Nord Nord Sec #28

Moin, Hallo und Herzlich Willkommen bei Nord Nord Sec! Es ist einfach unfassbar - wir nähern uns der dreissigsten Ausgabe. Holy Moly. Als Ich das Projekt im November 2023 gestartet habe, war ich mir ehrlich gesagt nicht sicher, ob mir das ganze nicht nach ein paar Wochen auf die Nerven geht. Well - suprise surprise, hier sind wird.

Auch diese Woche gibt es wieder eine bunte Mischung aus meinen Nachrichten-Bubbles, dem Youtube-Universum, mit einem Fokus auf GraphQL.

Also viel Spass beim lesen, kucken und zuhören.

Artikel

📁 dirDevil: Hiding Code and Content Within Folder Structures Der TrustedSec Blog entwickelt sich wirklich zu einer meiner Lieblings-Adressen für intensiven Technischen Content. Hier hat nyxgeek einen ausführlichen Einblick gegeben - und das ganz als POC implementiert - wie man persistent und ohne Dateien Daten/Code auf Rechnern platzieren kann. Dabei werden Ordner-Namen missbraucht, um enkodierte Teile der eigentlichen Payload abzulegen.

Ist eine sehr sehr interessant Technik, die bisher meines Wissens nach noch nicht von irgendwelchen APTs adaptiert wurde. Aber wenn ich irgendwann mal eine Ansammlung seltsam benannter Ordner sehe, kann ich mich hoffentlich an diesen Blog Post erinnern 🤓 

⚡️ArtiPACKED: Hacking Giants Through a Race Condition in GitHub Actions Artifacts Eine neue Schwachstelle namens ArtiPACKED in GitHub Actions könnte es Angreifenden ermöglichen, Repositorys zu übernehmen und auf Cloud-Umgebungen von Organisationen zuzugreifen. Betroffene Open-Source-Repositories von großen Anbietern wie AWS, Google und Microsoft setzen Artefakte ein, die sensible Tokens wie ACTIONS_RUNTIME_TOKEN und GITHUB_TOKEN exponieren. Diese Artefakte sind öffentlich zugänglich und können durch Misskonfigurationen und Sicherheitslücken ausgenutzt werden, um unbefugten Zugriff und potenzielle Remote Code Execution zu ermöglichen.

Video

⚡️Major Vulnerability Found in Windows Microsoft behebt neun Zero Day Schwachstellen im aktuellen Patch. Sechs davon waren wohl auch schon bekannt und wurden aktiv ausgenutzt.

Die Schwachstelle, mit der sich das Video grösstenteils befasst, ist eine Remote Code Execution Schwachstelle im Windows TCP/IP Stack mit einer CVE Score von zarten 9.8. Immerhin wurde die - scheinbar - nicht bereits aktiv ausgenutzt. Aber hier der Tipp: 💥 UPDATE 💥 

Oder falls ihr aus irgendwelchen Gründen nicht updaten könnt: Deaktiviert IPv6, denn in dem Teil des Stacks ist die Schwachstelle enthalten.

📉 GraphQL is the new PHP Interessante Präsentation von Lupin, warum er GraphQL mag (Spoiler: Er mag es nicht) und wie er vorgeht, um bestimmte Schwachstellen darin aufzudecken. Die gezeigten Schwachstellen & Tools liessen sich auch in meinem letzten Pentest mit GraphQL nachstellen bzw. einsetzen - hat sich direkt gelohnt. Auch wenn Ich GraphQL immer noch nicht mag, hat sich mein Werkzeugkasten doch ein bisschen erweitert.

Falls ihr ab und zu mit Web (Development oder Pentesting) zu tun habt, investiert die 20 Minuten und kuckt rein. Oder für eine kondensierte, textbasierte Version, hier eine 🧠 Ai-generierte Zusammenfassung.

🎁 HackTheBox - Cereal Ippsec führt wieder mit einer geradezu inspirierenden Leichtigkeit durch Cereal, und gibt dabei direkt eine kleine Einführung in GraphQL mit.

Tools und Co.

📉 doyensec/GQLSpection CLI-Tool und Python 2.7+ kompatible Bibliothek zum Parsen von GraphQL-Introspection Queries und zur automatischen Query Generierung.

🧑‍🏫 GraphQL API Vulnerabilities - Burp Academy Passend zum GraphQL Schwerpunkt, noch ein Link zur passenden Burp Academy Lektion.

Das Zitat der Woche stammt dieses mal aus dem verlinkten Talk von Lupin zu - wer hätte es gedacht - GrapQL.

Passt sehr gut zu meiner Erfahrung mit der Technologie. Wobei mich schon das complex so sehr stört, das ich’s eigentlich nicht benutzen wollen würde. I’m too old for that shit - keep it simple, stupid ¯\ (ツ) /¯

Cheers,

Martin