logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Профессиональный блог на различные ИТ и ИБ-темы. Минимум хайпа и максимум вдумчивого анализа и разбора различных материалов.

📌Не знаете какой уровень вам подходит, прочтите пост https://sponsr.ru/chronicles_security/55295/Platnye_urovni/

Все площадки
➡️Тексты и прочие форматы: TG, Boosty, Sponsr, Teletype.in, VK, Dzen
➡️Аудио: Mave, здесь можно найти ссылки на доступные подкаст площадки, например, Яндекс, Youtube Подкасты, ВК подкасты или Apple с Amazon
➡️Видео: Youtube, Rutube, Dzen, VK

основные категории материалов — используйте теги:

Q& A — лично или chronicles_qa@mail.ru
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Каждый донат способствует прогрессу в области ИБ, позволяя предоставлять самые актуальные исследования и профессиональные рекомендации. Поддержите ценность контента

* не предоставляет доступ к закрытому контенту и не возращается

Помочь проекту
Праздничный промо 750₽ месяц
Доступны сообщения

Подписка "Постоянный читатель" за полцены!

В течение ограниченного времени мы предлагаем подписку по выгодной цене - со скидкой 50%! Будьте в курсе последних тенденций кибербезопасности благодаря нашим материалам

Предложение действительно до конца этого месяца.

Оформить подписку
Постоянный читатель 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Оформить подписку
Профессионал 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A

Оформить подписку
Фильтры
Обновления проекта
Поделиться
Метки
хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов
Читать: 3+ мин
logo Хроники кибер-безопасника

FIDO2: Устойчив к фишингу, но не к токенам

В ‎статье рассказывается‏ ‎о ‎том, ‎как ‎MITM-атаки ‎могут‏ ‎обойти ‎защиту‏ ‎FIDO2‏ ‎от ‎фишинга; ‎подробно‏ ‎описывается ‎процесс‏ ‎аутентификации ‎в ‎FIDO2, ‎освещаются‏ ‎уязвимости‏ ‎в ‎обработке‏ ‎токенов ‎сеанса‏ ‎и ‎приводятся ‎реальные ‎примеры, ‎связанные‏ ‎с‏ ‎использованием ‎единого‏ ‎входа ‎Entra‏ ‎ID, ‎PingFederate ‎и ‎Yubico ‎Playground,‏ ‎а‏ ‎также‏ ‎стратегии ‎устранения‏ ‎неполадок ‎для‏ ‎повышения ‎безопасности.

FIDO2

📌FIDO2‏ ‎—‏ ‎это ‎современный‏ ‎стандарт ‎аутентификации ‎без ‎пароля, ‎разработанный‏ ‎Альянсом ‎FIDO‏ ‎Alliance‏ ‎для ‎замены ‎паролей

📌Он‏ ‎предназначен ‎для‏ ‎защиты ‎от ‎фишинга, ‎атак‏ ‎типа‏ ‎«человек ‎посередине»‏ ‎(MITM) ‎и‏ ‎перехвата ‎сеанса

📌Процесс ‎аутентификации ‎включает ‎в‏ ‎себя‏ ‎регистрацию ‎устройства‏ ‎и ‎аутентификацию‏ ‎с ‎использованием ‎криптографии ‎с ‎открытым‏ ‎ключом

Функции‏ ‎безопасности‏ ‎FIDO2

📌FIDO2 ‎разработан‏ ‎для ‎предотвращения‏ ‎фишинговых ‎атак,‏ ‎MITM‏ ‎и ‎перехвата‏ ‎сеанса

📌 Однако ‎исследование ‎показало, ‎что ‎реализации‏ ‎FIDO2 ‎часто‏ ‎не‏ ‎защищают ‎токены ‎сеанса‏ ‎после ‎успешной‏ ‎аутентификации

Атака ‎на ‎FIDO2 ‎с‏ ‎помощью‏ ‎MITM

📌Автор ‎исследовал‏ ‎атаки ‎MITM‏ ‎на ‎поставщиков ‎идентификационных ‎данных ‎(IDP)

📌 Хотя‏ ‎MITM‏ ‎сложнее ‎использовать‏ ‎с ‎помощью‏ ‎TLS, ‎такие ‎методы, ‎как ‎подмена‏ ‎DNS,‏ ‎отравление‏ ‎ARP ‎и‏ ‎кража ‎сертификатов,‏ ‎могут ‎помочь‏ ‎в‏ ‎этом

📌Выполнив ‎MITM‏ ‎для ‎IdP, ‎злоумышленник ‎может ‎перехватить‏ ‎токен ‎сеанса‏ ‎после‏ ‎проверки ‎подлинности ‎FIDO2

EntraID‏ ‎SSO ‎(Microsoft)

📌Обзор:‏ ‎Entra ‎ID ‎SSO ‎—‏ ‎это‏ ‎решение ‎для‏ ‎единого ‎входа,‏ ‎которое ‎поддерживает ‎различные ‎протоколы ‎единого‏ ‎входа‏ ‎и ‎современные‏ ‎методы ‎аутентификации,‏ ‎включая ‎FIDO2.

📌Уязвимость: Исследование ‎показало, ‎что ‎злоумышленник‏ ‎может‏ ‎перехватывать‏ ‎сеансы, ‎используя‏ ‎способ, ‎которым‏ ‎Entra ‎ID‏ ‎обрабатывает‏ ‎токены ‎сеанса.

📌Метод‏ ‎атаки: ‎Злоумышленнику ‎не ‎нужно ‎ретранслировать‏ ‎весь ‎процесс‏ ‎аутентификации.‏ ‎Вместо ‎этого ‎он‏ ‎может ‎использовать‏ ‎подписанный ‎токен, ‎предоставленный ‎IdP,‏ ‎срок‏ ‎действия ‎которого‏ ‎составляет ‎один‏ ‎час. ‎Этот ‎токен ‎может ‎быть‏ ‎повторно‏ ‎использован ‎в‏ ‎течение ‎допустимого‏ ‎периода ‎времени ‎для ‎создания ‎файлов‏ ‎cookie‏ ‎состояния‏ ‎на ‎более‏ ‎длительный ‎период.

📌Пример:‏ ‎Собственное ‎приложение‏ ‎портала‏ ‎управления ‎Azure‏ ‎не ‎проверяет ‎токен, ‎предоставленный ‎службой‏ ‎единого ‎входа,‏ ‎что‏ ‎позволяет ‎злоумышленнику ‎использовать‏ ‎украденный ‎токен‏ ‎для ‎получения ‎несанкционированного ‎доступа.

PingFederate

📌Обзор:‏ ‎PingFederate‏ ‎— ‎это‏ ‎решение ‎для‏ ‎единого ‎входа, ‎которое ‎использует ‎сторонние‏ ‎адаптеры‏ ‎для ‎выполнения‏ ‎аутентификации. ‎Эти‏ ‎адаптеры ‎могут ‎быть ‎объединены ‎в‏ ‎поток‏ ‎политики‏ ‎аутентификации.

📌Уязвимость: ‎Исследование‏ ‎показало, ‎что‏ ‎если ‎разработчик,‏ ‎которому‏ ‎доверяют, ‎не‏ ‎проверит ‎токен ‎OIDC ‎(или ‎SAML-ответ),‏ ‎атака ‎MITM‏ ‎может‏ ‎быть ‎успешной.

📌Метод ‎атаки: Атака‏ ‎использует ‎самое‏ ‎слабое ‎звено ‎в ‎цепочке‏ ‎аутентификации.‏ ‎Поскольку ‎протоколы‏ ‎единого ‎входа‏ ‎основаны ‎на ‎предоставлении ‎токенов, ‎которые‏ ‎могут‏ ‎быть ‎повторно‏ ‎использованы ‎различными‏ ‎устройствами, ‎злоумышленник ‎может ‎перехватить ‎сеанс,‏ ‎украв‏ ‎эти‏ ‎токены.

📌Пример: Адаптер ‎PingOne‏ ‎можно ‎использовать‏ ‎с ‎поддержкой‏ ‎FIDO2.‏ ‎Если ‎токен‏ ‎OIDC ‎не ‎будет ‎подтвержден, ‎злоумышленник‏ ‎может ‎обойти‏ ‎защиту‏ ‎FIDO2 ‎и ‎получить‏ ‎несанкционированный ‎доступ.

Yubico‏ ‎Playground

📌Обзор: ‎Yubico ‎Playground ‎—‏ ‎это‏ ‎среда ‎тестирования‏ ‎функций ‎и‏ ‎ключей ‎безопасности ‎FIDO.

📌Уязвимость: Исследование ‎показало, ‎что‏ ‎можно‏ ‎использовать ‎простой‏ ‎сеансовый ‎файл‏ ‎cookie, ‎сгенерированный ‎после ‎аутентификации ‎FIDO2.

📌Метод‏ ‎атаки:‏ ‎На‏ ‎устройстве, ‎запросившем‏ ‎сеансовый ‎файл‏ ‎cookie, ‎отсутствует‏ ‎проверка‏ ‎подлинности. ‎Любое‏ ‎устройство ‎может ‎использовать ‎этот ‎файл‏ ‎cookie ‎до‏ ‎истечения‏ ‎срока ‎его ‎действия,‏ ‎что ‎позволяет‏ ‎злоумышленнику ‎обойти ‎этап ‎аутентификации.

📌Пример:‏ ‎Получив‏ ‎файл ‎cookie‏ ‎сеанса, ‎злоумышленник‏ ‎может ‎получить ‎доступ ‎к ‎личному‏ ‎кабинету‏ ‎пользователя ‎и‏ ‎удалить ‎ключ‏ ‎безопасности ‎из ‎профиля ‎пользователя, ‎демонстрируя‏ ‎простой‏ ‎сценарий‏ ‎перехвата ‎сеанса

Читать: 2+ мин
logo Хроники кибер-безопасника

WSUS: ADCS ESC8 атака через MITM

Эта ‎статья служит‏ ‎техническим ‎руководством ‎о ‎том, ‎как‏ ‎сочетание ‎сетевого‏ ‎перехвата,‏ ‎MITM-атак ‎и ‎использования‏ ‎ADC-систем ‎может‏ ‎привести ‎к ‎значительным ‎нарушениям‏ ‎безопасности,‏ ‎подчеркивая ‎необходимость‏ ‎принятия ‎надежных‏ ‎мер ‎безопасности ‎в ‎сетевых ‎конфигурациях‏ ‎и‏ ‎процессах ‎обработки‏ ‎сертификатов.

📌Конфигурация ‎и‏ ‎уязвимости ‎WSUS: В ‎статье ‎подробно ‎описывается,‏ ‎как‏ ‎можно‏ ‎использовать ‎сервер‏ ‎служб ‎обновления‏ ‎Windows ‎Server‏ ‎(WSUS),‏ ‎настроенный ‎для‏ ‎работы ‎по ‎протоколу ‎HTTP. ‎Доступ‏ ‎к ‎конфигурации‏ ‎протокола‏ ‎WSUS-сервера ‎можно ‎получить,‏ ‎запросив ‎определенный‏ ‎раздел ‎реестра. ‎Эта ‎настройка‏ ‎позволяет‏ ‎потенциально ‎перехватывать‏ ‎трафик ‎с‏ ‎помощью ‎таких ‎инструментов, ‎как ‎Wireshark,‏ ‎которые‏ ‎могут ‎перехватывать‏ ‎связь ‎между‏ ‎клиентами ‎и ‎сервером ‎WSUS.

📌Выполнение ‎MITM-атаки: В‏ ‎основе‏ ‎атаки‏ ‎лежит ‎подход‏ ‎«Человек ‎посередине»‏ ‎(MITM), ‎при‏ ‎котором‏ ‎злоумышленник ‎перехватывает‏ ‎и ‎ретранслирует ‎запросы ‎с ‎клиентского‏ ‎компьютера ‎на‏ ‎сервер‏ ‎WSUS. ‎Во ‎время‏ ‎этого ‎процесса‏ ‎злоумышленник ‎может ‎манипулировать ‎сообщениями,‏ ‎перенаправляя‏ ‎запросы ‎на‏ ‎сторонний ‎сервер‏ ‎или ‎манипулируя ‎ответами.

📌Эксплойт ‎ADCS ‎ESC8:‏ ‎Перехваченное‏ ‎сообщение ‎затем‏ ‎используется ‎для‏ ‎проведения ‎атаки ‎на ‎службы ‎сертификации‏ ‎Active‏ ‎Directory‏ ‎(ADCS) ‎ESC8.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎передачу‏ ‎перехваченных ‎запросов‏ ‎на ‎веб-страницу ‎регистрации ‎Центра ‎сертификации‏ ‎для ‎запроса‏ ‎сертификата‏ ‎с ‎использованием ‎учетных‏ ‎данных ‎скомпрометированного‏ ‎компьютера. ‎Успешное ‎выполнение ‎этой‏ ‎атаки‏ ‎может ‎позволить‏ ‎злоумышленнику ‎получить‏ ‎несанкционированные ‎сертификаты, ‎которые ‎могут ‎быть‏ ‎использованы‏ ‎для ‎дальнейших‏ ‎атак ‎в‏ ‎сети.

📌Набор ‎инструментов: PKINITtools ‎и ‎скрипты ‎для‏ ‎управления‏ ‎запросами‏ ‎Kerberos ‎и‏ ‎их ‎экспорта‏ ‎помогают ‎извлекать‏ ‎и‏ ‎использовать ‎учетные‏ ‎данные ‎из ‎перехваченного ‎трафика ‎для‏ ‎проверки ‎подлинности‏ ‎с‏ ‎помощью ‎ADC ‎и‏ ‎запроса ‎сертификатов.

📌Рекомендации‏ ‎по ‎обеспечению ‎безопасности: ‎Атака‏ ‎демонстрирует‏ ‎значительный ‎риск‏ ‎для ‎безопасности,‏ ‎связанный ‎с ‎использованием ‎незащищенных ‎протоколов‏ ‎(HTTP)‏ ‎для ‎критически‏ ‎важной ‎инфраструктуры,‏ ‎такой ‎как ‎WSUS ‎и ‎ADCS.‏ ‎В‏ ‎статье‏ ‎предполагается, ‎что‏ ‎защита ‎этих‏ ‎коммуникаций ‎с‏ ‎помощью‏ ‎HTTPS ‎и‏ ‎внедрение ‎строгого ‎контроля ‎доступа ‎и‏ ‎мониторинга ‎могут‏ ‎снизить‏ ‎вероятность ‎таких ‎атак.

Читать: 3+ мин
logo Overkill Security

FIDO2: Phishing-Resistant, But Not Token-Resistant

The ‎article‏ ‎on ‎Silverfort’s ‎blog ‎explores ‎how‏ ‎MITM ‎attacks‏ ‎can‏ ‎bypass ‎FIDO2's ‎phishing-resistant‏ ‎protections. ‎It‏ ‎details ‎the ‎FIDO2 ‎authentication‏ ‎flow,‏ ‎highlights ‎vulnerabilities‏ ‎in ‎session‏ ‎token ‎handling, ‎and ‎provides ‎real-world‏ ‎examples‏ ‎involving ‎Entra‏ ‎ID ‎SSO,‏ ‎PingFederate, ‎and ‎Yubico ‎Playground, ‎concluding‏ ‎with‏ ‎mitigation‏ ‎strategies ‎to‏ ‎enhance ‎security.


