#CVE-2024-22274: Privilege Escalation: #VMware #vCenter Server Authenticated #RCE
https://github.com/l0n3m4n/CVE-2024-22274-RCE
https://github.com/l0n3m4n/CVE-2024-22274-RCE
Apache Superset - CVE-2024-34693.pdf
2.2 MB
#CVE-2024-34693 Apache Superset Arbitrary File Read Vulnerability
Затронутые версии:
Apache Superset до версии 3.1.3; Apache Superset 4.0.0 до версии 4.0.1
Описание: Уязвимость Improper Input Validation в Apache Superset позволяет аутентифицированному злоумышленнику создать соединение MariaDB с включенным local_infile. Если и сервер MariaDB (по умолчанию выключен), и локальный клиент mysql на веб-сервере настроены на разрешение local infile, злоумышленник может выполнить определенную SQL-команду MySQL/MariaDB, способную читать файлы с сервера и вставлять их содержимое в таблицу базы данных MariaDB. Пользователям рекомендуется обновиться до версии 4.0.1 или 3.1.3, в которых проблема устранена.
Nuclei template: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/exposed-panels/superset-login.yaml
Затронутые версии:
Apache Superset до версии 3.1.3; Apache Superset 4.0.0 до версии 4.0.1
Описание: Уязвимость Improper Input Validation в Apache Superset позволяет аутентифицированному злоумышленнику создать соединение MariaDB с включенным local_infile. Если и сервер MariaDB (по умолчанию выключен), и локальный клиент mysql на веб-сервере настроены на разрешение local infile, злоумышленник может выполнить определенную SQL-команду MySQL/MariaDB, способную читать файлы с сервера и вставлять их содержимое в таблицу базы данных MariaDB. Пользователям рекомендуется обновиться до версии 4.0.1 или 3.1.3, в которых проблема устранена.
Nuclei template: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/exposed-panels/superset-login.yaml
Исследователи Fortinet FortiGuard Labs https://www.fortinet.com/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed кампанию, нацеленную на Испанию, Таиланд и США с использованием уязвимости CVE-2024-21412 (оценка CVSS: 8,1).
Исправленная уязвимость безопасности в Microsoft Defender SmartScreen использовалась для распространения вредоносных программ таких как ACR Stealer, Lumma и Meduza.
Уязвимость высокой степени серьезности позволяет злоумышленнику обойти защиту SmartScreen и доставить вредоносные вредоносные нагрузки. Microsoft устранила ее еще в феврале 2024 года.
В ходе наблюдаемых атак злоумышленники заманивают жертву, заставляя ее пройти по созданной ссылке на URL-файл, предназначенный для загрузки LNK-файла. Затем LNK-файл загружает исполняемый файл, содержащий скрипт (HTML-приложения). Файл HTA служит каналом для декодирования и расшифровки кода PowerShell, отвечающего за извлечение поддельного PDF-файла и инжектора шелл-кода.
Он, в свою очередь, приводит к развертыванию Meduza Stealer или Hijack Loader, которые впоследствии запускают CR Stealer или Lumma.
Полезные forensics artifacts для #CVE_2024_21412 : .url файлы в WebDAV папке для детекта:
Исправленная уязвимость безопасности в Microsoft Defender SmartScreen использовалась для распространения вредоносных программ таких как ACR Stealer, Lumma и Meduza.
Уязвимость высокой степени серьезности позволяет злоумышленнику обойти защиту SmartScreen и доставить вредоносные вредоносные нагрузки. Microsoft устранила ее еще в феврале 2024 года.
В ходе наблюдаемых атак злоумышленники заманивают жертву, заставляя ее пройти по созданной ссылке на URL-файл, предназначенный для загрузки LNK-файла. Затем LNK-файл загружает исполняемый файл, содержащий скрипт (HTML-приложения). Файл HTA служит каналом для декодирования и расшифровки кода PowerShell, отвечающего за извлечение поддельного PDF-файла и инжектора шелл-кода.
Он, в свою очередь, приводит к развертыванию Meduza Stealer или Hijack Loader, которые впоследствии запускают CR Stealer или Lumma.
Полезные forensics artifacts для #CVE_2024_21412 : .url файлы в WebDAV папке для детекта:
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\*.url
Forwarded from Волосатый бублик
[ Specula - Turning Outlook Into a C2 With One Registry Change ]
There exist a few singular Registry changes that any non-privileged user can make that transform the Outlook email client into a beaconing C2 agent. Given that outlook.exe is a trusted process, this allows an attacker persistent access to a network that we have found often goes unnoticed. This technique has been reported on before and despite that continues to be a weak point in many otherwise very well-guarded networks.
Blog (with detection and prevention guides): https://trustedsec.com/blog/specula-turning-outlook-into-a-c2-with-one-registry-change
Tool: https://github.com/trustedsec/specula
Wiki: https://github.com/trustedsec/specula/wiki
Written by Christopher Paschen and Oddvar Moe
As always great work by TrustedSec team! Webinar recording should be published soon and this post will be updated.
There exist a few singular Registry changes that any non-privileged user can make that transform the Outlook email client into a beaconing C2 agent. Given that outlook.exe is a trusted process, this allows an attacker persistent access to a network that we have found often goes unnoticed. This technique has been reported on before and despite that continues to be a weak point in many otherwise very well-guarded networks.
