SecuriXy.kz
9.36K subscribers
483 photos
22 videos
18 files
393 links
Все самое интересное из мира информ. безопасности и IT 👍🏻
Обсуждаем, делимся, умнеем
https://securixy.kz

Обратная связь - @feedback_securixy_bot

Хахатушки - @memekatz
Hack the Box RUS - @HTB_RUS
Download Telegram
⚠️windows alert CVE-2023-35367
--
Severity : Critical 9.8
--
Description :
Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
--
Impact: Remote Code Execution
--
Mitigations
This vulnerability is only exploitable on Windows Servers that have installed and configured the Routing and Remote Access Service (RRAS) role which is not installed and configured by default.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35367
Порой поражают достижения AI
Скоро музыку и фильмы будут генерироваться под вкус каждого. Frank Sinatra спел легендарную песню «Gangsta Paradise»
https://www.linkedin.com/posts/eric-vyacheslav-156273169_ai-generated-music-is-getting-wild-this-activity-7085324684581355520-moBV

Как говорится, кожаные - готовьтесь…
В таких случаях я всегда надеюсь что это Fake News!

Как бы то ни было, Кевин Митник был выдающимся человеком в мире хакинга. Человек, всегда идущий не в ногу со временем и сделавший себе имя в социальной инженерии.

RIP Kevin Mitnick 🙏🏻 God bless your soul!

https://www.dignitymemorial.com/obituaries/las-vegas-nv/kevin-mitnick-11371668
Конец Интернета в том виде, в котором мы его знаем?…

В Twitter (https://twitter.com/nearcyan/status/1684242509847822336) и в сообществе программистов (https://github.com/RupertBenWiser/Web-Environment-Integrity/issues) разразился нешуточный скандал, когда Google под видом «тестирования» начал внедрять в браузеры систему Web Integrity. WEI - это серьезный инструмент слежки, которые позволяет Google запрещать вам доступ к сайту, если у вас, например, установлен блокировщик рекламы.

В теории, Google может запретить вам доступ к любому сайту по любой из причин — используете «неправильный» браузер, пиратский софт или просто прокручивать вам непропускаемую рекламу перед открытием любого из сайтов.

Учитывая что хромиум это 80-90% существующих браузеров - это не реклама лисы и сафари, это полный контроль интернета…
Век живи, век учись

Если коротко, у меня основная ось последние годы это MacOS и не простой, а ARM (M1-2) и часто сталкиваюсь с проблемами в компиляции чистого кода с гитхаба или собственных кусков на шарпах или плюсах. Всегда собрать подручно dll или бинарь это целая боль даже используя Visual Studio на Windows 11.

Но буквально на днях, мой товарищ подсказал мне метод сборки средствами самого Github. Делается это просто, создаете пустой проект, даже приватный, дальше Actions -> New Workflow -> yml файлик (содержимое укажу ниже постом) и затем раните его….
Он билдит и на выходе выплевывает Вам собранный бинарь за считанные секунды.

Так что, если у Вас возникают подобные проблемы с невозможностью сборки на Ваших устройствах или находитесь вдали от студии, пользуйтесь. Только помните, всегда читайте исходники кода перед компиляцией. Всем хороших выходных…
обещанный yml образец:

name: SharpImpersonation
on:
push:
branches:
- main
pull_request:
branches:
- main

jobs:
build:
runs-on: windows-2019
steps:
- name: Checkout code
uses: actions/checkout@v2
with:
repository: S3cur3Th1sSh1t/SharpImpersonation
- name: Setup NuGet.exe for use with actions
uses: NuGet/setup-nuget@v1.2.0
- name: setup-msbuild
uses: microsoft/setup-msbuild@v1

