Форму авторизации видишь? Нет. Вот и я не вижу. А она есть 🤔
В ходе недавнего расследования одного из инцидентов мы столкнулись с эксплуатацией злоумышленниками уязвимости в CMS Bitrix, связанной со множеством доступных эндпойнтов для аутентификации.
Несмотря на то, что данная уязвимость не является новой, ей все еще подвержено немалое количество веб-сайтов.
Многие администраторы закрывают доступ к странице /bitrix/admin, при этом не догадываясь, что есть еще ряд скриптов, использующих компонент prolog_admin_before.php, благодаря которому можно получить доступ к форме авторизации🤕
Среди них можно выделить:
Именно эндпойнт player_playlist_edit.php был использован злоумышленниками для аутентификации:
Вероятно, для доступа к системе использовались стандартные учетные данные, так как в логах веб-сервера мы увидели всего лишь несколько POST-запросов, предшествующих началу сессии.
👀 Эта уязвимость — наряду со многими другими — описана в отчете об уязвимостях Bitrix (п. 1.4.1).
Судя по всему, этим же отчетом пользовались и злоумышленники во время атаки: некоторые запросы, полностью совпадающие с приведенными в тексте отчета, были обнаружены нами при анализе логов. Например:
Помимо того, атакующие осуществляли запрос к каждому из приведенных выше эндпойнтов для аутентификации.
#dfir #detect #cve #web
@ptescalator
В ходе недавнего расследования одного из инцидентов мы столкнулись с эксплуатацией злоумышленниками уязвимости в CMS Bitrix, связанной со множеством доступных эндпойнтов для аутентификации.
Несмотря на то, что данная уязвимость не является новой, ей все еще подвержено немалое количество веб-сайтов.
Многие администраторы закрывают доступ к странице /bitrix/admin, при этом не догадываясь, что есть еще ряд скриптов, использующих компонент prolog_admin_before.php, благодаря которому можно получить доступ к форме авторизации
Среди них можно выделить:
— /bitrix/components/bitrix/desktop/admin_settings.php
— /bitrix/components/bitrix/map.yandex.search/settings/settings.php
— /bitrix/components/bitrix/player/player_playlist_edit.php
— /bitrix/tools/autosave.php
— /bitrix/tools/get_catalog_menu.php
— /bitrix/tools/upload.php
Именно эндпойнт player_playlist_edit.php был использован злоумышленниками для аутентификации:
POST /bitrix/components/bitrix/player/player_playlist_edit.php?login=yes
Вероятно, для доступа к системе использовались стандартные учетные данные, так как в логах веб-сервера мы увидели всего лишь несколько POST-запросов, предшествующих началу сессии.
👀 Эта уязвимость — наряду со многими другими — описана в отчете об уязвимостях Bitrix (п. 1.4.1).
Судя по всему, этим же отчетом пользовались и злоумышленники во время атаки: некоторые запросы, полностью совпадающие с приведенными в тексте отчета, были обнаружены нами при анализе логов. Например:
GET /ololo/?SEF_APPLICATION_CUR_PAGE_URL=/bitrix/admin/
Помимо того, атакующие осуществляли запрос к каждому из приведенных выше эндпойнтов для аутентификации.
#dfir #detect #cve #web
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Путешествие_Извилистых_Троп_манёвры_ExCobalt_в_атаках_на_российские.pdf
11.5 MB
Кстати, про Offzone 🙂
Обещали опубликовать в канале последнюю версию презентации с доклада про маневры ExCobalt — публикуем 🤝
В ней — про фишинг, эксплуатацию CVE-2023-38831 и CVE-2023-3519, а также другие векторы атак и инструменты группировки, обнаруженные специалистами PT ESC, о которых в докладе рассказали Владислав Лунин и Александр Бадаев.
Приятного изучения и happy hunting!
#ti #ir #hunt #detect #cve #malware #exCobalt #APT
@ptescalator
Обещали опубликовать в канале последнюю версию презентации с доклада про маневры ExCobalt — публикуем 🤝
В ней — про фишинг, эксплуатацию CVE-2023-38831 и CVE-2023-3519, а также другие векторы атак и инструменты группировки, обнаруженные специалистами PT ESC, о которых в докладе рассказали Владислав Лунин и Александр Бадаев.
