#Microsoft Defender for Endpoint
ماکروسافت هم وارد عرصه محصولات Endpoint Security شده و بسیاری از آسیب پذیری های عمومی و تکنیک های مورد استفاده تیم های APT رو پوشش میده, میشه گفت ویژگی های این محصول رفتار شناسی دقیقش هستش که بر پایه مستندات MITRE ATT&CK کار میکنه, از این روی از این پس پیاده سازی بسیاری از تکنیک ها بر روی سیستم عامل های ویندوز سختر خواهد شد,
این محصول متمایز تر از محصولات دیگس چرا که طراحش خود ماکروسافت هستش, ویژگی های دیگه این محصول:
راه حل امنیتی نهایی و جامع ارائه شده توسط ابره که شامل مدیریت و ارزیابی آسیب پذیری مبتنی بر ریسک، کاهش سطح حمله، حفاظت نسل بعدی مبتنی بر رفتار و ابر، تشخیص و پاسخ به نقطه پایان (EDR)، تحقیق و اصلاح خودکار، خدمات شکار مدیریت شده، API های غنی و مدیریت امنیت یکپارچه خواهد بود...
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
@Unk9vvN
ماکروسافت هم وارد عرصه محصولات Endpoint Security شده و بسیاری از آسیب پذیری های عمومی و تکنیک های مورد استفاده تیم های APT رو پوشش میده, میشه گفت ویژگی های این محصول رفتار شناسی دقیقش هستش که بر پایه مستندات MITRE ATT&CK کار میکنه, از این روی از این پس پیاده سازی بسیاری از تکنیک ها بر روی سیستم عامل های ویندوز سختر خواهد شد,
این محصول متمایز تر از محصولات دیگس چرا که طراحش خود ماکروسافت هستش, ویژگی های دیگه این محصول:
راه حل امنیتی نهایی و جامع ارائه شده توسط ابره که شامل مدیریت و ارزیابی آسیب پذیری مبتنی بر ریسک، کاهش سطح حمله، حفاظت نسل بعدی مبتنی بر رفتار و ابر، تشخیص و پاسخ به نقطه پایان (EDR)، تحقیق و اصلاح خودکار، خدمات شکار مدیریت شده، API های غنی و مدیریت امنیت یکپارچه خواهد بود...
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
@Unk9vvN
#Microsoft #Cybersecurity #Reference #Architectures (MCRA)
معماری امنیتی که شرکت مایکروسافت ارائه داده هم در راستای پوشش فضاهای ابری خودش بوده و هم زنجیره حملاتی که در هر مرحله تیم های قرمز طرح ریزی میکنند رو Coverage کنه، از این روی معماری بسیار مفیدی هستش،
همینطور در بخش IT Operations میبینیم که مؤلفه هایی استفاده شده که در سه بخش متمرکز شده است اول Endpoint Security دوم مکانیزم های Mitigations و دیگری Network Security است که منابع مورد نیاز شکارچیات تهدید خواهد بود.
سرویس Zero Trust User Access که برای تصدیق دسترسی کاربران و سطح دسترسی اونها به سرویس های درون سازمانی، بحث مدیریت ریسک ها و قوانین مدیریتی هم از موارد دیگه مدیریت اطلاعات و دیگر مواردی که در تصاویر مشخص هستش...
@Unk9vvN
معماری امنیتی که شرکت مایکروسافت ارائه داده هم در راستای پوشش فضاهای ابری خودش بوده و هم زنجیره حملاتی که در هر مرحله تیم های قرمز طرح ریزی میکنند رو Coverage کنه، از این روی معماری بسیار مفیدی هستش،
همینطور در بخش IT Operations میبینیم که مؤلفه هایی استفاده شده که در سه بخش متمرکز شده است اول Endpoint Security دوم مکانیزم های Mitigations و دیگری Network Security است که منابع مورد نیاز شکارچیات تهدید خواهد بود.
سرویس Zero Trust User Access که برای تصدیق دسترسی کاربران و سطح دسترسی اونها به سرویس های درون سازمانی، بحث مدیریت ریسک ها و قوانین مدیریتی هم از موارد دیگه مدیریت اطلاعات و دیگر مواردی که در تصاویر مشخص هستش...
@Unk9vvN
#Bug #Hunting #Microsoft #WebServices
دو سه سالی هست که کشف آسیب پذیری از وبسرویس های مایکروسافتی شدت گرفته و شکارچیان باگ تمرکز خود را روی این سرویس ها گزاشته اند،
توی یکی از Present های BlackHat 2020 هم یکی از محققین معروف حوزه وب یعنی pwntester به این موضوع پرداخته و روش های Escaping و آسیب پذیری های رخ داده رو مطرح کرده،
از آسیب پذیری TOCTOU در خصوص Validate کردن Input ها و Regex های طراحی شده، مطرح شده تا امکان Markup کردن یک تزریق تابع Eval که منجر به دسترسی write خواهد شد،
جالبه که آسیب پذیری هایی مانند Server Side Include هم رخ داده و Endpoint مربوط به API وبسرویس Sharepoint دارای همچین آسیب پذیری بوده،
یک نکته جالب دیگه اینکه آسیب پذیری های این تیپی بعد از گزارش و Patch کردن آسیب پذیری بدست مایکروسافت، دیده شده که باز هم Patch دور زده شده و آسیب پذیری دوباره Trigger شده است...
Reference
@Unk9vvN
دو سه سالی هست که کشف آسیب پذیری از وبسرویس های مایکروسافتی شدت گرفته و شکارچیان باگ تمرکز خود را روی این سرویس ها گزاشته اند،
توی یکی از Present های BlackHat 2020 هم یکی از محققین معروف حوزه وب یعنی pwntester به این موضوع پرداخته و روش های Escaping و آسیب پذیری های رخ داده رو مطرح کرده،
از آسیب پذیری TOCTOU در خصوص Validate کردن Input ها و Regex های طراحی شده، مطرح شده تا امکان Markup کردن یک تزریق تابع Eval که منجر به دسترسی write خواهد شد،
جالبه که آسیب پذیری هایی مانند Server Side Include هم رخ داده و Endpoint مربوط به API وبسرویس Sharepoint دارای همچین آسیب پذیری بوده،
یک نکته جالب دیگه اینکه آسیب پذیری های این تیپی بعد از گزارش و Patch کردن آسیب پذیری بدست مایکروسافت، دیده شده که باز هم Patch دور زده شده و آسیب پذیری دوباره Trigger شده است...
Reference
@Unk9vvN
#Microsoft #Exchange #Vulnerabilites
اخیرا یک ارائه ای از محققی با نام Orange Tsai در کنفرانس Blackhat 2021 منتشر شده که آسیب پذیری ProxyLogon و Proxyshell و ProxyOracle رو معرفی میکنه
از اونجا که سرویس دهنده Exchange در سازمان های دولتی بسیار زیاد استفاده میشه این آسیب پذیری ها میتونن مهم باشن، در تصویر 0 ساختمان ارتباط FrontEnd با BackEnd این سرویس دهنده دیده میشه که یک ماژول درونی به نام HTTP Proxy Module مامور انتقال درخواست ها به BackEnd سرویس هستش
در تصویر 1 فرایند تکامل سرویس ها را میبینید که در نسخه های 2016/2019 ماژولی با نام Client Access Service اضافه شده که در تصویر 2 فرایند ارتباط این CAS با BackEnd مشخصه، و نشون میده که Request ها قراره HTTP Proxy بشه به BackEnd
در تصویر ۳ فرایند این Proxying درخواست هارو مشاهده میکنید که خب از Header و Cookie ها کپی گرفته میشه و در قسمت Proxy Section فرایند Authenticate و Authotize درخواست اتفاق می افته
در تصویر 4 آسیب پذیری SSRF رو میبینیم که بر روی یکی از هدر های تنظیم شده CAS وجود داره و همین موجب اولین قدم رخداد حمله خواهد بود.
@Unk9vvN
اخیرا یک ارائه ای از محققی با نام Orange Tsai در کنفرانس Blackhat 2021 منتشر شده که آسیب پذیری ProxyLogon و Proxyshell و ProxyOracle رو معرفی میکنه
از اونجا که سرویس دهنده Exchange در سازمان های دولتی بسیار زیاد استفاده میشه این آسیب پذیری ها میتونن مهم باشن، در تصویر 0 ساختمان ارتباط FrontEnd با BackEnd این سرویس دهنده دیده میشه که یک ماژول درونی به نام HTTP Proxy Module مامور انتقال درخواست ها به BackEnd سرویس هستش
در تصویر 1 فرایند تکامل سرویس ها را میبینید که در نسخه های 2016/2019 ماژولی با نام Client Access Service اضافه شده که در تصویر 2 فرایند ارتباط این CAS با BackEnd مشخصه، و نشون میده که Request ها قراره HTTP Proxy بشه به BackEnd
در تصویر ۳ فرایند این Proxying درخواست هارو مشاهده میکنید که خب از Header و Cookie ها کپی گرفته میشه و در قسمت Proxy Section فرایند Authenticate و Authotize درخواست اتفاق می افته
در تصویر 4 آسیب پذیری SSRF رو میبینیم که بر روی یکی از هدر های تنظیم شده CAS وجود داره و همین موجب اولین قدم رخداد حمله خواهد بود.
@Unk9vvN
#Microsoft #Threat #Intelligence #Iranian #APTs
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
#Microsoft #Exchange #Zeroday
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه
@Unk9vvN
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه
System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.@Unk9vvN