FIDO2‏ ‎Background

📌FIDO2 ‎is‏ ‎a‏ ‎modern ‎passwordless‏ ‎authentication ‎standard ‎developed ‎by ‎the‏ ‎FIDO ‎Alliance‏ ‎to‏ ‎replace ‎passwords

📌It ‎aims‏ ‎to ‎protect‏ ‎against ‎phishing, ‎man-in-the-middle ‎(MITM),‏ ‎and‏ ‎session ‎hijacking‏ ‎attacks

📌The ‎authentication‏ ‎flow ‎involves ‎device ‎registration ‎and‏ ‎authentication‏ ‎steps ‎using‏ ‎public ‎key‏ ‎cryptography

FIDO2 ‎Security ‎Features

📌FIDO2 ‎is ‎designed‏ ‎to‏ ‎prevent‏ ‎phishing, ‎MITM,‏ ‎and ‎session‏ ‎hijacking ‎attacks

📌However,‏ ‎the‏ ‎research ‎found‏ ‎that ‎FIDO2 ‎implementations ‎often ‎do‏ ‎not ‎protect‏ ‎session‏ ‎tokens ‎after ‎successful‏ ‎authentication

Attacking ‎FIDO2‏ ‎with ‎MITM

📌The ‎author ‎investigated‏ ‎MITM‏ ‎attacks ‎on‏ ‎identity ‎providers‏ ‎(IdPs) ‎that ‎relay ‎communications ‎between‏ ‎devices

📌While‏ ‎MITM ‎is‏ ‎more ‎difficult‏ ‎with ‎TLS, ‎methods ‎like ‎DNS‏ ‎spoofing,‏ ‎ARP‏ ‎poisoning, ‎and‏ ‎certificate ‎theft‏ ‎can ‎achieve‏ ‎it

📌By‏ ‎performing ‎MITM‏ ‎on ‎the ‎IdP, ‎the ‎attacker‏ ‎can ‎hijack‏ ‎the‏ ‎session ‎token ‎after‏ ‎FIDO2 ‎authentication


Entra‏ ‎ID ‎SSO ‎(Microsoft)

📌Overview: Entra ‎ID‏ ‎SSO‏ ‎is ‎a‏ ‎single ‎sign-on‏ ‎solution ‎that ‎supports ‎various ‎SSO‏ ‎protocols‏ ‎and ‎modern‏ ‎authentication ‎methods,‏ ‎including ‎FIDO2.

📌Vulnerability: The ‎research ‎demonstrated ‎that‏ ‎an‏ ‎attacker‏ ‎could ‎hijack‏ ‎sessions ‎by‏ ‎exploiting ‎the‏ ‎way‏ ‎Entra ‎ID‏ ‎handles ‎session ‎tokens.

📌Attack ‎Method: The ‎attacker‏ ‎does ‎not‏ ‎need‏ ‎to ‎relay ‎the‏ ‎entire ‎authentication‏ ‎process. ‎Instead, ‎they ‎can‏ ‎use‏ ‎a ‎signed‏ ‎token ‎provided‏ ‎by ‎the ‎IdP, ‎which ‎has‏ ‎an‏ ‎expiration ‎time‏ ‎of ‎one‏ ‎hour. ‎This ‎token ‎can ‎be‏ ‎reused‏ ‎within‏ ‎the ‎valid‏ ‎time ‎frame‏ ‎to ‎generate‏ ‎state‏ ‎cookies ‎for‏ ‎a ‎longer ‎period.

📌Example: The ‎native ‎Azure‏ ‎Management ‎portal‏ ‎application‏ ‎does ‎not ‎validate‏ ‎the ‎token‏ ‎granted ‎by ‎the ‎SSO,‏ ‎allowing‏ ‎an ‎attacker‏ ‎to ‎use‏ ‎a ‎stolen ‎token ‎to ‎gain‏ ‎unauthorized‏ ‎access.