Приятного изучения и happy hunting!
#ti #ir #hunt #detect #cve #malware #exCobalt #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Мы, ESC-VR, успешно воспроизвели эксплойт для CVE-2024-30085 😎
Уязвимость фигурировала на прошедшем в Pwn2Own 2024 в Ванкувере, где Team Theori использовала эксплойт для этой уязвимости в цепочке эксплойтов, осуществляющих Guest-To-Host-Escape из-под управления VMware Workstation, за что и получили свои заслуженные 13 очков в номинации Master Of Pwn.
Соревнования по типу pwn2own и matrixcup помогают подсветить реально эксплуатируемые уязвимости, эксплойты для которых, как правило, не разглашаются (в результате чего образуется состояние Known-Unkown, когда известно, что эксплойт есть, но как он работает неизвестно), и обратить на них особое внимание, ведь за подобными соревнованиями следим не только мы, но и злоумышленник, который может их воспроизвести и проэксплуатировать против незапатченной системы.
🧐
Наш эксплойт утилизирует WNF- и ALPC- подсистемы для получения примитивов на запись и чтение, конкретно структуры
💡 Немного деталей о том, как наш эксплойт работает:
1️⃣ Создает множества чанков, размером 4096 байт, через
2️⃣ Создает множества дыр в последовательности созданной на шаге 1, через
3️⃣ Триггерит уязвимость, таким образом bitmap размещается в одной из заранее подготовлены дыр. Размер bitmap задается равный 4096 + 16, чтобы перезаписать размер данных (
4️⃣ Перезаписывает через
5️⃣ Осуществляет через
6️⃣ Крадет Token у процесса System (Token Stealing).
Конечно же, мы не могли не протестировать наши собственные продукты. И они нас не разочаровали: например, PT Sandbox обнаруживает эксплуатацию данной уязвимости.
Вердикты:
#escvr #cve #news
@ptescalator
Уязвимость фигурировала на прошедшем в Pwn2Own 2024 в Ванкувере, где Team Theori использовала эксплойт для этой уязвимости в цепочке эксплойтов, осуществляющих Guest-To-Host-Escape из-под управления VMware Workstation, за что и получили свои заслуженные 13 очков в номинации Master Of Pwn.
Соревнования по типу pwn2own и matrixcup помогают подсветить реально эксплуатируемые уязвимости, эксплойты для которых, как правило, не разглашаются (в результате чего образуется состояние Known-Unkown, когда известно, что эксплойт есть, но как он работает неизвестно), и обратить на них особое внимание, ведь за подобными соревнованиями следим не только мы, но и злоумышленник, который может их воспроизвести и проэксплуатировать против незапатченной системы.
🧐
Cldflt.sys — это драйвер мини-фильтр, отвечающий за синхронизацию между пользовательской файловой системой и облаком OneDrive. В драйвере существовала ошибка CWE-122, возникающая в результате некорректной проверки размера bitmap, содержимое которого получается из Reparse Point. При этом память, аллоцируемая под bitmap, имеет фиксированный размер 4096 байт, но при этом не проверяется размер актуальных данных, которые будут скопированы в аллоцированную память. Наш эксплойт утилизирует WNF- и ALPC- подсистемы для получения примитивов на запись и чтение, конкретно структуры
_WNF_STATE_DATA и _ALPC_HANDLE_ENTRY.NtCreateWnfStateName и NtAlpcCreateResourceReserve. Таким образом последовательно в памяти размещается _WNF_STATE_DATA и _ALPC_HANDLE_ENTRY.NtDeleteWnfStateData._WNF_STATE_DATA.DataSize), на которые указывает _WNF_STATE_DATA.Data.NtUpdateWnfStateData указатели в _ALPC_HANDLE_ENTRY.NtAlpcSendWaitReceivePort запись и чтение по произвольному адресу.Конечно же, мы не могли не протестировать наши собственные продукты. И они нас не разочаровали: например, PT Sandbox обнаруживает эксплуатацию данной уязвимости.