- name: Restore NuGet Packages
run: nuget restore SharpImpersonation.sln

- name: Build solution
run: msbuild SharpImpersonation.sln -t:rebuild -property:Configuration=Release
- name: Upload a Build Artifact
uses: actions/upload-artifact@v3.1.2
with:
name: SharpImpersonation
path: ${{github.workspace}}\SharpImpersonation\bin\Release\SharpImpersonation.exe


Просто правите пути и названия исходников до своих или на любимые форки и получаете готовые бинари…
Для тех, кто не спешит обновить WinRAR, уже идет атака фишингом на компании СНГ.
Нет подтверждения, что используют именно последний CVE, но используется rar архив.
🚨 Urgent Security Update: Critical Flaw in GitLab Pipeline 🚨

(CVE-2023-4998) impacting versions 13.12 through 16.2.7 and 16.3 through 16.3.4 of GitLab Community Edition (CE) and Enterprise Edition (EE). The flaw allows attackers to impersonate users, potentially resulting in unauthorized access to sensitive data and code execution.

This flaw was initially rated as medium-severity (CVE-2023-3932) but was escalated to critical due to its potential impact.

The affected versions have been patched in GitLab Community Edition and Enterprise Edition 16.3.4 and 16.2.7. If you are using an earlier version, consider the provided mitigation steps outlined in the bulletin.

https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/

#GitLab #CVE-2023-4998
🚫 Today marks the End of Life (EOL) for Windows Server 2012 R2.
Для автоматизации загрузки скомпиленных бинарей, к примеру из репозитория #SharpCollection можете добавить альяс в свой .zshrc и использовать его подручно. Удобно, быстро и хорошо...

SharpCollection() {curl -sSL 'https://api.github.com/repos/Flangvik/SharpCollection/git/trees/master?recursive=1' | jq -r '.tree[] | select(.path | endswith(".exe")) | .path | split("/") | "\(.[0]) - \(.[1])"' | fzf -m --reverse --height=50% --preview-window=down:5% -d" - " --preview 'echo "curl -sSL https://github.com/Flangvik/SharpCollection/raw/master/"{1}"/"{2}" -o "{2}""' | awk -F' - ' '{print $1,$2}' | while read -r arch filename; do echo; wget https://github.com/Flangvik/SharpCollection/raw/master/$arch/$filename -O $filename; done}

Спасибо Паше за подсказку
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
⚛️ Nuclei AI — Browser Extension

Nuclei AI Browser Extension, built on top of cloud.projectdiscovery.io, simplifies the creation of vulnerability templates, by enabling users to extract vulnerability information from any webpages to quickly and efficiently create nuclei templates, saving valuable time and effort.

🚀 Features

Context Menu Option to Generate Template
HackerOne Report to Nuclei Template Generation
ExploitDB exploit to Nuclei Template Generation
BugCrowd / Intigriti / Synack support (Coming soon)

🔗 https://github.com/projectdiscovery/nuclei-ai-extension

#nuclei #template #generator #chrome #extension
Всем привет!

Мы пока не до конца привыкли к традиции отмечать 10 ноября как День работников цифровизации и информационных технологий, но уже второй год календарь напоминает о хорошем поводе вспомнить о роли той сферы, которую мы все выбрали и, людях, которые ее развивают. Само появление этого дня в Казахстане говорит о том, какую значимую роль играет IT-индустрия в нашей стране. Этот день — прекрасная возможность поблагодарить вас за ту важную работу, которую вы делаете каждый день.

С Праздником!
Часто кто-то из вас тестировал подобное?
А вот зря! Больше подробностей тут - https://starlabs.sg/advisories/23/23-32530/

Скуля через ssl cert 🤯
Media is too big
VIEW IN TELEGRAM
«ЭХО лОСЕЙ» снова выходит на связь со Standoff-12 и снова с эксклюзивом только для наших подписчиков!

На этот раз наведались к «плохишам» кибербитвы, команде красных и побеседовали со Станиславом, вице-капитаном команды CodeBy (кстати, четырехкратных победителей Standoff). Смотрите и слушайте первыми!