В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Привет, меня зовут Сергей Терехин. Здесь, на Хабре, я в первую очередь системный архитектор. Но вот что вышло. Между Питером и Москвой, обсуждениями ТЗ с заказчиками и тушением пожаров на проектах я написал фантастический роман «Поток». И даже получилось его издать. Мне всегда было любопытно, что творится на «писательской кухне». Интересно было бы заглянуть за плечо пишущего, пьяного в дым Стивена Кинга или забраться в голову моделирующего свои миры Филиппа Дика. Здесь расскажу, как писательство нападает на меня, почему «настоящие» персонажи всегда отчасти ****** (подставьте любое ругательство) и как не дать угробить свою рукопись в «могиле для молодых авторов».

Сегодня в ТОП-3 — взлом поддержки 2K Games, защита от атаки MFA Fatigue и раскрытие персональных данных из-за использования проверки правописания в Chrome и Microsoft Edge.  

Новости собирал Артур Сафаров, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Том Перски основал компанию по продаже и восстановлению дискет floppydisk.com. Компания и сейчас занимается переносом данных с дискет и продаёт людям по всему миру бывшие в употреблении и повреждённые дискеты. На ее складе хранится около полумиллиона дискет, а самые крупные клиенты, не поверите, не хоббисты! — а промышленные гиганты, использующие диски в своей основной деятельности. Устаревшие дискеты пользуются бóльшим спросом, чем вы думаете.

Что происходит сейчас в дискетной индустрии и как вообще вести подобный бизнес в 2020-х — в интервью Тома Перски для eyeondesign.aiga.org.

В нише доступных на сегодня продуктов для виртуализации рабочих мест не такой уж скудный выбор: Termidesk, Veil VDI, HostVM VDI, Горизонт-ВС VDI. Но Termidesk выбивается из общего ряда, потому что за ним стоит мощный производитель (ГК Astra Linux). Было любопытно потестдрайвить платформу и понять, на что она способна. Расскажу о своих впечатлениях от знакомства, при чем здесь OpenUDS и почему поставить Termidesk в один ряд с зарубежными VDI — так себе идея.

Сегодня в ТОП-3 — сентябрьские обновления безопасности от Microsoft, атаки на WordPress-сайты с помощью уязвимостей в WPGateway и кейлоггеры в фишинговых страницах.

Новости собирала Алла Крджоян, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Привет, Хабр!

Я системный архитектор и ситуацию в ИТ в нашей стране сейчас могу образно описать как «цирк с велосипедами» и «зоопарк приехал». С велосипедами — потому что, например, по части ИТ-инфраструктуры теперь нам на ровном месте приходится изобретать то, что ещё несколько месяцев назад хорошо и надёжно закрывалось одним решением западного вендора. А зоопарк — это конструкторы из нескольких опенсорс-решений, каждое из которых выполняет свою функцию, но изначально не связанных между собой. Ладно, будем честными, — зоопарк из Open Source ещё не захватил ИТ-инфраструктуры крупных компаний, но уже слышны звуки его приближения.

Итак, ИТ-ландшафт российских компаний начинает меняться.

Соответственно, от ИТ-инженера сейчас будет требоваться иное, чем годом ранее. Например, одно из самых ярких грядущих изменений — больше нельзя просто делать так, как просит бизнес. Теперь нужно лезть в саму задачу, критически переосмысливать требования, потому что они не всегда обоснованы реальными потребностями и могут быть нереализуемыми на отечественных и Open Source решениях. И потом долго и упорно объяснять заказчику, почему всё будет сделано по-другому, а не так, как он привык, и доказывать, что так тоже можно, а в нашей ситуации и нужно. Думаю, первый год такой подход точно будет восприниматься как посягательство на святое. Отсюда и тезис про адское занудство.

Недавно мы написали о том, насколько экономически разумно «переезжать» с Oracle на PostgreSQL. В этом материале хотели бы поделиться практическим опытом, как осуществить миграцию небольшой СУБД, и какие подводные камни вас могут ожидать при этом.

Сегодня в ТОП-3 — использование Shikitega многоступенчатой цепочки заражения, исправление 0-day уязвимости в плагине для WordPress, хак-группа Worok нацелилась на азиатские правительства и компании.

Новости собирал Константин Крайнов, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — обновление безопасности GitLab, уязвимость в приложении TikTok и пять расширений Google Chrome, крадущих данные пользователей.

Новости собирал Евгений Тюрин, старший специалист по информационной безопасности Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Мы продолжаем делать видеоконтент, который может быть полезным как начинающим безопасникам, студентам, так и ИБ-и ИТ-специалистам. Сегодня публикуем 2 новых ролика Security Small Talk. В первом смотрите об управлении секретами в DevOps-окружениях, во втором найдете интересные факты о реагировании на инциденты и их расследовании.

С этого сообщения в мессенджере началось мое масштабное расследование вопроса, который давно не дает спать многим айтишникам — можно ли вот так взять и переехать с Oracle на «свободную» СУБД PostgreSQL?