Blog (with detection and prevention guides): https://trustedsec.com/blog/specula-turning-outlook-into-a-c2-with-one-registry-change
Tool: https://github.com/trustedsec/specula
Wiki: https://github.com/trustedsec/specula/wiki
Written by Christopher Paschen and Oddvar Moe
As always great work by TrustedSec team! Webinar recording should be published soon and this post will be updated.
Forwarded from Хакерспейс "Чёрный Лёд"
Уже в эту пятницу, в 17:00, пройдет 2600 Almaty.
В честь понедельника объявлем четвертого спикера: Жасулан Жусупов a.k.a. cocomelonc, автор нескольких книг про Malware, в том числе Malware Development for Ethical Hackers by Packt (2024). Спикер на BlackHat, Security BSides (Zagreb, Sofia, Prishtina), Arab Security Conference, Hack.lu, Standoff.
Он представит доклад Database leaks: from hospital patients personal to bank card numbers, from Shodan to Dark Web markets.
Жасулан расскажет о том, как злоумышленики воруют плохо защищенные персональные данные, а затем продают украденное на Darknet-площадках. Будут и технические подробности: так, доклдачик представит простой скрипт, который автоматизировал получение персональных данных, и поделится результатами его использования (спойлер:все плохо ).
Ждем всех 2 августа, в 17:00 в Hoper’s Bar на Гагарина. Вход свободный, без регистрации.
В честь понедельника объявлем четвертого спикера: Жасулан Жусупов a.k.a. cocomelonc, автор нескольких книг про Malware, в том числе Malware Development for Ethical Hackers by Packt (2024). Спикер на BlackHat, Security BSides (Zagreb, Sofia, Prishtina), Arab Security Conference, Hack.lu, Standoff.
Он представит доклад Database leaks: from hospital patients personal to bank card numbers, from Shodan to Dark Web markets.
Жасулан расскажет о том, как злоумышленики воруют плохо защищенные персональные данные, а затем продают украденное на Darknet-площадках. Будут и технические подробности: так, доклдачик представит простой скрипт, который автоматизировал получение персональных данных, и поделится результатами его использования (спойлер:
Ждем всех 2 августа, в 17:00 в Hoper’s Bar на Гагарина. Вход свободный, без регистрации.
Forwarded from Похек (Сергей Зыбнев)
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Удобнейшая тула по автохарденингу "Harden Windows Security" с проверкой Microsoft Security Baselines. Ранее руками нужно было все делать, сейчас в клик.
Используя GUI:
Используя PowerShell Gallery:
Источник:
https://github.com/HotCakeX/Harden-Windows-Security?tab=readme-ov-file
Используя GUI:
(irm 'https://raw.githubusercontent.com/HotCakeX/Harden-Windows-Security/main/Harden-Windows-Security.ps1')+'P'|iex
Используя PowerShell Gallery:
Install-Module -Name 'Harden-Windows-Security-Module' -Force
Protect-WindowsSecurity
Confirm-SystemCompliance
Unprotect-WindowsSecurity
Источник:
https://github.com/HotCakeX/Harden-Windows-Security?tab=readme-ov-file
Новый фишинг #phishing на граждан Казахстана.
IOC:
Family: https://tria.ge/s/family:strrat C2 (Trojan stealer)
IOC:
aisoipkz.online
https://aisoipkz.online/c93404437a10848c/cpsess1068036485/KtbxLrjdwlfDpRWdJMfLVhZSzsFsMnMMKL/debtors/documents-check/programma-proverki-zadoljennosti/java-prilozhenie/NCALayer-1.2.2-ADILETGOV.jar
Penalty_Year_212.pdf -SHA256: 13e60dc4df904d92f81a58811a003903fced5a65846542877ee9791e62951cfa
NCALayer-1.2.2-ADILETGOV.jar - SHA256: 8deb8ee811cbb3c186183950491c5c38da704b304057cdeaaf81b91e4f6e8a7e
NCALayerServer.jar - SHA256: d1b67ec03fa5c71df2f2f90263bd69a9626cba5922c9acfb7ca2af73c8db614c
"C:\Program Files\Java\jre1.8.0_271\bin\javaw.exe" -jar C:\Users\admin\AppData\Local\Temp\NCALayerServer.jar
C:\WINDOWS\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
C:\Windows\SYSTEM32\cmd.exe
cmd /c schtasks /create /sc minute /mo 30 /tn Skype /tr "C:\Users\Admin\AppData\Roaming\NCALayerServer.jar"
Family: https://tria.ge/s/family:strrat C2 (Trojan stealer)
Еще один форк на картофельный привеск GodPotato на Windows #DeadPotato
Утилита пытается запустить процесс с повышенными правами, работающий в контексте пользователя NT AUTHORITY\SYSTEM, используя дефект RPCSS в DCOM при работе с OXID, что позволяет получить неограниченный доступ к машине для свободного выполнения критических операций.
https://github.com/lypd0/DeadPotato
#windows #lpe #potato #seimpersonate #GodPotato #pentest
Утилита пытается запустить процесс с повышенными правами, работающий в контексте пользователя NT AUTHORITY\SYSTEM, используя дефект RPCSS в DCOM при работе с OXID, что позволяет получить неограниченный доступ к машине для свободного выполнения критических операций.
https://github.com/lypd0/DeadPotato
#windows #lpe #potato #seimpersonate #GodPotato #pentest