#WSUS Unauthenticated #RCE
اخیرا یک آسیب پذیری از سرویس Windows Server Update Services که بر مبنای پورت 8530 و 8531 کار میکند، آماده از نوع Insecure Deserialization که بدون احراز هویت میتوان اجرای کد از راه دور انجام داد.
این آسیب پذیری در فرایند
که سرویس SOAP در آن فعال است و مهاجم بواسطه تعریف یک
زنجیره حمله به این صورت است که مهاجم اول یک کوکی بوایسطه GetCookie دریافت کرده و رمزنگاری AES-128-CBC رو بازگشایی کرده و مقادیر Gadget RCE از نوع
جالب آنکه این اجرای کد بواسطه Gadget RCE با سطح دسترسی SYSTEM خواهد بود و عملا Privilege Escalation نیز این وسط انجام شده است.
https://github.com/jiansiting/CVE-2025-59287
@Unk9vvN
اخیرا یک آسیب پذیری از سرویس Windows Server Update Services که بر مبنای پورت 8530 و 8531 کار میکند، آماده از نوع Insecure Deserialization که بدون احراز هویت میتوان اجرای کد از راه دور انجام داد.
این آسیب پذیری در فرایند
AuthorizationCookie قرار دارد که در نقطه انتهایی آسیب پذیر در مسیر زیر است{target}/SimpleAuthWebService/SimpleAuth.asmxکه سرویس SOAP در آن فعال است و مهاجم بواسطه تعریف یک
<UpdateID> امکان تعریف یک Shellcode بر مبنای BinaryFormatter خواهد بود در پارامتر SynchronizationUpdateErrorsKey که فرایند Deserialize در آن بصورت نا امن انجام میشود.زنجیره حمله به این صورت است که مهاجم اول یک کوکی بوایسطه GetCookie دریافت کرده و رمزنگاری AES-128-CBC رو بازگشایی کرده و مقادیر Gadget RCE از نوع
BinaryFormatter را جای گذاری و مجددا رمزنگاری را انجام داده و به نقطه انتهایی آسیب پذیر ارسال میکند.جالب آنکه این اجرای کد بواسطه Gadget RCE با سطح دسترسی SYSTEM خواهد بود و عملا Privilege Escalation نیز این وسط انجام شده است.
https://github.com/jiansiting/CVE-2025-59287
@Unk9vvN
#Mandiant #M-Trends 2025 #Report
در گزارش 2025 شرکت Mandiant نکات جالبی مطرح شده که اطلاع از آنها خالی از لطف نیست، اولین مورد این است که بیشترین حملات مداوم پیشرفته به شرکت های مالی و اقتصادی انجام شده است.
دوم: 33 درصد از روش های موفق در ایجاد دسترسی، مبتنی بر Exploit بوده و 16 درصد دزدان اطلاعات احراز هویت و 14 درصد حملات ایمیل فیشینگ.
سوم: بیشترین آسیب پذیری استفاده شده تیم ها CVE-2024-3400 و CVE-2023-46805 و CVE-2024-21887 و CVE-2023-48788 بودت است که عموم اینجا آسیب پذیری های مبتنی بر وب هستند.
چهارم: بیشترین مدل بدافزار استفاده شده BEACON که مربوط به چهارچوب Cobalt Strike است بوده و در ادامه BASTA که یک بدافزار مبتنی بر ++C بوده که از رمزنگاری ChaCha20 استفاده کرده برای رمزنگاری فایل های حساس.
پنجم: فعال ترین گروه سایبری APT44 است مرتبط با روسیه، همچنین دومین تیم فعال APT45 بوده که منتسب به کره شمالی است که به زیرساخت های مالی در سراسر جهان حمله داشته است.
ششم: از تکنیک Brute Force پروتکل هایی همچون RDP, VPN بسیار استفاده شده برای ایجاد دسترسی برای باج افزار ها.
@Unk9vvN
در گزارش 2025 شرکت Mandiant نکات جالبی مطرح شده که اطلاع از آنها خالی از لطف نیست، اولین مورد این است که بیشترین حملات مداوم پیشرفته به شرکت های مالی و اقتصادی انجام شده است.
دوم: 33 درصد از روش های موفق در ایجاد دسترسی، مبتنی بر Exploit بوده و 16 درصد دزدان اطلاعات احراز هویت و 14 درصد حملات ایمیل فیشینگ.
سوم: بیشترین آسیب پذیری استفاده شده تیم ها CVE-2024-3400 و CVE-2023-46805 و CVE-2024-21887 و CVE-2023-48788 بودت است که عموم اینجا آسیب پذیری های مبتنی بر وب هستند.
چهارم: بیشترین مدل بدافزار استفاده شده BEACON که مربوط به چهارچوب Cobalt Strike است بوده و در ادامه BASTA که یک بدافزار مبتنی بر ++C بوده که از رمزنگاری ChaCha20 استفاده کرده برای رمزنگاری فایل های حساس.
پنجم: فعال ترین گروه سایبری APT44 است مرتبط با روسیه، همچنین دومین تیم فعال APT45 بوده که منتسب به کره شمالی است که به زیرساخت های مالی در سراسر جهان حمله داشته است.
ششم: از تکنیک Brute Force پروتکل هایی همچون RDP, VPN بسیار استفاده شده برای ایجاد دسترسی برای باج افزار ها.
@Unk9vvN