Podatność: Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability umożliwia zdobycie uprawnień SYSTEM z poziomu zwykłego użytkownika. Microsoft dodaje, że luka może być użyta do wyskoczenia z sandboxa przeglądarkowego. Więc prawdopodobnie jest ona składnikiem łańcucha: wchodzisz na zainfekowaną stronę -> serwowany jest exploit na przeglądarkę -> użyty jest…
Czytaj dalej »
Rozpoczynamy nową mini serię szkoleń pod szyldem „Poznaj bezpieczeństwo Windows [zapisy tutaj]„. Na pierwszy ogień idą usługi sieciowe. Na początek trochę podstaw, później trochę zaawansowanych zagadnień. Kiedy / gdzie? Szkolenie odbędzie się 20 marca o godzinie 20:00 -> 22:00 (22:30). On-line. Każda zapisana osoba otrzyma również zapis szkolenia (na 30…
Czytaj dalej »
Nowe ataki phishingowe używają podatności typu 0-day w systemie Windows do umieszczenia malware Qbot bez pojawienia się ostrzeżenia o tym, że plik pochodzi z Internetu (“Mark of the Web”). Gdy pliki zostają ściągnięte z niezaufanej lokalizacji zdalnej, takiej jak Internet lub załącznik e-mail, system Windows dodaje specjalny atrybut do pliku…
Czytaj dalej »
O szczegółach CVE-2022-41040 (SSRF) oraz CVE-2022-41082 (RCE) Microsoft donosi tutaj. Od razu warto zaznaczyć, że wykorzystanie luk (i przejęcie serwera) wymaga posiadania konta dowolnego użytkownika (trzymamy kciuki za odpowiednio silne hasła Waszych użytkowników – jeśli chodzi o dostęp do Exchange): At this time, Microsoft is aware of limited targeted attacks…
Czytaj dalej »
Opis luki wygląda dość groźnie: Windows TCP/IP Remote Code Execution Vulnerability. „Wycena” krytyczności CVE-2022-34718 też jest poważna – a zasadzie krytyczna: 9.8/10. W opisie czytamy: An unauthenticated attacker could send a specially crafted IPv6 packet to a Windows node where IPSec is enabled, which could enable a remote code execution…
Czytaj dalej »
O podatności CVE-2021-40444 na usługi Microsoft i programach ją wykorzystujących mogliśmy przeczytać na sekuraku w marcu. Wydaje się, że grupy cyberprzestępcze, które wcześniej wykorzystywały takie loadery jak BazaLoader i IcedID w ramach swoich kampanii dotyczących złośliwego oprogramowania, zaadoptowały nowy loader o nazwie BumbleBee. Wygląda na to, że moduł ładujący jest…
Czytaj dalej »
![Rekonesans środowiska Active Directory za pomocą BloodHound [bezpieczeństwo Windows]](https://sekurak.pl/wp-content/uploads/2022/08/bh1-150x150.png "Rekonesans środowiska Active Directory za pomocą BloodHound [bezpieczeństwo Windows]")
W tym artykule przyjrzymy się bliżej narzędziu BloodHound — Six Degrees of Domain Admin. Aplikacja została stworzona w języku JavaScript i zbudowano ją za pomocą platformy Electron. Graficzna wizualizacja korzysta z bazy danych Neo4j. Podczas eksperymentu będziemy korzystać ze stacji roboczej z Windows oraz stacji Windows Server (obie stacje jako…
Czytaj dalej »
Biblioteka z bazą tego typu pomysłów jest tutaj. Na początku są naprawdę proste przykłady – również z wyszczególnieniem jakie uprawnienia są wymagane do zapewnienia tzw. persystencji: Całość w założeniach ma za zadanie zapewnić odpowiednią wiedzę osobom chroniącym systemy (gdzie szukać miejsca w którym zdefiniowane jest odpalenie backdoora po każdym restarcie…
Czytaj dalej »
Z jednej strony podatność może nie jest warta dużej uwagi (załatana miesiąc temu, występuje w komponencie NFS Network File System, którego nie wszyscy używają), z drugiej strony warto mieć z tyłu głowy luki, które bez uwierzytelnienia dają dostęp na SYSTEM na atakowanym celu. Dodatkowo, na blogu ZDI pojawił się dość…
Czytaj dalej »
Materiałów o bezpieczeństwie Windows – czy w szczególności Active Directory mamy tyle co węgla w polskich składach węglowych ;-) Warto więc zapewne zapoznać się z tym rozbudowanym poradnikiem. Mamy tutaj: Wstęp co to w ogóle jest AD / w tym podstawowe definicje Przydatne narzędzia, w tym przykłady ich użyć: Modele…
Czytaj dalej »
Możliwość wykonania zrzutu danych uwierzytelniających systemu Windows przez grupy APT (ang. Advanced Persistent Threat) i innych threat actors jest poważnym zagrożeniem szczególnie dla przedsiębiorstw i innych organizacji. Baza wiedzy MITRE ATT&CK, która jest tworzona głównie dla wspierania obrony przed zagrożeniami w cyberprzestrzeni zawiera opisy technik i taktyk pochodzących z obserwacji…
Czytaj dalej »
Duży skonfigurowany LAB (virtualki z Windowsem) umożliwiający naukę bezpieczeństwa AD we własnym tempie: GOAD is a pentest active directory LAB project. The purpose of this lab is to give pentesters a vulnerable Active directory environement ready to use to practice usual attack techniques. Do tego kilka startowych ~writeupów jak poruszać…
Czytaj dalej »
Ciekawy opis podatności w ManageEngine ADAudit Plus (służącym do monitorowania zmian w Active Directory) możecie znaleźć tutaj. Mając dostęp do kodów źródłowych aplikacji badacze najpierw poszukali URLi, które nie wymagają uwierzytelnienia. Jednym z ciekawszych okazał się być: /cewolf/ w którym udało się namierzyć RCE poprzez deserializację obiektów. Przy okazji mamy…
Czytaj dalej »
Na koniec maja zauważono ciekawy plik Microsoft Worda zuploadowany z Białorusi: Wykonywał kod atakującego zaledwie po otwarciu dokumentu (i to nawet jeśli całkiem wyłączone były makra w Wordzie). Później okazało się, że podatność była wykorzystywana jeszcze w kwietniu i nawet zgłoszona do Microsoftu, który stwierdził…eeee to nie problem bezpieczeństwa (!)….
Czytaj dalej »
Zapraszamy Was na dwa dni szkolenia (tzn. fascynującej, obfitującej w pokazy na żywo przygody :) z bezpieczeństwem Windows. Bezpieczeństwo Windows. Elementarz każdego administratora – to dwudniowe szkolenie w formie pokazów na żywo prowadzone przez Grzegorza Tworka, dwunastokrotnie nagradzanego przez Microsoft tytułem Most Valuable Professional (MVP) oraz prelegenta Blackhat. Szkolenie jest…
Czytaj dalej »