Вердикты:
Exploit.Win32.Generic.d,
Exploit.Win32.Generic.a,
Rootkit.Win32.Generic.a
#escvr #cve #news
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Уязвимость находилась в библиотеке
dwmcore.dll в функции CPrimitiveGroupDrawListBrush::IsColorConversionRequired (скриншот 1). При совместном использовании классов СSurfaceBrush и CPrimitiveGroup она позволяла достичь кода, который осуществляет вычисление положения экземпляра класса CDrawListBitmap в массиве drawListBitmap_Vec, располагающемся, в свою очередь, в экземпляре класса CPrimitiveGroupDrawListGenerator. При определенном сочетании свойств экземпляров
СSurfaceBrush и CPrimitiveGroup могла сложиться ситуация, при которой указатель drawListBitmap_Vec был бы равен нулю и все вычисления свелись бы только к работе с индексом, а его значение полностью контролировалось бы атакующим и имело размер DWORD. Таким образом можно было бы перехватить указатель на объект CDrawListBitmap (скриншот 2).#escvr #win #cve
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Not a Pwn2Own bug 🙂
CVE-2024-43641: ошибка типа CWE-190 позволяла переполнить счетчик ссылок на экземпляр
Для того чтобы достигнуть уязвимого кода, необходимо открыть или создать ключ реестра в режиме транзакций. Сделать это можно через функцию
Для того чтобы уязвимость «сдетонировала», необходимо прокрутить значение счетчика ссылок так, чтобы его значение стало меньше реального количества операций, записанных в рамках транзакции. Если это условие будет соблюдено, то после транзакции ячейка
На третьем скриншоте — часть функции
🩹 О патче
Патч переработал то, как подсистема Cоnfiguration Manager (СM) работает со ссылками на
К счастью, вряд ли уязвимость можно отнести к эксплуатабельным, так как, чтобы переполнить счетчик ссылок, последовательно увеличивая его на 1, потребуется очень много времени, да и окно, в рамках которого у нас есть возможность «подсунуть» что-то, слишком маленькое и неконтролируемое.
#cve #escvr
@ptescalator
CVE-2024-43641: ошибка типа CWE-190 позволяла переполнить счетчик ссылок на экземпляр
_CM_KEY_SECURITY. Уязвимый код располагался в ntoskrnl.exe — в функции CmpSetSecurityDescriptorInfo (скриншот 1).Для того чтобы достигнуть уязвимого кода, необходимо открыть или создать ключ реестра в режиме транзакций. Сделать это можно через функцию
RegCreateKeyTransacted. Так как нет ограничения на количество операций, которые могут быть записаны в рамках одной транзакции, мы можем последовательно вызывать функцию NtSetSecurityObject. И каждый такой вызов будет увеличивать счетчик ссылок на 1. Для того чтобы уязвимость «сдетонировала», необходимо прокрутить значение счетчика ссылок так, чтобы его значение стало меньше реального количества операций, записанных в рамках транзакции. Если это условие будет соблюдено, то после транзакции ячейка
_CM_KEY_SECURITY будет освобождена раньше, чем закончатся операции, которые нужно завершить, что приведет к использованию освободившейся памяти (скриншот 2).На третьем скриншоте — часть функции
CmpDereferenceSecurityNode, отвечающая за уменьшение числа ссылок и освобождение _CM_KEY_SECURITY.Патч переработал то, как подсистема Cоnfiguration Manager (СM) работает со ссылками на
_CM_KEY_SECURITY, добавив как минимум две новые функции — CmpKeySecurityDecrementReferenceCount и CmpKeySecurityIncrementReferenceCount, которые теперь будут выдавать bugcheck, если количество ссылок станет равным нулю или после инкремента их будет меньше, чем до (скриншот 4).К счастью, вряд ли уязвимость можно отнести к эксплуатабельным, так как, чтобы переполнить счетчик ссылок, последовательно увеличивая его на 1, потребуется очень много времени, да и окно, в рамках которого у нас есть возможность «подсунуть» что-то, слишком маленькое и неконтролируемое.
