O podatności CVE-2021-40444 na usługi Microsoft i programach ją wykorzystujących mogliśmy przeczytać na sekuraku w marcu. Wydaje się, że grupy cyberprzestępcze, które wcześniej wykorzystywały takie loadery jak BazaLoader i IcedID w ramach swoich kampanii dotyczących złośliwego oprogramowania, zaadoptowały nowy loader o nazwie BumbleBee. Wygląda na to, że moduł ładujący jest…
Czytaj dalej »
![Rekonesans środowiska Active Directory za pomocą BloodHound [bezpieczeństwo Windows]](https://sekurak.pl/wp-content/uploads/2022/08/bh1-150x150.png "Rekonesans środowiska Active Directory za pomocą BloodHound [bezpieczeństwo Windows]")
W tym artykule przyjrzymy się bliżej narzędziu BloodHound — Six Degrees of Domain Admin. Aplikacja została stworzona w języku JavaScript i zbudowano ją za pomocą platformy Electron. Graficzna wizualizacja korzysta z bazy danych Neo4j. Podczas eksperymentu będziemy korzystać ze stacji roboczej z Windows oraz stacji Windows Server (obie stacje jako…
Czytaj dalej »
Biblioteka z bazą tego typu pomysłów jest tutaj. Na początku są naprawdę proste przykłady – również z wyszczególnieniem jakie uprawnienia są wymagane do zapewnienia tzw. persystencji: Całość w założeniach ma za zadanie zapewnić odpowiednią wiedzę osobom chroniącym systemy (gdzie szukać miejsca w którym zdefiniowane jest odpalenie backdoora po każdym restarcie…
Czytaj dalej »
Z jednej strony podatność może nie jest warta dużej uwagi (załatana miesiąc temu, występuje w komponencie NFS Network File System, którego nie wszyscy używają), z drugiej strony warto mieć z tyłu głowy luki, które bez uwierzytelnienia dają dostęp na SYSTEM na atakowanym celu. Dodatkowo, na blogu ZDI pojawił się dość…
Czytaj dalej »
Materiałów o bezpieczeństwie Windows – czy w szczególności Active Directory mamy tyle co węgla w polskich składach węglowych ;-) Warto więc zapewne zapoznać się z tym rozbudowanym poradnikiem. Mamy tutaj: Wstęp co to w ogóle jest AD / w tym podstawowe definicje Przydatne narzędzia, w tym przykłady ich użyć: Modele…
Czytaj dalej »
Możliwość wykonania zrzutu danych uwierzytelniających systemu Windows przez grupy APT (ang. Advanced Persistent Threat) i innych threat actors jest poważnym zagrożeniem szczególnie dla przedsiębiorstw i innych organizacji. Baza wiedzy MITRE ATT&CK, która jest tworzona głównie dla wspierania obrony przed zagrożeniami w cyberprzestrzeni zawiera opisy technik i taktyk pochodzących z obserwacji…
Czytaj dalej »
Duży skonfigurowany LAB (virtualki z Windowsem) umożliwiający naukę bezpieczeństwa AD we własnym tempie: GOAD is a pentest active directory LAB project. The purpose of this lab is to give pentesters a vulnerable Active directory environement ready to use to practice usual attack techniques. Do tego kilka startowych ~writeupów jak poruszać…
Czytaj dalej »
Ciekawy opis podatności w ManageEngine ADAudit Plus (służącym do monitorowania zmian w Active Directory) możecie znaleźć tutaj. Mając dostęp do kodów źródłowych aplikacji badacze najpierw poszukali URLi, które nie wymagają uwierzytelnienia. Jednym z ciekawszych okazał się być: /cewolf/ w którym udało się namierzyć RCE poprzez deserializację obiektów. Przy okazji mamy…
Czytaj dalej »
Na koniec maja zauważono ciekawy plik Microsoft Worda zuploadowany z Białorusi: Wykonywał kod atakującego zaledwie po otwarciu dokumentu (i to nawet jeśli całkiem wyłączone były makra w Wordzie). Później okazało się, że podatność była wykorzystywana jeszcze w kwietniu i nawet zgłoszona do Microsoftu, który stwierdził…eeee to nie problem bezpieczeństwa (!)….
Czytaj dalej »
Zapraszamy Was na dwa dni szkolenia (tzn. fascynującej, obfitującej w pokazy na żywo przygody :) z bezpieczeństwem Windows. Bezpieczeństwo Windows. Elementarz każdego administratora – to dwudniowe szkolenie w formie pokazów na żywo prowadzone przez Grzegorza Tworka, dwunastokrotnie nagradzanego przez Microsoft tytułem Most Valuable Professional (MVP) oraz prelegenta Blackhat. Szkolenie jest…
Czytaj dalej »
Chodzi o CVE-2022-26809. Co my tu mamy? Błąd klasy RCE (Remote Code Execution, umożliwiający zdalne wykonanie kodu na atakowanym systemie): Remote Procedure Call Runtime Remote Code Execution Vulnerability To exploit this vulnerability, an attacker would need to send a specially crafted RPC call to an RPC host. This could result…
Czytaj dalej »
Podatność była exploitowana jeszcze przed załataniem, a obecnie Microsoft uzupełnił wpis o dodatkową adnotację „Exploited” (tj. trwa exploitacja). Jak widzicie powyżej, podatność jest wynikiem braku poprawnego łatania poprzedniej luki. Teraz dobre informacje: CVE-2022-21882 jest „tylko” podatnością klasy privilege escalation – czyli umożliwia zwiększenie uprawnień dowolnego zalogowanego użytkownika, do uprawnień admina….
Czytaj dalej »
Podatność ma bazowy score CVSS aż na poziomie 9.8/10. Z jednej strony podatne są Windows 10/11 oraz Windows Server 2019 / 2022, ale jeśli wczytamy się głębiej w opis od Microsoftu, zobaczymy taką adnotację: In Windows Server 2019 and Windows 10 version 1809, the the HTTP Trailer Support feature that…
Czytaj dalej »
Każdy zna linki zaczynające się od http:// – można również używać innych URL handlerów np.: ms-officecmd:sekurak.pl Jak zadziała ww. link, umieszczony w pasku URL przeglądarki? Nie zadziała ;) ponieważ musi mieć określony format. Badacze pokazali np. taki fragment (można by go użyć w pasku URL przelądarki, ale taka forma jak…
Czytaj dalej »
~Kilka dni temu Microsoft załatał podatność umożliwiającą lokalną eskalację uprawnień do administratora. Łatka jednak okazała się trochę dziurawa i nieco zdenerwowany ~badacz bezpieczeństwa opublikował PoCa (czy tak naprawdę działający exploit), umożliwiającego ponowne wykorzystanie podatności. Jest to raz jeszcze eskalacja uprawnień wymagająca posiadania uprawnień zwykłego użytkownika w Windows. Odpalamy PoCa i…
Czytaj dalej »
