Nord Nord Sec #31

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Woche habe ich euch ein paar Artikel mitgebracht, die sich rund um Secrets und Konfigurationen von S3 Buckets drehen - und als kleine Ergänzung bzw. einen Exkurs einen Interessanten Talk zur IT Sicherheit auf Schiffen.

Das aktuelle Ippsec Video zur “Mailer” Maschine bei HackTheBox ist dann eine schöne Gelegenheit zum entspannen und Inspirieren lassen. Wer weiss - der nächste Pentest mit einer Email-Komponente kommt bestimmt!

Artikel

🪣 Hacking misconfigured AWS S3 Buckets: A complete Guide Falsch konfigurierte S3 Buckets stellen immer noch ein großes Sicherheitsrisiko dar. Fehlerhafte Zugriffskontrollen ermöglichen es Angreifenden auf sensible Daten zuzugreifen oder schädliche Dateien hochzuladen. Die Nutzung von Tools wie S3enum oder cloud_enum kann helfen, Schwachstellen zu identifizieren, während das Testen von Berechtigungen über spezifische AWS CLI-Befehle mögliche Sicherheitslücken aufzeigt.

Dieser umfassende Leitfaden von Intigriti bietet wertvolle Einblicke in die Best Practices zur Absicherung von S3 Buckets - und wie man ein Abweichen davon feststellen kann.

🔎 What’s the worst place to leave your secrets? – Research into what happens to AWS credentials that are left in public places Eine interessante Versuchsreihe, um zu demonstrieren, wie zeigt, dass Organisationen bei der Entdeckung von geleakten Geheimnissen sofort die Schlüssel ändern und eine forensische Untersuchung einleiten sollten. Bedrohungsakteure nutzen effizient öffentliche Dienste, um Geheimnisse innerhalb von Minuten bis Stunden abzugreifen. Besonders gefährlich ist Pastebin, wo ungeschützte Einträge sofort angegriffen werden, während GitLab und Bitbucket überraschenderweise keine Zugriffsversuche aufweisen.

🔒️ Building Security from the Ground Up with Secure by Design Schönes Whitepaper von AWS in Kooperation mit SANS. Dort wird die Integration von Sicherheit in allen Phasen der Produktentwicklung, um Schwachstellen und Risiken zu minimieren betont. Dieser Ansatz fördert den Aufbau von grundlegend sicheren Produkten, was die Notwendigkeit ständiger Updates und Patches reduziert.

Die Drei Leitprinzipien, die den lesenden mitgegeben werden, helfen allen Entwickelnden, Komplexität zu vermeiden und setzen den Fokus für die Threat Modelling Sessions:

1. Bedrohungen durch Design-Entscheidungen verhindern, statt Sie im Nachhinein durch technische Massnahmen zu mitigieren.

2. Beobachten der Grenzen der Applikation: Firewalls, Landing Zones, Sourcecode, IAM Settings, um die eine Baseline zu bilden, anhand der dann Automatisierung entwickelt werden kann, die Sicher stellt, das sich unsere Applikation verhält wie gewünscht.

3. Änderungen erlauben - Es sollte immer Platz sein für individuelle Entscheidungen, solange sich diese im gesetzten Rahmen bewegen.

Wäre ja schön, wenn Sicherheit nicht erst am Ende mitgedacht werden würde… ¯\ (ツ) /¯

🗼 We Spent $20 TO Achieve RCE And Accidentally Became The Admins of .MOBI Was für ein wilder Ritt - wie eine ausgelaufene Domain nach einem WHOIS Server Umzug wieder belebt wurde und man plötzlich als der Besitzer einer TLD dastehen kann.

Das sind Stories, die könnte man sich schöner nicht ausdenken - deswegen dürft ihr das selbst lesen 😜 

Video

🚢 Cyber Security afloat or securing (very) big iron Diese Woche habe ich - irgendwie passend zu “Nord Nord Sec” - einen Talk über Maritime IT Security vom diesjährigen Easterhegg mitgebracht. Dabei bekommt ihr einen groben Überblick, über die Herausforderungen die beim Betrieb von IT und OT Systemen auf Schiffen gelöst werden müssen.

Hier findet ihr auch wieder eine kurze 🧠 KI-Zusammenfassung.

📩 HackTheBox - Mailing In diesem Video wird demonstriert, wie eine PHP-Webanwendung ausgenutzt wird, um Logindaten für einen E-Mail-Server auszuspähen, bösartige E-Mails an Benutzer zu senden und Sicherheitslücken in Windows Mail und OpenOffice auszunutzen.

Definitiv eine Interessante Exploitkette - die so oder so ähnlich sicher bei einigen Ransomware-Vorfällen der letzten Jahre ausgenutzt wurde.

Tools und Co.

🛣️ URL validation bypass cheat sheet Sehr cooles und praktisches Cheat Sheet von Portswigger, wenn man einen URL Validation bypass vermutet und auf der Suche nach der richtigen Payload ist.

Das Zitat der Woche ist dieses mal wieder aus einem Song - und passend zur kälteren Temperatur, ist der Metal wieder präsenter in meinen Playlists. Deshalb hier ein Klassiker von Catamenia - mit den ersten Zeilen packt’s mich immer wieder direkt.

Aber trotzdem hätte ich nicht unbedingt etwas dagegen, wenn es noch eine Weile warm/wärmer bleiben würde… Naja, was will man machen. Wollsocken, Warme Getränke und bald ist’s Weihnachten. Gibt schlimmeres 🎅 

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️