Fsecurity | HH

В Chrome устранено 429 уязвимостей, а в Android - 124 🔗Ссылка: https://opennet.me/65624/

Обмани себя: мошенники в TikTok предлагают взломать чужие аккаунты Roblox и угоняют учётные записи «хакеров» 🔗Ссылка: https://www.f6.ru/media-center/press-releases/hack-roblox/

Редкие техники закрепления. Часть 2 Читайте также про: Zabbix Agent, TimeProvider. 3️⃣ COM Hijacking Для закрепления в инфраструктуре злоумышленники использовали редкую технику Component Object Model Hijacking (перехват COM-объектов). Суть метода — не в прямой подмене DLL системного сервиса (что легко обнаруживается), а в манипуляции структурой реестра Component Object Model. Атакующие создают собственный COM-объект, указывающий на вредоносную библиотеку, и перенаправляют на него вызовы доверенных системных компонентов через легитимный механизм совместимости. Ключевым элементом атаки выступает раздел реестра TreatAs, изначально предназначенный для прозрачного перенаправления запросов с одного COM-объекта на другой. Злоумышленники находят системный CLSID, обращение к которому происходит регулярно и незаметно, и подменяют его обработку на свой объект. Особый интерес представляет COM-объект Network List Manager с идентификатором {DCB00C01-570F-4A9B-8D69-199FDBA5723B}, отвечающий за управление сетевыми профилями (netprofm). Обращения к нему происходят при каждой смене сетевого подключения, запуске диагностики сети и старте операционной системы. Злоумышленники модифицируют ветку: HKLM\Software\Classes\CLSID{DCB00C01-570F-4A9B-8D69-199FDBA5723B}\TreatAs, прописывая в значении по умолчанию CLSID своего вредоносного COM-объекта. В результате при работе с сетевыми профилями система автоматически перенаправляет вызов и загружает вредоносную DLL, размещенную по пути %systemroot%\system32\netprofmaaa.dll (имя мимикрирует под оригинальную netprofm.dll). ❗️ Требования к DLL: библиотека должна быть полноценным COM-сервером, реализующим все интерфейсы, ожидаемые от подменяемого объекта Network List Manager, и корректно экспортировать стандартные функции (скриншот 2): DllGetClassObject(), DllCanUnloadNow(), DllRegisterServer() и DllUnregisterServer(). При вызове DllGetClassObject() она должна возвращать фабрику классов, способную создавать экземпляры объекта с ожидаемыми интерфейсами (включая INetworkListManager). Это необходимо для безаварийной работы вызывающих процессов и сохранения скрытности — в противном случае приложения, обращающиеся к сетевому менеджеру, будут аварийно завершаться и демаскировать присутствие вредоносного кода. Продолжение будет в следующих постах 🙂 #ir #dfir #tips @ptescalator

Всем хак! Обновил Obsidian Pentest Если репозиторий был полезен, поставьте ⭐ Также вернул тег сервера в Discord, теперь можете ставить!

C2 в клеточку GRIDTIDE и искусство прятать шпионаж в Google Sheets. 😃 GRIDTIDE - новый бэкдор на C, который Mandiant и Google Threat Intelligence Group приписывают предполагаемой китайской группе UNC2814, отслеживаемой с 2017 года. Кампания затронула как минимум 53 организации в 42 странах (с учётом подозрительной активности - более 70) из секторов телекома и госуправления по Африке, Азии и Америке. Изюминка - C2-канал: вместо привычной инфраструктуры малварь абьюзит легитимный Google Sheets API, превращая обычную таблицу в канал связи. Ячейки получают роли - A1 опрашивает команды оператора и перезаписывается статусами, A2–An передают вывод и файлы, V1 хранит системные данные хоста; весь трафик кодируется URL-safe Base64 для обхода веб-фильтров. Для периметра это неотличимо от штатной работы с облаком - и это не эксплойт уязвимости Google, а злоупотребление штатной функциональностью. По кейсу Mandiant первой зацепкой стала подозрительная активность на сервере CentOS: дальше UNC2814 двигались через SSH под сервисной учёткой и LOLBins, закреплялись вредоносным systemd-сервисом (/etc/systemd/system/xapt.service, бинарь в /usr/sbin/xapt) и поднимали SoftEther VPN Bridge для исходящего шифрованного туннеля. Бэкдор ставился прицельно на хосты с PII, логами звонков и метаданными коммуникаций, что укладывается в слежку за «лицами интереса», хотя подтверждённой эксфильтрации Google не зафиксировал. В ответ GTIG завершили все облачные проекты атакующего, отключили инфраструктуру, отозвали доступ к Sheets API и опубликовали IOC по инфраструктуре, активной минимум с 2023 года. 🔗 https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign 🦔THF

🔗Ссылка: https://github.com/ly4k/Certipy

В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE не назначен), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4. 🔗Ссылка: https://opennet.me/65615/

🔗Ссылка: https://codeby.net/threads/lateral-movement-cherez-doverennyye-uchetnyye-zapisi-pochemu-edr-molchit-pri-validnykh-credentials.92918/

Создание локальных боксов Vagrant для GOAD Написал заметку по созданию локальных боксов Vagrant. Возможно будет полезна для тех кто испытывает затруднения с выкачиванием образов из Интернета. Приятного чтения!

