, получает аутентифицированную сессию с правами SYSTEM.
Вместо вывода хочется подчеркнуть, что эта уязвимость стала результатом многолетних исследований нескольких специалистов и, вероятно, кем-то она могла быть обнаружена и использована ранее. Никто не знает, сколько еще таких уязвимостей будет обнаружено. Но в этом случае, как и в большинстве других, применив лучшие практики по защите заранее, можно избежать серьезных последствий при появлении подобных уязвимостей даже без установки обновления.
Рекомендации по защите от уязвимости:
• Установите обновления безопасности от 10 июня 2025 года.
• Настройте принудительное требование подписи SMB для SMB-служб контроллеров и рабочих станций.
В следующих постах расскажем, как детектить уязвимость
#cve #win #offensive
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25👍15👏9❤6
В продолжение предыдущих публикаций рассказываем, как обнаруживать уязвимость CVE-2025-33073 🕵️♂️
1️⃣ Отслеживать DNS-запросы с Marshalled-суффиксом
В атаках Reflection Relay злоумышленник вынуждает службы выполнять DNS-запросы к поддельным именам с паттерном
• Что мониторить
Все DNS-запросы, где имя узла заканчивается на marshalled-часть (
• События
Sysmon Event ID 22 (DNS-запросы на узлах).
События DNS-серверов, содержащие такие запросы.
2️⃣ Ловить LDAP-поиск с marshalled-суффиксом
Reflection Relay вызывает LDAP-запросы от атакуемого узла к контроллеру домена, в которых параметр
• Что мониторить:
Запросы LDAP, в которых параметр
• События:
Windows Security Event 1644 ("A search was performed in Active Directory") на контроллерах домена.
3️⃣ Знать механику CVE-2025-33073 и Coerce-атаки
Как работает уязвимость:
• Coerce-атаки (PetitPotam, PrinterBug) вынуждают жертву подключиться к поддельному DNS-имени.
• Windows ошибочно считает запрос локальным из-за marshalled-суффикса, отключая проверки NTLM и Kerberos.
• Это позволяет атакующему выполнить Relay сессии обратно на жертву для получения RCE с правами SYSTEM.
Примеры Coerce-атак:
• PetitPotam: принуждение через уязвимость в EFS RPC, заставляющее LSASS инициировать аутентификацию;
• PrinterBug: принудительная отправка NTLM-хешей через уязвимость в службе печати Windows (MS-RPRN).
4️⃣ Опираться на примеры сработавших правил корреляции
При реализации CVE-2025-33073 совместно с PetitPotam для дампа учетных данных сработали следующие правила корреляции:
• Coerce_Auth: правило обнаруживает Coerce-атаки на узел с целью перехвата хеша машинной учетной записи атакованного узла, а также пытается определить по названию используемого пайпа, какая техника атаки используется (netdfs = DFSCoerce; spoolss = PrinterBug; fssagentrpc = ShadowCoerce; efsrpc, lsarpc, samr, lsass, netlogon = PetitPotam; msftewds = WSPCoerce) и какой инструмент применяется.
• SVCCTL_Connection: правило обнаруживает подключение к именованному каналу
• Remote_Password_Dump: правило обнаруживает удаленный дамп паролей через обращение к именованному каналу
5️⃣ Использовать примеры SIGMA-правил
Если у вас нет MaxPatrol SIEM, то вот вам пример простых SIGMA-правил:
Для Sysmon Event ID 22.
Для Windows Security Event 1644.
6️⃣ Использовать наши публичные Suricata-сигнатуры для обнаружения этой атаки
#detect #cve #win #sigma #rules
@ptescalator
1️⃣ Отслеживать DNS-запросы с Marshalled-суффиксом
В атаках Reflection Relay злоумышленник вынуждает службы выполнять DNS-запросы к поддельным именам с паттерном
1UWhRCA + 37–45 символов Base64. Записи вида srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA.example.com или localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA.example.com — индикаторы попытки Reflection Relay (NTLM, Kerberos).• Что мониторить
Все DNS-запросы, где имя узла заканчивается на marshalled-часть (
1UWhRCA + 37-45 символов Base64).• События
Sysmon Event ID 22 (DNS-запросы на узлах).
События DNS-серверов, содержащие такие запросы.
2️⃣ Ловить LDAP-поиск с marshalled-суффиксом
Reflection Relay вызывает LDAP-запросы от атакуемого узла к контроллеру домена, в которых параметр
name= содержит поддельное DNS-имя формата [имя_узла]1UWhRCA[Base64]. Это происходит при выполнении Relay-атаки обратно на жертву.• Что мониторить:
Запросы LDAP, в которых параметр
name= содержит конструкцию: "[имя_хоста]1UWhRCA[символы Base64]"• События:
Windows Security Event 1644 ("A search was performed in Active Directory") на контроллерах домена.
3️⃣ Знать механику CVE-2025-33073 и Coerce-атаки
Как работает уязвимость:
• Coerce-атаки (PetitPotam, PrinterBug) вынуждают жертву подключиться к поддельному DNS-имени.
• Windows ошибочно считает запрос локальным из-за marshalled-суффикса, отключая проверки NTLM и Kerberos.
• Это позволяет атакующему выполнить Relay сессии обратно на жертву для получения RCE с правами SYSTEM.
Примеры Coerce-атак:
• PetitPotam: принуждение через уязвимость в EFS RPC, заставляющее LSASS инициировать аутентификацию;
• PrinterBug: принудительная отправка NTLM-хешей через уязвимость в службе печати Windows (MS-RPRN).
4️⃣ Опираться на примеры сработавших правил корреляции
При реализации CVE-2025-33073 совместно с PetitPotam для дампа учетных данных сработали следующие правила корреляции:
• Coerce_Auth: правило обнаруживает Coerce-атаки на узел с целью перехвата хеша машинной учетной записи атакованного узла, а также пытается определить по названию используемого пайпа, какая техника атаки используется (netdfs = DFSCoerce; spoolss = PrinterBug; fssagentrpc = ShadowCoerce; efsrpc, lsarpc, samr, lsass, netlogon = PetitPotam; msftewds = WSPCoerce) и какой инструмент применяется.
• SVCCTL_Connection: правило обнаруживает подключение к именованному каналу
svcctl, который ответственен за удаленное конфигурирование служб Windows на узлах через Service Control Manager, что может привести к выполнению произвольного кода;• Remote_Password_Dump: правило обнаруживает удаленный дамп паролей через обращение к именованному каналу
WINREG.5️⃣ Использовать примеры SIGMA-правил
Если у вас нет MaxPatrol SIEM, то вот вам пример простых SIGMA-правил:
Для Sysmon Event ID 22.
Для Windows Security Event 1644.
6️⃣ Использовать наши публичные Suricata-сигнатуры для обнаружения этой атаки
#detect #cve #win #sigma #rules
@ptescalator
🔥20👍10❤9👏1
Уязвимости типа Pass Back: что это такое и насколько опасны 🧐
Есть целый класс уязвимостей, которые на первый взгляд выглядят безобидно, и даже уровень опасности у них низкий или средний. Но если разобраться в нюансах, то все уже не кажется таким безобидным.
Примером такой уязвимости является LDAP Pass Back (CVE-2024-32122), которую зарегистрировал ведущий специалист отдела наступательной безопасности PT ESC Владислав Дриев совместно со специалистом по анализу защищенности УЦСБ Олегом Лабынцевым.
Эта уязвимость позволяет получить учетные данные (УД) от LDAP в открытом виде (зачастую это УЗ AD), злоумышленнику нужно лишь частично изменить конфигурацию коннектора. Уязвимость встречается в разных видах и в самых разных устройствах и программных продуктах.
Атакующий может получить УД в открытом виде или в виде хеша с захваченного устройства или софта. Ярким примером таких устройств, конечно, являются МФУ, но точно не ограничиваемся только ими. Уязвимыми также могут быть домофоны, камеры, сетевое оборудование. Если говорить про ПО, то чаще всего это CMS.
В чем конкретно проблема🤔
Проблема в том, что атакующий может влиять на конфигурацию устройства, в которой есть УД. Чтобы было еще понятнее, приведем пример. Настроили МФУ, чтобы оно могло отправлять сообщения по SMTP на почту, также настроили аутентификацию по LDAP, чтобы динамически загружался список контактов, а еще — SMB, чтобы сразу можно было складывать отсканированные документы в сетевую папку.
Далее рассмотрим ситуацию, когда атакующий смог получить доступ к веб-интерфейсу с помощью УД по умолчанию. В таком случае он может попробовать изменить IP-адрес конфигурации, которая содержит УД, поменяв в ней IP-адрес на подконтрольный ему. Что это даст и почему это вообще возможно? Опыт показывает, что в большинстве случаев смена только IP-адреса в конфигурации разрешена. Соответственно, УД будут использованы валидные. Таким образом, злоумышленник сможет получить обращение с корректными учетными данными на свой IP-адрес, где сможет достать их из трафика либо в открытом виде, либо в виде хеша.
• SMTP (без TLS) зачастую позволяет получить УД в открытом виде.
• LDAP позволяет получить данные в открытом виде.
• SMB позволяет получить хеш (часто NetNTLMv1, с которого можно выполнить NTLM Relay).
• другое (УД для IP-телефонии, которые обернуты в Base64).
Что здесь небезопасного, ведь доступ ко всем конфигам скрыт за аутентификацией? Да, но не всегда все так. Способы получения доступа к конфигурациям:
• УД по умолчанию.
• IDOR (выделен отдельно от уязвимостей, потому что встречается часто).
• Уязвимость для получения доступа к веб-интерфейсу администратора.
Еще есть случаи, когда на устройстве работает несколько администраторов, у них разные роли, но при этом каждый может получить доступ к УД коннекторов через такой нехитрый способ.
Так или иначе атакующий получит доступ к устройству. После этого скомпрометирует УД и начнет развивать атаки на смежные сервисы, в частности на AD. Кроме того, среди этого всего бывают уникальные и выдающиеся случаи:
• CMS работает с учетной записью администратора домена.