Этот вопрос сначала бередил умы только тех, кто был в курсе стоимости закупок лицензий. В крупных компаниях бюджет на это мог составлять несколько десятков миллионов долларов. А потом каждый год поддержка вендора «съедала» ещё 22% от стоимости лицензий. Теперь та финансовая боль сменилась другой, и у компаний поменялся запрос: а можно ли заменить? И главное, можно ли организовать это в разумные сроки и по адекватной стоимости? 

Скажу сразу, что в этом посте не будет технических аспектов миграции с СУБД Oracle на PostgreSQL. Как это делать и как обходить сложности — разберем в следующий раз. Тут же больше поговорим о целесообразности и возможности миграции. С этим мы разбирались в ходе одного проекта, а заодно развенчали строй существующих иллюзий. 

Сегодня в ТОП-3 — вредонос HYPERSCRAPE ворует данные почты Microsoft и Google, фишинговая атака на PyPI и способность клипа Джанет Джексон ломать ноутбуки.

Новости собирал Константин Маслов, старший специалист по информационной безопасности Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

В данной статье рассмотрим уязвимости, которые легко проэксплуатировать в Active Directory — так называемые «низко висящие фрукты». Они часто встречаются и в результате дают возможность атакующему продвинуться вглубь инфраструктуры или получить дополнительную информацию.

Комбинация таких участков часто позволяет достичь полного контроля над средой Active Directory с правами администратора домена или расширить исходные привилегии.

Не углубляясь в технические дебри, я хочу показать, какие типовые проблемы существуют в домене Active Directory, что они из себя представляют и какие меры защиты стоит применить либо принять во внимание.

Подробнее — под катом.

Прошлой осенью мы рассказали, как переоборудовали наши переговорки, чтобы удобнее было работать в условиях, когда часть людей перешла на удаленку. А потом мы решили создать для себя новый и красивый конференц-зал: оснастили его мультимедиа и инженерными системами, чтобы получилось пространство, разделяемое на изолированные помещения, с гибкой системой управления и трансляций. В нем теперь очень удобно проводить конференции, семинары и учебные занятия. Расскажу о том, с чем приходится сталкиваться реноваторам промышленных зданий ХХ века, и о том, как сделать всё по красоте.

У нашего заказчика из финансовой сферы были два домена, несколько тысяч терминальных пользователей, пара тысяч принтеров, десять принт-серверов, а также гигабайты логов печати. Именно поэтому неудивительно, что у него появилась необходимость создать сервис, который сможет обрабатывать логи со всех принт-серверов и выгружать информацию в подходящем виде (по определенным требованиям).

Сначала это выглядело как разовая задача: есть excel-файл со списком «табельный номер — имя пользователя», необходимо собрать логи и предоставить суммарную статистику по печати за месяц с разбивкой по городам. Однако, когда приступили к реализации, поняли, что все не так-то просто, как казалось и начали думать над отдельным сервером и сайтом. Взяли .NET 6, Blazor, немного PowerShell, WMI и sqlite. Что же получилось из этого «винегрета»? Читайте ниже.

Сегодня в ТОП-3 — уязвимость в чипах Realtek, последствия атаки на компанию Twilio и компрометация Active Directory с использованием Bumblebee.

Новости собирал Артем Крикунов, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Всем привет. Я чуть больше полутора лет занимаюсь внутренним пентестом. И вроде бы уже многое знаю, но всегда кажется, что этого недостаточно и хочется знать больше. Когда часто делаешь похожую работу, привыкаешь к одним и тем же действиям, инструментам, и нет идей, что бы еще попробовать. Иногда я черпаю вдохновение в отчетах своих коллег, но всегда интересно почитать о том, как работают и что используют другие команды. А раз это интересно мне, может, это интересно кому-то еще. Мы c командой решили тоже поделиться несколькими интересными киллчейнами. В этой статье я расскажу о последовательности шагов, которая привела к получению привилегий администратора домена в компании, в которой «почти все безопасно».

Подробнее — под катом.

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-3 — обновления безопасности от Microsoft, фишинговая атака на компанию Twilio и итоги исследования атак на промышленные предприятия и государственные учреждения.

Новости собирала Алла Крджоян, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Привет! Каждый день у меня есть 45 минут сидя стоя в метро на новости/аналитику/книги, чтобы не отставать от того, что происходит в сфере кибербезопасности. И так как в моих сутках, как и у всех, 24 часа, приходится выбирать тот контент, который успеваешь «переварить», а не просто помечать как прочитанное или помещать канал в «архивные» до лучших времен (которые с момента создания этого архива так и не настали).

Количество новостных ресурсов в ИБ давно перевалило за сотни, а аналитические выкладки и книги выходят еженедельно — на что из этого потратить драгоценное время?

Я подготовил небольшой список материалов как для начинающих, тех, кто хочет быстро погрузиться в направление «кибербезопасность», так и для «продолжающих» специалистов. Данный список не претендует на полноту и уникальность, но он помогает мне хорошо решать конкретные профессиональные задачи и быть в курсе важного.