🔗Ссылка: https://habr.com/ru/companies/cloud4y/articles/1043478/

🔗Ссылка: https://habr.com/ru/articles/1041620/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/kaspersky/articles/1042288/

Одна из главных тем в ИБ-новостях последних дней — противостояние корпорации Microsoft и анонимного исследователя Nightmare Eclipse, который за два месяца опубликовал уже шесть серьёзных эксплойтов для Windows. Самый неприятный из них — MiniPlasma — с апреля используется в реальных атаках. Официального патча пока нет. Как это работает: Эксплоит основан на CVE-2020-17103 — уязвимости локального повышения привилегий в драйвере Windows Cloud Files Mini Filter Driver (cldflt.sys). Уязвимость была обнаружена ещё в 2020 году, и считалась уже закрытой. Однако Nightmare Eclipse показал, что она работает до сих пор, позволяя локальному пользователю поднять права до SYSTEM. cldflt.sys — это системный драйвер, который реализует Cloud Files API (CFAPI) и используется для работы placeholder-файлов и механизмов синхронизации, включая OneDrive Files On-Demand. Для взаимодействия с драйвером эксплойт использует недокументированный API CfAbortHydration, предназначенный для прерывания проверки облачного файла. Этот API, в свою очередь, вызывает внутреннюю функцию драйвера cldflt!HsmOsBlockPlaceholderAccess, которая по своей логике должна блокировать доступ к облачному файлу путём создания соответствующего служебного ключа в реестре. Функция HsmOsBlockPlaceholderAccess выполняется в контексте привилегированного драйвера, но не проверяет, имеет ли вызывающий процесс права на запись в целевую ветку реестра. В результате эксплойт получает возможность создать произвольный ключ реестра в системной области HKEY_USERS\.DEFAULT, куда обычный пользователь не имеет доступа на запись. MiniPlasma создаёт в ветке HKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps не обычный ключ, а символическую ссылку (registry symbolic link). Эта ссылка перенаправляет на другую область реестра — \Registry\User\.DEFAULT\Volatile Environment, которая содержит временные переменные окружения для системного профиля. Через созданную символическую ссылку эксплойт изменяет значение переменной windir в Volatile Environment с C:\Windows на путь, контролируемый атакующим, например C:\Users\Public\FakeSystem (текущая директория + system32\wermgr.exe). В указанную атакующим директорию предварительно помещается поддельный исполняемый файл wermgr.exe. Далее эксплойт обращается к планировщику задач Windows и активирует встроенную задачу \Microsoft\Windows\Windows Error Reporting\QueueReporting. Эта задача настроена на запуск с правами SYSTEM и по умолчанию выполняет команду %windir%\system32\wermgr.exe. Благодаря ранее изменённой переменной windir система подставляет подконтрольный атакующему путь, и вместо легитимного системного файла запускается поддельный wermgr.exe — но уже с привилегиями NT AUTHORITY\SYSTEM (см. скриншот выше). Как детектировать атаку: 1. Отслеживайте создание SymbolLinks в ветке HKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps:

 category: registry_set 
    product: windows 
detection: 
    selection: 
        TargetObject|contains: 'Policies\Microsoft\CloudFiles\BlockedApps' 
        Details: 'SymbolicLinkValue' 
    condition: selection 

2. Отслеживайте появление wermgr.exe вне стандартных путей:

category: process_creation 
    product: windows 
detection: 
    selection: 
        TargetFilename|endswith: '\wermgr.exe' 
    filter_system_locations: 
        TargetFilename|startswith: 
            - 'C:\Windows\System32\' 
            - 'C:\Windows\SysWOW64\' 
            - 'C:\Windows\WinSxS\' 
            - 'C:\Windows\servicing\' 
            - 'C:\$WINDOWS.~BT\' 
            - 'C:\Windows\SoftwareDistribution\' 
    condition: selection and not filter_system_locations 

3. Отслеживайте запуск системных бинарников или их имитаций из нестандартных директорий. 4. Данный PoC использует библиотеку .NET NtApiDotNet исcледователя James Forshaw для работы с реестровыми Native API, что также является индикатором.

🔗Ссылка: https://habr.com/ru/articles/1037106/

#КиберМем ⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Злоумышленники начали активно использовать критическую уязвимость в одном из ключевых компонентов Windows Server спустя всего несколько недель после выхода исправления. Проблема затрагивает службу Netlogon, которая отвечает за проверку подлинности пользователей и сервисов в корпоративных сетях. Учитывая широкое распространение Netlogon, новый вектор атак может представлять серьёзную угрозу для организаций по всему миру. 🔗Ссылка: https://www.securitylab.ru/news/573263.php

ssh-keysign-pwn — CVE-2026-46333 A critical race condition flaw in pre-31e62c2ebbfd Linux kernels. Due to a window during process exit where the memory management structure is cleared before file descriptors are closed, an unprivileged user can use pidfd_getfd(2) to steal open file descriptors of privileged processes, enabling unauthorized reading of root-owned files. 🔗 Exploit: https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn 🔗 Source: https://blog.qualys.com/vulnerabilities-threat-research/2026/05/20/cve-2026-46333-local-root-privilege-escalation-and-credential-disclosure-in-the-linux-kernel-ptrace-path #linux #kernel #privesc #racecondition #pidfd

🔗Ссылка: https://gist.github.com/Vendicated/bb30cb67878fa682bcee140f56af1531

⚠️ Включил отладку по Wi-Fi — получил Mamont В начале мая на устройствах Android была обнаружена уязвимость CVE-2026-0073, которая позволяет удаленно выполнять команды на мобильном устройстве без подтверждения со стороны пользователя. Уязвимы устройства с Android 11 и выше, на которых включена функция отладки по Wi-Fi. Функция отладки по Wi-Fi является легитимной — она позволяет подключаться к мобильному устройству для установки, тестирования приложений и создания резервных копий (скриншот 1). Для использования этой функции необходимо осуществить сопряжение с ПК и подтвердить доверенные связи. CVE-2026-0073 дает возможность пропустить этап подтверждения связей и сразу взаимодействовать с устройством. 🧐 Мы решили изучить, как далеко может зайти злоумышленник при эксплуатации данной CVE. Схема заражения устройства: 1️⃣ Пользователь с включенной отладкой по Wi-Fi подключается к незащищенной Wi-Fi-сети. 2️⃣ Злоумышленник, находясь в этой же сети, сканирует ее на наличие адресов с открытыми портами для отладки по ADB (скриншот 2). 3️⃣ Проэксплуатировав CVE-2026-0073, злоумышленник получает доступ к командной строке мобильного устройства и может выполнять различные команды на устройстве (скриншот 3): ➖ получать доступ к спискам контактов, звонков, SMS-сообщений и установленных приложений; ➖ удалять и устанавливать приложения без ведома пользователя; ➖ повышать привилегии установленного приложения, выдав ему специальные разрешения на устройстве: специальные возможности (Accessibility Services) и доступ к уведомлениям (Notification Access). Получив необходимые данные, злоумышленник может удалить легитимное приложение на устройстве и заменить его на приложение с вредоносными функциями (скриншот 4). 4️⃣ Происходит кража пользовательских данных и их отправка на серверы злоумышленников. Почему так происходит? 1️⃣ Уязвимость находится в демоне Android Debug Bridge — adbd: в функции проверки TLS-сертификатов adbd_tls_verify_cert в auth.cpp. 2️⃣ Атака затрагивает режим Wireless Debugging / ADB-over-TCP, где подключение между ПК и устройством строится через mutual TLS: Android проверяет клиентский сертификат подключающегося хоста. 3️⃣ В нормальном режиме adbd сравнивает публичный ключ сертификата клиента с ранее доверенным ключом, сохраненным после ADB pairing. 4️⃣ Ошибка возникает из-за неправильной обработки результата функции EVP_PKEY_cmp: код считает любое ненулевое значение успешным совпадением ключа. 5️⃣ Злоумышленник подменяет TLS-сертификат, используя ключ другого типа (например, EC/Ed25519 вместо RSA). В таком случае EVP_PKEY_cmp возвращает -1 («разные типы ключей»), но уязвимый код воспринимает это как успешную проверку. 6️⃣ Происходит обход mutual TLS-аутентификации: adbd ошибочно считает атакующего доверенным ADB-хостом. 7️⃣ После обхода проверки атакующий получает удаленный доступ к ADB shell без взаимодействия с пользователем устройства. Для успешной эксплуатации уязвимости необходимо, чтобы устройство хотя бы раз подключалось к какому-либо хосту и в списке доверенных устройств хранился хотя бы один публичный ключ. 🛠 Как защитить ваши устройства: 1️⃣ Выключайте функцию отладки по Wi-Fi, когда она не используется. Ввиду особенности эксплуатации CVE-2026-0073 подвержены только устройства с включенной отладкой по Wi-Fi. Эта функция по умолчанию выключена, поэтому у обычных пользователей риск минимален. 2️⃣ Не включайте отладку по Wi-Fi в недоверенных сетях. 3️⃣ Устанавливайте обновления ОС на постоянной основе: патчи безопасности за май 2026 уже доступны на многих устройствах. 4️⃣ Настройте безопасность рабочей и личной Wi-Fi-сети: изолируйте клиентов и заблокируйте доступ по недоверенным портам. 5️⃣ Будьте внимательны к уведомлениям, которые приходят на ваше устройство. При подключении к отладке по Wi-Fi на экране устройства появляется уведомление о подключении стороннего устройства (скриншот 5). Внимание к деталям сделает ваши устройства безопаснее. #dfir #mobile #android #CVE @ptescalator