Forwarded from Peneter Tools
PoC Released for SharePoint Pre-Auth RCE Chain (CVE-2023-29357 & CVE-2023-24955)
https://gist.github.com/testanull/dac6029d306147e6cc8dce9424d09868
https://securityonline.info/poc-released-for-sharepoint-pre-auth-rce-chain-cve-2023-29357-cve-2023-24955/
https://gist.github.com/testanull/dac6029d306147e6cc8dce9424d09868
https://securityonline.info/poc-released-for-sharepoint-pre-auth-rce-chain-cve-2023-29357-cve-2023-24955/
Gist
SharePoint Pre-Auth Code Injection RCE chain CVE-2023-29357 & CVE-2023-24955 PoC
SharePoint Pre-Auth Code Injection RCE chain CVE-2023-29357 & CVE-2023-24955 PoC - SharePwn_public.py
zero-click outlook rce
https://thehackernews.com/2023/12/beware-experts-reveal-new-details-on.html?m=1
https://thehackernews.com/2023/12/beware-experts-reveal-new-details-on.html?m=1
وقتی دنبال گپ امنیتی باشیم
تکنیک چی هست؟
چطوری شبیه سازی کنم با روش و ابزارها؟
technique + procedures
لاگ دارم و کار میکنه؟
SIEM and EDR Telemetry
مثلا:
تکنیک schedule task
https://attack.mitre.org/techniques/T1053/005/
از دید تیم قرمز :
https://www.ired.team/offensive-security/persistence/t1053-schtask
از دید تیم بنفش:
https://ipurple.team/2024/01/03/scheduled-task-tampering/
از دید تیم آبی:
https://www.elastic.co/guide/en/security/7.17/prebuilt-rule-0-14-2-suspicious-execution-via-scheduled-task.html
https://research.splunk.com/stories/scheduled_tasks/
خلاصه مراحل:
1. چک کردن SIEM باید لاگ همه تجهیزات بیاد تو پنلم نقطه بدون لاگ نداشته باشم
2. چک کردن یا شبیه سازی TTP برای بررسی رولهای SIEM
3.چک کردن EDR telemetry اجرای پراسس، تغییرات فایل، شبکه و ...
4.بررسی کانفیگها و رفع مشکل سمت firewall,EDR,XDR,SIEMو ...
تکنیک چی هست؟
چطوری شبیه سازی کنم با روش و ابزارها؟
technique + procedures
لاگ دارم و کار میکنه؟
SIEM and EDR Telemetry
مثلا:
تکنیک schedule task
https://attack.mitre.org/techniques/T1053/005/
از دید تیم قرمز :
https://www.ired.team/offensive-security/persistence/t1053-schtask
از دید تیم بنفش:
https://ipurple.team/2024/01/03/scheduled-task-tampering/
از دید تیم آبی:
https://www.elastic.co/guide/en/security/7.17/prebuilt-rule-0-14-2-suspicious-execution-via-scheduled-task.html
https://research.splunk.com/stories/scheduled_tasks/
خلاصه مراحل:
1. چک کردن SIEM باید لاگ همه تجهیزات بیاد تو پنلم نقطه بدون لاگ نداشته باشم
2. چک کردن یا شبیه سازی TTP برای بررسی رولهای SIEM
3.چک کردن EDR telemetry اجرای پراسس، تغییرات فایل، شبکه و ...
4.بررسی کانفیگها و رفع مشکل سمت firewall,EDR,XDR,SIEMو ...
www.ired.team
Schtask | Red Team Notes
Code execution, privilege escalation, lateral movement and persitence.
خانم کیم زتر :
درباره خبر هلندیها امروز در مورد استاکسنت منتشر کردند، اینجا خبر اصلی سال ۲۰۱۹ که من با روزنامهنگار هلندی نوشتم راهنمایی میکنم که یک مامور هلندی استاکسنت را به تاسیسات در ایران معرفی کرده است. آن زمان ما هویت مامور را نمیدانستیم.
https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html?guccounter=1&guce_referrer=aHR0cHM6Ly90LmNvLw&guce_referrer_sig=AQAAAHsT8ARqlyra6mZk8pBxHtLzjNV3VmhgrBBxgA6jWF8h5m6n9DklIykIENvP0GySBuEhnTFKAyykhu5DctXyBlKzbAU4Gf8JPFFCQHmiPP4iRVktiRgnNTiWJQKjiTDEXEwOUsnAFfqG1Hovgz6juXrSbcWGH3kwuuQ6tUDGkprI
https://twitter.com/KimZetter/status/1744408361838530651?t=rB9zQiObslZVb0vQ01JtmQ&s=19
درباره خبر هلندیها امروز در مورد استاکسنت منتشر کردند، اینجا خبر اصلی سال ۲۰۱۹ که من با روزنامهنگار هلندی نوشتم راهنمایی میکنم که یک مامور هلندی استاکسنت را به تاسیسات در ایران معرفی کرده است. آن زمان ما هویت مامور را نمیدانستیم.
https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html?guccounter=1&guce_referrer=aHR0cHM6Ly90LmNvLw&guce_referrer_sig=AQAAAHsT8ARqlyra6mZk8pBxHtLzjNV3VmhgrBBxgA6jWF8h5m6n9DklIykIENvP0GySBuEhnTFKAyykhu5DctXyBlKzbAU4Gf8JPFFCQHmiPP4iRVktiRgnNTiWJQKjiTDEXEwOUsnAFfqG1Hovgz6juXrSbcWGH3kwuuQ6tUDGkprI
https://twitter.com/KimZetter/status/1744408361838530651?t=rB9zQiObslZVb0vQ01JtmQ&s=19
Yahoo News
Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran
For years, an enduring mystery has surrounded the Stuxnet virus attack that targeted Iran’s nuclear program: How did the U.S. and Israel get their malware onto computer systems at the highly secured uranium-enrichment plant?
ردتیم وظیفه اش مشخص شبیه سازی حمله بر اساس پلتفورمها و APT گروههای منطبق
https://mitre-attack.github.io/attack-navigator/
اصل شبیه سازی تاکتیک تکنیک ها و انواع procedure های مرتبط به تکنیک هاست اگر ناقص انجام بشه نتیجه کار ناقصه یعنی هنوز گپ وجود داره
https://mitre-attack.github.io/attack-navigator/
اصل شبیه سازی تاکتیک تکنیک ها و انواع procedure های مرتبط به تکنیک هاست اگر ناقص انجام بشه نتیجه کار ناقصه یعنی هنوز گپ وجود داره
گزارش زیرساخت APT گروهها در 2023
https://www.recordedfuture.com/2023-adversary-infrastructure-report
https://www.recordedfuture.com/2023-adversary-infrastructure-report
آرشیو سمپل APT ها
https://vx-underground.org/APTs/Yearly%20Archives
https://vx-underground.org/APTs/Yearly%20Archives
Windows Kerberos Security Feature Bypass Vulnerability
CVE-2024-20674
The authentication feature could be bypassed as this vulnerability allows impersonation.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674
https://nvd.nist.gov/vuln/detail/CVE-2024-20674
سیستم عامل های آسیب پذیر:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
CVE-2024-20674
The authentication feature could be bypassed as this vulnerability allows impersonation.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674
https://nvd.nist.gov/vuln/detail/CVE-2024-20674
سیستم عامل های آسیب پذیر:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems