RODO okiem hackera! Praktyczne szkolenie od sekuraka z ochrony danych osobowych. Zapisz się tutaj.

Tag: Windows

0-day w Windowsach, omijający ostrzeżenie o uruchomieniu pliku pochodzącego z Internetu. Podatność była wykorzystana w realnych atakach

23 listopada 2022, 09:39 | W biegu | komentarze 4
0-day w Windowsach, omijający ostrzeżenie o uruchomieniu pliku pochodzącego z Internetu. Podatność była wykorzystana w realnych atakach

Nowe ataki phishingowe używają podatności typu 0-day w systemie Windows do umieszczenia malware Qbot bez pojawienia się ostrzeżenia o tym, że plik pochodzi z Internetu (“Mark of the Web”).  Gdy pliki zostają ściągnięte z niezaufanej lokalizacji zdalnej, takiej jak Internet lub załącznik e-mail, system Windows dodaje specjalny atrybut do pliku…

Czytaj dalej »

Dwa niezałatane 0days w Microsoft Exchange. Są wykorzystywane w atakach…

30 września 2022, 16:11 | W biegu | komentarzy 5

O szczegółach CVE-2022-41040 (SSRF) oraz CVE-2022-41082 (RCE) Microsoft donosi tutaj. Od razu warto zaznaczyć, że wykorzystanie luk (i przejęcie serwera) wymaga posiadania konta dowolnego użytkownika (trzymamy kciuki za odpowiednio silne hasła Waszych użytkowników – jeśli chodzi o dostęp do Exchange): At this time, Microsoft is aware of limited targeted attacks…

Czytaj dalej »

Krytyczna podatność w Windowsach klienckich i serwerach, wysyłając odpowiednie pakiety można przejąć admina (wymagany IPsec oraz IPv6)

14 września 2022, 17:18 | W biegu | komentarzy 6
Krytyczna podatność w Windowsach klienckich i serwerach, wysyłając odpowiednie pakiety można przejąć admina (wymagany IPsec oraz IPv6)

Opis luki wygląda dość groźnie: Windows TCP/IP Remote Code Execution Vulnerability. „Wycena” krytyczności CVE-2022-34718 też jest poważna – a zasadzie krytyczna: 9.8/10. W opisie czytamy: An unauthenticated attacker could send a specially crafted IPv6 packet to a Windows node where IPSec is enabled, which could enable a remote code execution…

Czytaj dalej »

BumbleBee loader – nowa droga do przejęcia domeny Active Directory

23 sierpnia 2022, 10:19 | Aktualności | komentarzy 7
BumbleBee loader – nowa droga do przejęcia domeny Active Directory

O podatności CVE-2021-40444 na usługi Microsoft i programach ją wykorzystujących mogliśmy przeczytać na sekuraku w marcu. Wydaje się, że grupy cyberprzestępcze, które wcześniej wykorzystywały takie loadery jak BazaLoader i IcedID w ramach swoich kampanii dotyczących złośliwego oprogramowania, zaadoptowały nowy loader o nazwie BumbleBee. Wygląda na to, że moduł ładujący jest…

Czytaj dalej »

Rekonesans środowiska Active Directory za pomocą BloodHound [bezpieczeństwo Windows]

01 sierpnia 2022, 10:40 | Teksty | komentarze 2
Rekonesans środowiska Active Directory za pomocą BloodHound [bezpieczeństwo Windows]

W tym artykule przyjrzymy się bliżej narzędziu BloodHound — Six Degrees of Domain Admin. Aplikacja została stworzona w języku JavaScript i zbudowano ją za pomocą platformy Electron. Graficzna wizualizacja korzysta z bazy danych Neo4j. Podczas eksperymentu będziemy korzystać ze stacji roboczej z Windows oraz stacji Windows Server (obie stacje jako…

Czytaj dalej »

~20 różnych sposobów na utrzymanie infekcji Windowsa po restarcie

25 lipca 2022, 11:02 | W biegu | komentarze 3
~20 różnych sposobów na utrzymanie infekcji Windowsa po restarcie

Biblioteka z bazą tego typu pomysłów jest tutaj. Na początku są naprawdę proste przykłady – również z wyszczególnieniem jakie uprawnienia są wymagane do zapewnienia tzw. persystencji: Całość w założeniach ma za zadanie zapewnić odpowiednią wiedzę osobom chroniącym systemy (gdzie szukać miejsca w którym zdefiniowane jest odpalenie backdoora po każdym restarcie…

Czytaj dalej »

Zdalne wykonanie kodu w Windows Serwerach. Bez uwierzytelnienia, uzyskuje się dostęp jako SYSTEM. Podatność w NFS: CVE-2022-30136

18 lipca 2022, 10:39 | W biegu | 0 komentarzy
Zdalne wykonanie kodu w Windows Serwerach. Bez uwierzytelnienia, uzyskuje się dostęp jako SYSTEM. Podatność w NFS: CVE-2022-30136

Z jednej strony podatność może nie jest warta dużej uwagi (załatana miesiąc temu, występuje w komponencie NFS Network File System, którego nie wszyscy używają), z drugiej strony warto mieć z tyłu głowy luki, które bez uwierzytelnienia dają dostęp na SYSTEM na atakowanym celu. Dodatkowo, na blogu ZDI pojawił się dość…

Czytaj dalej »

Hackowanie Active Directory – gigantyczny poradnik.

15 lipca 2022, 10:47 | W biegu | 0 komentarzy
Hackowanie Active Directory – gigantyczny poradnik.

Materiałów o bezpieczeństwie Windows – czy w szczególności Active Directory mamy tyle co węgla w polskich składach węglowych ;-) Warto więc zapewne zapoznać się z tym rozbudowanym poradnikiem. Mamy tutaj: Wstęp co to w ogóle jest AD / w tym podstawowe definicje Przydatne narzędzia, w tym przykłady ich użyć: Modele…

Czytaj dalej »

Bezpieczeństwo Windows – czym jest LSASS dump. Jak się przed nim chronić?

12 lipca 2022, 10:15 | Teksty | komentarze 4
Bezpieczeństwo Windows – czym jest LSASS dump. Jak się przed nim chronić?

Możliwość wykonania zrzutu danych uwierzytelniających systemu Windows przez grupy APT (ang. Advanced Persistent Threat) i innych threat actors jest poważnym zagrożeniem szczególnie dla przedsiębiorstw i innych organizacji. Baza wiedzy MITRE ATT&CK, która jest tworzona głównie dla wspierania obrony przed zagrożeniami w cyberprzestrzeni zawiera opisy technik i taktyk pochodzących z obserwacji…

Czytaj dalej »

Chciałbyś nauczyć się bezpieczeństwa Active Directory? Zobacz na projekt GOADv2: Game Of Active Directory v2

11 lipca 2022, 12:35 | W biegu | 0 komentarzy
Chciałbyś nauczyć się bezpieczeństwa Active Directory? Zobacz na projekt GOADv2: Game Of Active Directory v2

Duży skonfigurowany LAB (virtualki z Windowsem) umożliwiający naukę bezpieczeństwa AD we własnym tempie: GOAD is a pentest active directory LAB project. The purpose of this lab is to give pentesters a vulnerable Active directory environement ready to use to practice usual attack techniques. Do tego kilka startowych ~writeupów jak poruszać…

Czytaj dalej »

Seria podatności w ManageEngine ADAudit Plus. Czyli jak (czasem) od zera dostać admina domeny Windows?

05 lipca 2022, 10:54 | Aktualności | komentarze 2
Seria podatności w ManageEngine ADAudit Plus. Czyli jak (czasem) od zera dostać admina domeny Windows?

Ciekawy opis podatności w ManageEngine ADAudit Plus (służącym do monitorowania zmian w Active Directory) możecie znaleźć tutaj. Mając dostęp do kodów źródłowych aplikacji badacze najpierw poszukali URLi, które nie wymagają uwierzytelnienia. Jednym z ciekawszych okazał się być: /cewolf/ w którym udało się namierzyć RCE poprzez deserializację obiektów. Przy okazji mamy…

Czytaj dalej »

Krytyczna podatność 0day w Microsoft Office. Po otwarciu dokumentu można przejąć komputer… CVE-2022-30190, Follina

31 maja 2022, 10:00 | W biegu | komentarze 3
Krytyczna podatność 0day w Microsoft Office. Po otwarciu dokumentu można przejąć komputer… CVE-2022-30190, Follina

Na koniec maja zauważono ciekawy plik Microsoft Worda zuploadowany z Białorusi: Wykonywał kod atakującego zaledwie po otwarciu dokumentu (i to nawet jeśli całkiem wyłączone były makra w Wordzie). Później okazało się, że podatność była wykorzystywana jeszcze w kwietniu i nawet zgłoszona do Microsoftu, który stwierdził…eeee to nie problem bezpieczeństwa (!)….

Czytaj dalej »

Bezpieczeństwo Windows. Elementarz każdego administratora -50%

30 maja 2022, 11:34 | Aktualności | 0 komentarzy
Bezpieczeństwo Windows. Elementarz każdego administratora -50%

Zapraszamy Was na dwa dni szkolenia (tzn. fascynującej, obfitującej w pokazy na żywo przygody :) z bezpieczeństwem Windows. Bezpieczeństwo Windows. Elementarz każdego administratora – to dwudniowe szkolenie w formie pokazów na żywo prowadzone przez Grzegorza Tworka, dwunastokrotnie nagradzanego przez Microsoft tytułem Most Valuable Professional (MVP) oraz prelegenta Blackhat. Szkolenie jest…

Czytaj dalej »

Krytyczna podatność w Windowsach klienckich / serwerowych. Zdalnie można przejąć system, łatajcie, przepatrzcie firewalle! [CVE-2022-26809]

13 kwietnia 2022, 11:23 | W biegu | komentarzy 21
Krytyczna podatność w Windowsach klienckich / serwerowych. Zdalnie można przejąć system, łatajcie, przepatrzcie firewalle! [CVE-2022-26809]

Chodzi o CVE-2022-26809. Co my tu mamy? Błąd klasy RCE (Remote Code Execution, umożliwiający zdalne wykonanie kodu na atakowanym systemie): Remote Procedure Call Runtime Remote Code Execution Vulnerability To exploit this vulnerability, an attacker would need to send a specially crafted RPC call to an RPC host. This could result…

Czytaj dalej »

Pierwsza podatność 0-day w 2022 roku, wykorzystywana w realnych atakach na użytkowników Windows. Uważajcie na CVE-2022-21882

19 stycznia 2022, 19:37 | W biegu | 0 komentarzy
Pierwsza podatność 0-day w 2022 roku, wykorzystywana w realnych atakach na użytkowników Windows. Uważajcie na CVE-2022-21882

Podatność była exploitowana jeszcze przed załataniem, a obecnie Microsoft uzupełnił wpis o dodatkową adnotację „Exploited” (tj. trwa exploitacja). Jak widzicie powyżej, podatność jest wynikiem braku poprawnego łatania poprzedniej luki. Teraz dobre informacje: CVE-2022-21882 jest „tylko” podatnością klasy privilege escalation – czyli umożliwia zwiększenie uprawnień dowolnego zalogowanego użytkownika, do uprawnień admina….

Czytaj dalej »