PingFederate

📌Overview: PingFederate ‎is‏ ‎an ‎SSO‏ ‎solution ‎that ‎uses ‎third-party ‎adapters‏ ‎to‏ ‎perform‏ ‎authentication. ‎These‏ ‎adapters ‎can‏ ‎be ‎chained‏ ‎into‏ ‎an ‎authentication‏ ‎policy ‎flow.

📌Vulnerability: The ‎research ‎found ‎that‏ ‎if ‎the‏ ‎relying‏ ‎party ‎developer ‎does‏ ‎not ‎validate‏ ‎the ‎OIDC ‎token ‎(or‏ ‎SAML‏ ‎Response), ‎the‏ ‎MITM ‎attack‏ ‎can ‎be ‎successful.

📌Attack ‎Method: The ‎attack‏ ‎exploits‏ ‎the ‎weakest‏ ‎link ‎in‏ ‎the ‎authentication ‎chain. ‎Since ‎the‏ ‎SSO‏ ‎protocols‏ ‎rely ‎on‏ ‎granting ‎tokens‏ ‎that ‎can‏ ‎be‏ ‎reused ‎by‏ ‎different ‎devices, ‎an ‎attacker ‎can‏ ‎hijack ‎the‏ ‎session‏ ‎by ‎stealing ‎these‏ ‎tokens.

📌Example: The ‎PingOne‏ ‎adapter ‎can ‎be ‎used‏ ‎with‏ ‎FIDO2 ‎capabilities.‏ ‎If ‎the‏ ‎OIDC ‎token ‎is ‎not ‎validated,‏ ‎an‏ ‎attacker ‎can‏ ‎bypass ‎FIDO2‏ ‎protections ‎and ‎gain ‎unauthorized ‎access.

Yubico‏ ‎Playground

📌Overview: Yubico‏ ‎Playground‏ ‎is ‎a‏ ‎testing ‎environment‏ ‎for ‎FIDO‏ ‎security‏ ‎features ‎and‏ ‎keys.

📌Vulnerability: The ‎research ‎showed ‎that ‎a‏ ‎simple ‎session‏ ‎cookie‏ ‎generated ‎after ‎FIDO2‏ ‎authentication ‎can‏ ‎be ‎exploited.

📌Attack ‎Method: There ‎is‏ ‎no‏ ‎validation ‎on‏ ‎the ‎device‏ ‎that ‎requested ‎the ‎session ‎cookie.‏ ‎Any‏ ‎device ‎can‏ ‎use ‎this‏ ‎cookie ‎until ‎it ‎expires, ‎allowing‏ ‎an‏ ‎attacker‏ ‎to ‎bypass‏ ‎the ‎authentication‏ ‎step.

📌Example: ‎By‏ ‎acquiring‏ ‎the ‎session‏ ‎cookie, ‎an ‎attacker ‎can ‎access‏ ‎the ‎user’s‏ ‎private‏ ‎area ‎and ‎remove‏ ‎the ‎security‏ ‎key ‎from ‎the ‎user’s‏ ‎profile,‏ ‎demonstrating ‎a‏ ‎straightforward ‎session‏ ‎hijacking ‎scenario

Читать: 2+ мин
logo Overkill Security

Abusing WSUS with MITM to perform ADCS ESC8 attack

This ‎article serves‏ ‎as ‎a ‎technical ‎guide ‎on‏ ‎how ‎a‏ ‎combination‏ ‎of ‎network ‎sniffing,‏ ‎MITM ‎attacks,‏ ‎and ‎exploitation ‎of ‎ADCS‏ ‎can‏ ‎lead ‎to‏ ‎significant ‎security‏ ‎breaches, ‎emphasizing ‎the ‎need ‎for‏ ‎robust‏ ‎security ‎measures‏ ‎in ‎network‏ ‎configurations ‎and ‎certificate ‎handling ‎processes.

📌WSUS‏ ‎Configuration‏ ‎and‏ ‎Vulnerability: ‎The‏ ‎article ‎details‏ ‎how ‎a‏ ‎Windows‏ ‎Server ‎Update‏ ‎Services ‎(WSUS) ‎server, ‎configured ‎to‏ ‎work ‎over‏ ‎HTTP,‏ ‎can ‎be ‎exploited.‏ ‎The ‎WSUS‏ ‎server’s ‎protocol ‎configuration ‎is‏ ‎accessible‏ ‎by ‎querying‏ ‎a ‎specific‏ ‎registry ‎key. ‎This ‎setup ‎allows‏ ‎for‏ ‎the ‎potential‏ ‎sniffing ‎of‏ ‎traffic ‎using ‎tools ‎like ‎Wireshark,‏ ‎which‏ ‎can‏ ‎capture ‎the‏ ‎communication ‎between‏ ‎clients ‎and‏ ‎the‏ ‎WSUS ‎server.

📌MITM‏ ‎Attack ‎Execution: ‎The ‎core ‎of‏ ‎the ‎attack‏ ‎involves‏ ‎a ‎Man-in-the-Middle ‎(MITM)‏ ‎approach ‎where‏ ‎an ‎attacker ‎intercepts ‎and‏ ‎relays‏ ‎requests ‎from‏ ‎a ‎client‏ ‎machine ‎to ‎the ‎WSUS ‎server.‏ ‎During‏ ‎this ‎process,‏ ‎the ‎attacker‏ ‎can ‎manipulate ‎the ‎communication ‎to‏ ‎redirect‏ ‎requests‏ ‎to ‎a‏ ‎rogue ‎server‏ ‎or ‎manipulate‏ ‎the‏ ‎responses.

📌ADCS ‎ESC8‏ ‎Exploit: ‎The ‎intercepted ‎communication ‎is‏ ‎then ‎used‏ ‎to‏ ‎facilitate ‎an ‎Active‏ ‎Directory ‎Certificate‏ ‎Services ‎(ADCS) ‎ESC8 ‎attack.‏ ‎This‏ ‎involves ‎relaying‏ ‎the ‎intercepted‏ ‎requests ‎to ‎a ‎Certificate ‎Authority‏ ‎web‏ ‎enrollment ‎page‏ ‎to ‎request‏ ‎a ‎certificate ‎using ‎a ‎compromised‏ ‎computer’s‏ ‎credentials.‏ ‎Successfully ‎executing‏ ‎this ‎attack‏ ‎can ‎allow‏ ‎the‏ ‎attacker ‎to‏ ‎obtain ‎unauthorized ‎certificates ‎that ‎can‏ ‎be ‎used‏ ‎for‏ ‎further ‎attacks ‎within‏ ‎the ‎network.

📌Toolset: PKINITtools‏ ‎and ‎scripts ‎for ‎manipulating‏ ‎Kerberos‏ ‎tickets ‎and‏ ‎exporting ‎them‏ ‎for ‎use ‎in ‎the ‎attack‏ ‎help‏ ‎in ‎extracting‏ ‎and ‎utilizing‏ ‎the ‎credentials ‎from ‎the ‎intercepted‏ ‎traffic‏ ‎to‏ ‎authenticate ‎against‏ ‎the ‎ADCS‏ ‎and ‎request‏ ‎certificates.

📌Security‏ ‎Implications ‎and‏ ‎Recommendations: The ‎attack ‎demonstrates ‎a ‎significant‏ ‎security ‎risk‏ ‎in‏ ‎using ‎unsecured ‎protocols‏ ‎(HTTP) ‎for‏ ‎critical ‎infrastructure ‎like ‎WSUS‏ ‎and‏ ‎ADCS. ‎The‏ ‎article ‎suggests‏ ‎that ‎securing ‎these ‎communications ‎using‏ ‎HTTPS‏ ‎and ‎implementing‏ ‎strict ‎access‏ ‎controls ‎and ‎monitoring ‎could ‎mitigate‏ ‎such‏ ‎attacks.

Обновления проекта

Метки

хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов

Фильтры

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048