Aktualności

Można było przejmować dowolną stronę na Facebooku. Nagroda za zgłoszenie buga: ~55 000 PLN

15 września 2020, 18:45 | W biegu | 0 komentarzy
Można było przejmować dowolną stronę na Facebooku. Nagroda za zgłoszenie buga: ~55 000 PLN

Pełen opis problemu możecie zobaczyć tutaj. Historia związana jest z nowym interfejsem Facebooka (tzw. FB5). Tutaj można było stworzyć nową (testową) stronę, a następnie utworzyć do niej użytkownika: Na razie nie ma żadnej podatności, ale po kliknięciu przycisku Create Username można było przechwycić żądanie HTTP (np. w Burp Suite) i wpisać…

Czytaj dalej »

LIVE demo od sekuraka: zobacz prawdziwy atak na organizację. Exploity używane przez grupy APT, ataki sieciowe i aplikacyjne, recon, czy przenikanie kolejnych zabezpieczeń…

15 września 2020, 15:15 | Aktualności | komentarzy 19
LIVE demo od sekuraka: zobacz prawdziwy atak na organizację. Exploity używane przez grupy APT, ataki sieciowe i aplikacyjne, recon, czy przenikanie kolejnych zabezpieczeń…

To zapowiedź naszego 90-120 minutowego live demo, w którym pokażemy jak rozpoznać a następnie przejąć konkretną infrastrukturę. Będzie sporo ataków sieciowych oraz aplikacyjnych, będzie o systemach mobilnych, będzie o przenikaniu do wnętrza sieci. Będzie w końcu kilka unikalnych technik, które zobaczycie na żywo w trakcie realnego ataku na pewną organizację….

Czytaj dalej »

„W naszym cudnym kraju można kogoś zlicytować na aukcji komorniczej nawet go nie znając.”

15 września 2020, 12:42 | W biegu | komentarzy 28
„W naszym cudnym kraju można kogoś zlicytować na aukcji komorniczej nawet go nie znając.”

Interesujący i napawający sporym niepokojem news z granic socjotechniki i prawa. Marcin Walczak niedoszła ofiara procederu – pisze tak: Jak widzicie sprawa najwyraźniej zakończyła się szczęśliwie: Co można zrobić? W największym skrócie przerwać w którymś momencie łańcuch problemów, o którym pisze sam Mariusz.   W szczególności: warto założyć konto w…

Czytaj dalej »

Tylko w ten weekend zainfekowali ~2000 sklepów on-line [Magento]. Skimmer wykradający dane kart płatniczych.

15 września 2020, 11:26 | W biegu | komentarzy 11
Tylko w ten weekend zainfekowali ~2000 sklepów on-line [Magento]. Skimmer wykradający dane kart płatniczych.

Firma Sansec donosi o chyba największej do tej pory kampanii atakującej sklepy oparte o Magento 1. Wg doniesień ktoś niedawno sprzedawał informację o 0dayu, który daje RCE (dostęp na serwer) bez wymogu uwierzytelnienia. Całość działa na niewspierany już od niedawna Magento 1: Trudno powiedzieć czy Adobe (obecny właściciel Magento) wypuści jednak…

Czytaj dalej »

Wyciek 100 000+ rekordów danych osobowych z Razer – jednej z popularnych firm produkujących sprzęt gamingowy

14 września 2020, 20:12 | W biegu | 0 komentarzy
Wyciek 100 000+ rekordów danych osobowych z Razer – jednej z popularnych firm produkujących sprzęt gamingowy

Po raz kolejny winowajcą jest niezabezpieczony Elasticsearch (o innych przypadkach dużych problemów wynikających właśnie z nieumiejętnej konfiguracji Elasticsearcha pisaliśmy tutaj, tutaj, tutaj, tutaj czy tutaj). Tego typu tematykę omawiamy również na naszym szkoleniu z rekonesansu infrastruktury IT. Badacz namierzył niezabezpieczoną bazę w sierpniu, a jej zdjęcie przez producenta trwało… nie…

Czytaj dalej »

Zerologon – jeśli się jeszcze nie zaktualizowaliście, każdy w Waszej sieci może w prosty sposób przejąć kontroler domeny. Wystarczą 3 sekundy.

14 września 2020, 17:24 | W biegu | komentarzy 9
Zerologon – jeśli się jeszcze nie zaktualizowaliście, każdy w Waszej sieci może w prosty sposób przejąć kontroler domeny. Wystarczą 3 sekundy.

O temacie pisaliśmy parę dni temu, obecnie mamy już dużo szczegółów. Problem występuje w microsoftowym protokole Netlogon (umożliwia on m.in. zalogowanie się komputerom do kontrolera domeny). Żeby móc podłączyć się do kontrolera domeny, klient musi znać klucz sesyjny. W naszym przypadku zaczynamy jako zupełnie anonimowy użytkownik, więc klucza nie znamy….

Czytaj dalej »

Książka sekuraka + 4h szkolenie od Michała Bentkowskiego: wprowadzenie do bezpieczeństwa aplikacji WWW – tylko w tym tygodniu w rewelacyjnej cenie 109 PLN :-)

14 września 2020, 10:09 | W biegu | 0 komentarzy
Książka sekuraka + 4h szkolenie od Michała Bentkowskiego: wprowadzenie do bezpieczeństwa aplikacji WWW – tylko w tym tygodniu w rewelacyjnej cenie 109 PLN :-)

Normalnie, pakiet kosztuje: ~139 PLN (+ wysyłka książki). W tym tygodniu z kodem super-kurs możecie go pakiet kupić za 109 PLN (+wysyłka książki). Samo szkolenie „wprowadzenie do bezpieczeństwa aplikacji WWW”, prowadzone przez Michała Bentkowskiego, kierowane jest do programistów, testerów, administratorów i osób interesujących się bezpieczeństwem IT, które chcą poznać podstawowe podejście…

Czytaj dalej »

Przejął system MDM, zarządzający urządzeniami mobilnymi pracowników Facebooka. RCE bez uwierzytelnienia na popularnym MDM-ie MobileIron.

12 września 2020, 12:39 | Aktualności | 1 komentarz
Przejął system MDM, zarządzający urządzeniami mobilnymi pracowników Facebooka.  RCE bez uwierzytelnienia na popularnym MDM-ie MobileIron.

Jeśli Orange Tsai coś napisze, to jest to od razu uderzenie z Grubej Berty ;-) Tym razem mamy opis podatności klasy unauthenticated RCE w systemie MDM MobileIron. Dla przypomnienia systemy klasy Mobile Device Management to klucz do królestwa urządzeń mobilnych w całej firmie. Z jednej strony to właśnie w tym miejscu…

Czytaj dalej »

Przestępcy na sprzedaży zhackowanych kont i przedmiotów z Fortnite zarabiają nawet ~150 000 PLN. Tygodniowo.

12 września 2020, 10:56 | W biegu | komentarze 3
Przestępcy na sprzedaży zhackowanych kont i przedmiotów z Fortnite zarabiają nawet ~150 000 PLN. Tygodniowo.

Tak przynajmniej donosi serwis Data Viper, który przygotował raport w temacie. Cały proceder jest zabójczo prosty: pobranie danych (loginy + hasła) z publicznych wycieków próba użycia tych danych do logowania się w Fortnite (raport mówi o możliwości realizowania ~500 prób na sekundę) wyłuskanie pasujących loginów/haseł (tutaj alternatywne używane metody to próbowanie…

Czytaj dalej »

Lepiej sprawdźcie czy macie załatane kontrolery domeny. Możliwość przejęcia administratora domeny, nie wymagające żadnego uwierzytelnienia

11 września 2020, 19:50 | W biegu | komentarze 4
Lepiej sprawdźcie czy macie załatane kontrolery domeny. Możliwość przejęcia administratora domeny, nie wymagające żadnego uwierzytelnienia

W sierpniu Microsoft bez jakiegoś wielkiego rozgłosu załatał tę podatność. Krytyczna podatność (10/10 w skali CVSS) dotykająca wszystkie systemy serwerowe Microsoftu (poczynając od Windows 2008 Server) umożliwia przejęcie admina domenowego. Co więcej, według opisu nawet nie potrzebne jest żadne zwykłe konto, wystarczy możliwość sieciowego podłączenia się do kontrolera domeny: To…

Czytaj dalej »

Kampania mailowa po polsku ostrzegająca o podłożeniu bomby. Żądają $50000 w bitcoinach [oszustwo]

11 września 2020, 16:21 | W biegu | komentarze 4
Kampania mailowa po polsku ostrzegająca o podłożeniu bomby. Żądają $50000 w bitcoinach [oszustwo]

Swego czasu popularna była kampania mailowa, w której dowiadywaliśmy się ze napastnik ma dostęp do naszego komputera, a w ramach uwiarygodnienia przesyłane było nasze realne hasło (pozyskane z jednego z wycieków). Od czasu do czasu jest ona wznawiana (również w polskiej wersji językowej), ale obecnie mamy też coś nowego. Tym…

Czytaj dalej »

Zdalne szkolenie od sekuraka: recon master #1. Poznaj tajniki rekonesansu infrastruktury IT.

10 września 2020, 17:02 | Aktualności | komentarzy 8
Zdalne szkolenie od sekuraka: recon master #1. Poznaj tajniki rekonesansu infrastruktury IT.

Jeśli chciałbyś dowiedzieć się więcej o łatwym pozyskiwaniu informacji o infrastrukturze IT swojej firmy, chciałbyś wiedzieć jak chronić się przed wrogim rekonesansem czy poznać sporo popularnych ale również niszowych sztuczek związanych z technicznym OSINT-em, kurs jest dla Ciebie. Na obecną chwilę planujemy tylko jedną jego edycję, która odbędzie się w…

Czytaj dalej »

Łamanie haseł na GPU w cloudzie, bezpieczeństwo WiFi w naszym zdalnym labie, topowi trenerzy – zapraszamy na nasze zdalne szkolenia

10 września 2020, 10:47 | Aktualności | komentarzy 5
Łamanie haseł na GPU w cloudzie, bezpieczeństwo WiFi w naszym zdalnym labie, topowi trenerzy – zapraszamy na nasze zdalne szkolenia

Nie ma co ukrywać, że epidemia związana z covidem miała negatywny wpływ na branżę szkoleniową. W marcu odwołaliśmy wszystkie zaplanowane na najbliższe 2-3 miesiące szkolenia prowadzone dotąd wyłącznie stacjonarnie, z dnia na dzień budżety szkoleniowe naszych Klientów zostały „zamrożone”, albo nierzadko  „skonsumowane” przez inne, pilniejsze potrzeby organizacji. Choć generalnie wizja…

Czytaj dalej »