• МФУ работает с учетной записью администратора домена.
В итоге уязвимость низкого или среднего уровня опасности может стать звеном в цепочке компрометации всей инфраструктуры.
Итак, как этого избежать🧐
Самый простой способ — при любом изменении конфигурации УД запросить ввести их заново. Если конфигурацию меняет администратор, для него это не будет проблемой. А если атакующий, то он ничего не получит. Понятно, что на софт не всегда можно повлиять, тогда перед тем, как войти под своей УЗ на какое-то новое устройство, можно самостоятельно проверить, как оно ведет себя с разными конфигурациями, нет ли возможности извлечь УД из него.
Более того, такие УЗ следует ограничивать в правах, брать на мониторинг. Если от имени УЗ началась разведка в домене — это явный признак компрометации устройства. Ну и конечно, нужно защищать устройства и ПО: менять пароли по умолчанию, регулярно устанавливать обновления.
#CVE #offensive
@ptescalator
Есть целый класс уязвимостей, которые на первый взгляд выглядят безобидно, и даже уровень опасности у них низкий или средний. Но если разобраться в нюансах, то все уже не кажется таким безобидным.
Примером такой уязвимости является LDAP Pass Back (CVE-2024-32122), которую зарегистрировал ведущий специалист отдела наступательной безопасности PT ESC Владислав Дриев совместно со специалистом по анализу защищенности УЦСБ Олегом Лабынцевым.
Эта уязвимость позволяет получить учетные данные (УД) от LDAP в открытом виде (зачастую это УЗ AD), злоумышленнику нужно лишь частично изменить конфигурацию коннектора. Уязвимость встречается в разных видах и в самых разных устройствах и программных продуктах.
Атакующий может получить УД в открытом виде или в виде хеша с захваченного устройства или софта. Ярким примером таких устройств, конечно, являются МФУ, но точно не ограничиваемся только ими. Уязвимыми также могут быть домофоны, камеры, сетевое оборудование. Если говорить про ПО, то чаще всего это CMS.
В чем конкретно проблема
Проблема в том, что атакующий может влиять на конфигурацию устройства, в которой есть УД. Чтобы было еще понятнее, приведем пример. Настроили МФУ, чтобы оно могло отправлять сообщения по SMTP на почту, также настроили аутентификацию по LDAP, чтобы динамически загружался список контактов, а еще — SMB, чтобы сразу можно было складывать отсканированные документы в сетевую папку.
Далее рассмотрим ситуацию, когда атакующий смог получить доступ к веб-интерфейсу с помощью УД по умолчанию. В таком случае он может попробовать изменить IP-адрес конфигурации, которая содержит УД, поменяв в ней IP-адрес на подконтрольный ему. Что это даст и почему это вообще возможно? Опыт показывает, что в большинстве случаев смена только IP-адреса в конфигурации разрешена. Соответственно, УД будут использованы валидные. Таким образом, злоумышленник сможет получить обращение с корректными учетными данными на свой IP-адрес, где сможет достать их из трафика либо в открытом виде, либо в виде хеша.
• SMTP (без TLS) зачастую позволяет получить УД в открытом виде.
• LDAP позволяет получить данные в открытом виде.
• SMB позволяет получить хеш (часто NetNTLMv1, с которого можно выполнить NTLM Relay).
• другое (УД для IP-телефонии, которые обернуты в Base64).
Что здесь небезопасного, ведь доступ ко всем конфигам скрыт за аутентификацией? Да, но не всегда все так. Способы получения доступа к конфигурациям:
• УД по умолчанию.
• IDOR (выделен отдельно от уязвимостей, потому что встречается часто).
• Уязвимость для получения доступа к веб-интерфейсу администратора.
Еще есть случаи, когда на устройстве работает несколько администраторов, у них разные роли, но при этом каждый может получить доступ к УД коннекторов через такой нехитрый способ.
Так или иначе атакующий получит доступ к устройству. После этого скомпрометирует УД и начнет развивать атаки на смежные сервисы, в частности на AD. Кроме того, среди этого всего бывают уникальные и выдающиеся случаи:
• CMS работает с учетной записью администратора домена.
• МФУ работает с учетной записью администратора домена.
В итоге уязвимость низкого или среднего уровня опасности может стать звеном в цепочке компрометации всей инфраструктуры.
Итак, как этого избежать
Самый простой способ — при любом изменении конфигурации УД запросить ввести их заново. Если конфигурацию меняет администратор, для него это не будет проблемой. А если атакующий, то он ничего не получит. Понятно, что на софт не всегда можно повлиять, тогда перед тем, как войти под своей УЗ на какое-то новое устройство, можно самостоятельно проверить, как оно ведет себя с разными конфигурациями, нет ли возможности извлечь УД из него.
Более того, такие УЗ следует ограничивать в правах, брать на мониторинг. Если от имени УЗ началась разведка в домене — это явный признак компрометации устройства. Ну и конечно, нужно защищать устройства и ПО: менять пароли по умолчанию, регулярно устанавливать обновления.
#CVE #offensive
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15🤝9👾8👍6