#cve #escvr
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Что произошло с безопасностью OpenSSH в 2024 году 🚪
Взглянем на таймлайн:
• Весна. Бэкдор в xz-utils ((то есть скорее речь об атаке на цепочку поставок этих дистрибутивов, а не конкретно на OpenSSH) .
• Июль. Критически опасная уязвимость «состояния гонки» для систем на базе glibc, получившая название regreSSHion (
• Все тот же июль. Опубликована схожая проблема, получившая идентификатор
• Август. Еще одна, уже специфичная для FreeBSD,
❔ Что это вообще было
Исследователи утверждают, что успешная эксплуатация «состояний гонки» позволяет получить RCE на подверженных системах. Более того, regreSSHion — главный баг (затрагивает привилегированный процесс
Мы решили разобраться, так ли опасны эти «состояния гонки» и какие механизмы в
🔣 И теперь все это с технической базой и экскурсом на 30 секунд доступно в нашем блоге на Хабре. Enjoy!
#CVE #escvr
@ptescalator
Взглянем на таймлайн:
• Весна. Бэкдор в xz-utils (
CVE-2024-3094). В результате его внедрения были скомпрометированы системы с systemd, в которых в OpenSSH есть зависимость liblzma, отсутствующая в нем изначально и самим OpenSSH напрямую не используемая • Июль. Критически опасная уязвимость «состояния гонки» для систем на базе glibc, получившая название regreSSHion (
CVE-2024-6387) и представляющая собой перерожденную CVE-2006-5051.• Все тот же июль. Опубликована схожая проблема, получившая идентификатор
CVE-2024-6409.• Август. Еще одна, уже специфичная для FreeBSD,
CVE-2024-7589.Исследователи утверждают, что успешная эксплуатация «состояний гонки» позволяет получить RCE на подверженных системах. Более того, regreSSHion — главный баг (затрагивает привилегированный процесс
sshd) — ставит под угрозу безопасность множества SSH-серверов с glibc. Эксплуатация уязвимости не требует особой конфигурации сервера (проблема актуальна и для конфигурации по умолчанию). Но при этом публичного PoC нет до сих пор.Мы решили разобраться, так ли опасны эти «состояния гонки» и какие механизмы в
sshd призваны не допустить эксплуатации этой уязвимости или хотя бы уменьшить ущерб в случае успешной атаки. Попутно провели обзор и остальных уязвимостей OpenSSH прошедшего года.#CVE #escvr
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Net group "babyk" /addВ рамках расследования одного из инцидентов мы обнаружили факт эксплуатации уязвимости CVE-2024-37085. Она позволяет злоумышленнику получить полный контроль над гипервизором VMware ESXi, присоединенным к домену
Уязвимость заключается в том, что пользователи, входящие в группу с именем
ESX Admins, по умолчанию имеют максимальные права доступа к гипервизору. Эта группа не существует в домене по умолчанию, поэтому злоумышленнику необходимо завладеть учетной записью, имеющей права на создание группы и добавление в нее пользователей.В статье упоминается эксплуатация этого недостатка операторами шифровальщиков Akira и Black Basta. В публичных отчетах информации об использовании уязвимости в атаках на российские организации нет.
👤 В рассматриваемом нами случае злоумышленникам удалось получить доступ к контроллеру домена и завладеть учетной записью с необходимыми правами. После они создали группу
ESX Admins и добавили в нее пользователя, выполнив следующие команды:net group "ESX Admins" /add /domain
net group "ESX Admins" superuser /add /do
От имени этого пользователя впоследствии нарушители вошли на гипервизор и зашифровали файлы и диски виртуальных машин с применением Babyk.
В обнаружении эксплуатации CVE-2024-37085 могут помочь события журнала Security:
• 4727 — создание группы безопасности Active Directory с именем
ESX Admins;• 4737 — изменение группы безопасности Active Directory (переименование группы в
ESX Admins);• 4728 — добавление пользователя в группу безопасности Active Directory с именем
ESX Admins.Для исправления описанной уязвимости рекомендуется установить последние обновления безопасности для VMware ESXi.
#dfir #cve #detect #win
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM