APSB24-05, APSB24-14: Multiple vulns in Adobe products, critical rating 🔥

Two vulnerabilities from the new Adobe security bulletin, the exploitation of which will allow an attacker to achieve arbitrary file system read, code execution, and security feature bypass.

شناسه‌های APSB24-05 و APSB24-14 به بولتن‌های امنیتی منتشر شده توسط Adobe برای رسیدگی به آسیب‌پذیری‌های محصولاتشان اشاره دارند.

شناسه APSB24-05 مربوط به Adobe Experience Manager (AEM) است. بولتن مورخ 12 مارس 2024، جزئیات بروز رسانی هایی را ارائه می دهد که آسیب پذیری های مهم و متوسط را در AEM برطرف می کند. این آسیب‌پذیری‌ها، در صورت سوء استفاده، می‌توانند منجر به اجرای کد دلخواه و دور زدن ویژگی امنیتی شوند. این بولتن بر اهمیت بروزرسانی به آخرین نسخه برای کاهش این خطرات تأکید می‌کند.

شناسه APSB24-14 مربوط به Adobe ColdFusion نسخه های 2023 و 2021 است. این بولتن که در همان تاریخ منتشر شد، به یک آسیب پذیری حیاتی می پردازد که به طور بالقوه به مهاجم اجازه می دهد فایل های دلخواه را در سیستم فایل سیستم بخواند. Adobe برای محافظت در برابر این آسیب‌پذیری، بروزرسانی به آخرین نسخه ColdFusion را توصیه می‌کند.

Search at Netlas.io:
👉🏻 Link: https://nt.ls/EEZn7
👉🏻 Dork: tag.name:"adobe_experience_manager" OR tag.name:"adobe_coldfusion"

Vendor's advisory: https://helpx.adobe.com/security/security-bulletin.html

تیم سورین

🚨FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks

یک آسیب‌پذیری با شدت بالا است که FortiOS و FortiProxy SSLVPN نسخه‌های 6.4.7 تا 6.4.14، 7.0.0 تا 7.0.14، 7.2.0 تا 7.2.8 و 7.4 را تحت تأثیر قرار می‌دهد. .

تأثیر: یک مهاجم احراز هویت شده به طور بالقوه می تواند از طریق دستکاری URL ها به نشانک های کاربر دیگر دسترسی داشته باشد.
فورتی نت وصله هایی را برای رفع این آسیب پذیری منتشر کرده است. در اینجا کاری است که می توانید انجام دهید:
یک. FortiOS را به نسخه 7.4.2 یا بالاتر، 7.2.7 یا بالاتر، 7.0.14 یا بالاتر، یا 6.4.15 یا بالاتر ارتقا دهید.
دو . FortiProxy را به نسخه 7.4.3 یا بالاتر، 7.2.9 یا بالاتر، یا 7.0.15 یا بالاتر ارتقا دهید.
* به عنوان یک راه حل موقت، می توانید حالت وب SSL VPN را غیرفعال کنید.*

🔗https://www.fortiguard.com/psirt/FG-IR-24-013
🔗https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23112

#CVE #vulenrability
تیم سورین

👩🏼‍💻some Resources for windows kernel programming:

🔗https://github.com/FULLSHADE/WindowsExploitationResources

- Windows system programming Security

- Windows kernel programming fundamentals

- Windows exploitation

- Live 🔻 Modern Windows kernel exploitation

Article important for windows kernel programming and exploitation.

🕵🏻‍♀️Windows Exploitation Links


https://github.com/r3p3r/nixawk-awesome-windows-exploitation

https://github.com/connormcgarr/Exploit-Development

https://github.com/connormcgarr/Kernel-Exploits

https://github.com/ElliotAlderson51/Exploit-Writeups

https://github.com/rhamaa/Binary-exploit-writeups#windows_stack_overflows

https://github.com/wtsxDev/Exploit-Development

https://www.corelan.be

https://malwareunicorn.org/#/workshops


Windows Stack Protection I: Assembly Code
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED301c_tkp/ED301c_tkp.htm

Windows Stack Protection II: Exploit Without ASLR
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED302c_tkp/ED302c_tkp.htm

Windows Stack Protection III: Limitations of ASLR
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED303c_tkp/ED303c_tkp.htm

Exploit Development
Ch 6: The Wild World of Windows
https://samsclass.info/127/lec/EDch6.pdf

SEH-Based Stack Overflow Exploit
https://samsclass.info/127/proj/ED319.htm

Exploiting Easy RM to MP3 Converter on Windows with ASLR
https://samsclass.info/127/proj/ED318.htm

Bypassing Browser Memory Protections
https://www.blackhat.com/presentations/bh-usa-08/Sotirov_Dowd/bh08-sotirov-dowd.pdf

The Basics of Exploit Development 1: Win32 Buffer Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development

The Basics of Exploit Development 2: SEH Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-2-seh-overflows

The Basics of Exploit Development 3: Egg Hunters
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-3-egg-hunters

The Basics of Exploit Development 4: Unicode Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-4-unicode-overfl

The Basics of Exploit Development 5: x86-64 Buffer Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-5-x86-64-buffer

🕵🏻‍♂️Resources for Exploit development:-

- roadmap for exploit development
- roadmap for exploit development 2

Resources....

https://github.com/0xZ0F/Z0FCourse_ReverseEngineering

https://crackmes.one

https://www.youtube.com/@pwncollege/videos

https://repo.zenk-security.com/Magazine%20E-book/Hacking-%20The%20Art%20of%20Exploitation%20(2nd%20ed.%202008)%20-%20Erickson.pdf

http://www.phrack.org/issues/49/14.html#article

https://github.com/justinsteven/dostackbufferoverflowgood

https://github.com/FabioBaroni/awesome-exploit-development

https://github.com/CyberSecurityUP/Awesome-Exploit-Development

https://github.com/RPISEC/MBE

https://github.com/hoppersroppers/nightmare

https://github.com/shellphish/how2heap

https://www.youtube.com/watch?v=tMN5N5oid2c

https://dayzerosec.com/blog/2021/02/02/getting-started.html

https://github.com/Tzaoh/pwning

#windows #kernel
تیم سورین

بدافزار Fileless نوعی نرم افزار مخرب است که بدون ایجاد یا استفاده از فایل ها بر روی هارد دیسک کامپیوتر کار می کند.
این بدافزار ، مستقیماً در حافظه رایانه اجرا می‌شود و از برنامه‌های قانونی برای انجام فعالیت‌های مخرب خود استفاده می‌کند. این امر شناسایی و جلوگیری از آن را به ویژه چالش برانگیز می کند زیرا هیچ فایلی برای اسکن برنامه های آنتی ویروس سنتی باقی نمی گذارد.

در اینجا نحوه عملکرد آن به طور معمول است:
یک . Infection: ممکن است کاربر فریب بخورد و روی پیوند مخرب یا پیوست ایمیل کلیک کند، که سپس بدافزار موجود در حافظه سیستم را اجرا می کند.

دو . Execution: بدافزار با ربودن فرآیندها یا برنامه های مورد اعتماد سیستم، مانند Windows PowerShell، برای اجرای دستورات مخرب عمل می کند.

سه . Persistence: بدافزار بدون فایل علیرغم اینکه مبتنی بر فایل نیست، می تواند با دستکاری کلیدهای رجیستری ویندوز یا سایر تنظیمات سیستم برای اطمینان از فعال شدن مجدد، باقی بماند.

بدافزار بدون فایل به دلیل ماهیت خود می‌تواند از بسیاری از روش‌های شناسایی که بر اسکن فایل‌ها متکی هستند دور بزند و آن را به ابزاری مخفی و مؤثر برای مهاجمان سایبری تبدیل کند. برای مبارزه با این، راه‌حل‌های امنیتی مدرن ممکن است رفتار سیستم را بررسی کنند، ترافیک شبکه را تجزیه و تحلیل کنند و برای شناسایی و کاهش چنین تهدیداتی، وجود ناهنجاری‌ها در فرآیندهای قابل اعتماد را بررسی کنند.

#filess
تیم سورین

PersistenceSniper is a Powershell module that can be used by Blue Teams, Incident Responders and System Administrators to hunt persistences implanted in Windows machines.

🔗https://github.com/last-byte/PersistenceSniper

#tools #sniper
تیم سورین

👾PE-bear
PE-bear is a multiplatform reversing tool for PE files. Its objective is to deliver fast and flexible “first view” for malware analysts, stable and capable to handle malformed PE files.

🔗https://github.com/hasherezade/pe-bear

#malware
تیم سورین

👩🏼‍💻🕵🏻‍♀️Windows Securiy Internal With PowerSell

#windows #powershell
تیم سورین

📚Linux Privilege Escalation

#linux
تیم سورین

در زمینه DFIR با فایل های مشکوک زیادی مواجه می شویم که نیاز به تجزیه و تحلیل دارند و عمدتاً آنالیز استاتیک و پویا را برای آنها انجام می دهیم. بسیاری از مردم هنوز این ابزار مجانی و رایگان آنالیز استاتیک را که می خواهم در مورد آن صحبت کنم، نمی دانند، 𝐅𝐢𝐥𝐞𝐀𝐥𝐲𝐳𝐞𝐫.

اگر می خواهید در مورد زندگی درونی فایل ها بیشتر بدانید، FileAlyzer ابزاری است که می توانید در تحقیقات بعدی خود در نظر بگیرید!

✨𝐅𝐢𝐥𝐞𝐀𝐥𝐲𝐳𝐞𝐫 𝐅𝐞𝐚𝐭𝐮𝐫𝐞𝐬:✨

⭕️ 𝐀𝐥𝐭𝐞𝐫𝐧𝐚𝐭𝐞 𝐃𝐚𝐭𝐚 𝐒𝐭𝐫𝐞𝐚𝐦𝐬 (𝐀𝐃𝐒):
FileAlyzer makes the additional information in these streams visible through a list of streams associated with the current file, and a basic hex viewer.

⭕️ 𝐀𝐧𝐝𝐫𝐨𝐢𝐝 𝐀𝐩𝐩𝐬:
Android apps are actually zip archives that include the app code and many resources and configuration files. FileAlyzer will display a few app properties, for example the list of permissions.

⭕️ 𝐀𝐧𝐨𝐦𝐚𝐥𝐢𝐞𝐬:
While loading information on the various views of FileAlyzer, it looks for details that are uncommon or wrong. These details may hint at malware behavior.
Each anomaly is described with an ID, a short noscript, and a denoscription that explains why this detail is unusual, and what it might be used for.

⭕️ 𝐀𝐫𝐜𝐡𝐢𝐯𝐞𝐬:
FileAlyzer displays contents of many common archive types, including .cab, .zip, .chm, NSIS installers, rar, .tar, etc.

⭕️ 𝐀𝐮𝐭𝐡𝐞𝐧𝐭𝐢𝐜𝐨𝐝𝐞 𝐒𝐢𝐠𝐧𝐚𝐭𝐮𝐫𝐞𝐬:
Signatures allow the user to verify where the program he's using is coming from, to avoid running a malware-infected version.
FileAlyzer displays all details about the signature it finds in a file.

⭕️ 𝐃𝐚𝐭𝐚𝐛𝐚𝐬𝐞𝐬:
FileAlyzer can display the content of some standard database formats like dBase, SQLite3, Ini, Mozilla Preferences, Mozilla or format, or QIF.

⭕️ 𝐏𝐄 & 𝐄𝐋𝐅 𝐚𝐧𝐚𝐥𝐲𝐬𝐢𝐬:
Static Analysis for PE (Disassmber, imports, exports and header) and ELF (header and sections) files formats.

⭕️ 𝐇𝐞𝐱 𝐕𝐢𝐞𝐰𝐞𝐫:
FileAlyzer includes a hexadecimal viewer that displays file content byte for byte

⭕️ 𝐄𝐗𝐈𝐅:
For photos and other graphic files, FileAlyzer will display EXIF information embedded into the file.

⭕️ 𝐏𝐄𝐢𝐃:
PEiD tries to identify packers, cryptors and compilers and determines the files entropy, and FileAlyzer supports the PEiD plugin to display this information.

⭕️ 𝐔𝐏𝐗 𝐃𝐞𝐭𝐚𝐢𝐥𝐬:
Executable files compressed with UPX will be shown with compression details.

⭕️ 𝐕𝐢𝐫𝐮𝐬𝐓𝐨𝐭𝐚𝐥 𝐋𝐨𝐨𝐤𝐮𝐩:
FileAlyzer will be able to display results of dozens on anti-virus engines about the file you currently analyze, either from previous analysis, or by submitting your actual sample (if you want😉).



📌 https://www.safer-networking.org/products/filealyzer/

#DFIR
تیم سورین

Windows Forensic Analysis
287 page
Harlan Carvey

#windows
تیم سورین

📚intelligence driven incident Response 2nd edition

#IR
تیم سورین