Nord Nord Sec #5

Red Teaming in der Cloud, Kyivstar-Saga, Ivanti 0days, Headbanging und Recon Workflows

Nord Nord Sec #5

Herzlich willkommen in einer neuen Woche. Ich hoffe ihr seid gut gestartet und seid bereit für neuen Input. Heute dabei: Die neuen Herausforderungen für Red Teamer wenn immer mehr Unternehmen in “die cloud” 🧙‍♂️ migrieren. Ausserdem gibt es neues vom Ukrainischen Telefonanbieter Kyivstart bzw. rund um den Hack des besagten Unternehmens. Ausserdem mit dabei: Ivanti Zero Days die aktiv exploited werden, ein big money pwn2own Exploit und ein Data Breach beim beliebten Notebook-Hersteller framework.

❗️ Bevor wir rein gehen: Wenn Ihr Feedback habt - meldet euch! Gerne auch direkt mit konkreten Wunschthemen oder ähnlichem.

Text

  • ☁️ Red Teaming in der Cloud hat im Vergleich zum traditionellen Red Teaming in On-Premise-Umgebungen besondere Spezialgebiete. Das Hauptziel beim Red Teaming in der Cloud ist es, Identitäten wie Benutzerkonten oder Service Principals zu kompromittieren, anstatt Malware auszurollen. Der Fokus liegt hier darauf, Zugriffstoken oder Anmeldeinformationen zu kompromittieren, um Privilegienerweiterung und Persistenz durch die kompromittierten Cloud-basierten Identitäten und ihre Berechtigungen zu erreichen. Elementar sind dabei oft APIs, wie der Microsoft Graph API für die Aufklärung.
    On-Prem Red Teaming ist ein Feld, auf dem bereits viel bekannt ist - in der Cloud gibt es noch zahllose unentdeckte Möglichkeiten des Angriffs.

  • 🇺🇦 Rache für Kyivstar Ukrainische Hacker haben angeblich einen Moskauer Internetanbieter infiltriert und rund 20TB interner Daten gelöscht. Zusätzlich sind Daten exfiltriert und veröffentlicht worden. Verantwortlich dafür sei die Hackergruppe Blackjack, die mit dem Ukrainischen Sicherheitsdienst SBU in Verbindung gebracht wird.

  • ⚡️ Ivanti 0-Days aktiv genutzt Ivanti Connect Secure und Ivanti Policy Secure weisen zwei schwerwiegende Zero-Day-Sicherheitslücken auf, die es Angreifern ermöglichen, die Kontrolle über die betroffenen Geräte zu erlangen. Diese Schwachstellen, identifiziert als CVE-2023-46805 und CVE-2024-21887, erlauben es Angreifern, die Authentifizierung zu umgehen und unautorisierte Befehle in Webkomponenten einzuschleusen. Ivanti hat bisher keine Patches bereitgestellt, empfiehlt aber den Einsatz externer Integritätsprüfungen (ICT) als vorläufige Gegenmaßnahme.
    Die Researcher bei Volexity ordnen die exploitation der CVEs aktuell einem chinesischen APT zu.
    Solltet ihr die Teile einsetzen - und könnt darauf verzichten: Schaltet die Dinger ab, veranlasst eine Forensik um sicherzustellen, das ihr keine ungebetenen Gäste im Netz habt und wartet auf Patches.

  • 🇺🇸 Die US Behörde CISA hat ihren Katalog an bekannten ausgenutzten Exploits um eine Sharepoint-CVE erweitert: CVE-2023-29357 wird wohl aktiv genutzt. Der Exploit wurde auf der pwn2own Vancouver erfolgreich demonstriert - und hat den Researchern satte 100.000$ in die Taschen gespült💪 

  • 🤖 Der beliebte Notebook-Hersteller Framework ist wohl indirekt - über einen Dienstleister - Opfer eines Phishing Angriffs geworden und hat Kundendaten verloren. Laut eines Posts im Community Forum ist sind Name, Emailadresse und die offene Rechnungssumme abgeflossen.
    Falls ihr betroffen seid und in nächster Zeit Emails bekommt, könnt Ihr euch an den Support wenden und euch die Echtheit der Nachrichten bestätigen lassen.

  • 🍏 Mac User aufgepasst: Atomic Stealer ist nach wie vor aktiv! Atomic Stealer wurde nach Beobachtung der Sicherheitsforscher von Malwarebytes im Dezember aktualisiert - und für schlanke 3.000$/Monat verliehen. Das Weihnachtsangebot von 2.000$/Monat hat vermutlich noch einige Akteure mehr auf den Plan gerufen.

  • 🕵️‍♀️ Linux for OSINT Ein Kostenloser Kurs zum selbst-durcharbeiten. Um eine der grossen Hürden für Einsteiger zu beseitigen, wird für die ersten 20 von 21 Tagen auch keine laufende Linux-Installation benötigt. Falls dich das also bisher abgehalten hat in die Welt der Open Source Intelligence (OSINT) einzusteigen - let’s go.

  • 📧 WordPress Post SMTP Mailer Plugin wird aktiv exploited. Wenn ihr ein WordPress betreibt und dieses Plugin nutzt - geht davon aus, das ihr gebreached werdet, wenn ihr nicht schnellstmöglich den Patch einspielt. Das Plugin hat über 300.000 aktive Installationen und ist das meistgenutzte Mail-Plugin für Wordpress.

Video

  • Bug Bounty/Pentest Recon mit bash und vim STÖK und TomNomNom zeigen exemplarisch, wie man mit Linux Bordmitteln und einer Hand voll CLI tools struktur ins Datenchaos der ersten Aufklärungsarbeit bringen kann.

  • Codingos Recon Workflow Sieht so aus, als ob Ich in die Recon-Bubble gefallen bin (mal wieder…) - Ein weiterer Ansatz inklusive Tools, wie man sich Überblick über ein Ziel verschafft.

  • 37C3 SMTP Smuggling - Spoofing Emails Worldwide Präsentation von Timo Longin, über seinen Research zum Simple Mail Transfer Protocol. Das ganze gibt’s auch als Text im SEC Consult blog.

Tools und Co.

  • bridgecrewio/terragoat Ein Repository voll absichtlich verwundbarer Terraform Konfigurationen. Eine super gelegenheit, sich einmal anzusehen wie es nicht sein sollte - und das dann in Prod vermeiden. Auch eine super Möglichkeit, die eigenen Tools auf Funktion und falsch-positive zu testen.

  • wagoodman/dive Ein Tool um sich gebaute Docker Container en Detail anzusehen, die Layer zu untersuchen und sogar Möglichkeiten zu finden, wie man die Grösse weiter reduzieren kann.

  • center-for-threat-informed-defense/adversary_emulation_library Eine Möglichkeit, verschiedene Angriffe analog zu bekannten APT Crews zu emulieren und die eigenen Detections zu prüfen.

  • the-login/smtp-smuggling-tools Die Tools aus dem Vortrag von Timo Longin.

Zum schmunzeln..

  • 🤘 Kopf- und Nackenverletzungsrisiko durch Headbangen Ein Paper mit Lösungsvorschlägen, wie das nächste Konzert nicht das potenziell letzte wird. Und der Morgen danach vielleicht auch angenehmer wird. Tip: Mögliche Maßnahmen zur Verringerung des Verletzungsrisikos durch Kopfstöße sind die Einschränkung des Bewegungsbereichs des Nackens durch ein formelles Trainingsprogramm, das vor einem Konzert durchgeführt wird.

Das Zitat für diese Woche basiert diese Woche auf dem Buch, das ich aktuell lese. Und zwar das aktuelle Buch von Kim Stanley Robinson: The Ministry for the Future. Eine “CliFi” Novel - also Climate Fiction. Ich bin aktuell bei ungefähr 25% und es gefällt mir sehr gut. So gut einem eben ein Buch gefallen kann, das sich mit dem Klima auf der Erde beschäftigt, wenn es sich so weiter entwickelt wie es bisher aussieht. ¯\ (ツ) 

In einer intensiven Szene resümiert jemand, dass man absolut Furchtlos agieren kann, wenn man nichts mehr fürchtet und nichts mehr zu verlieren hat.

He who is without hope is also without fear.

Arthur Schopenhauer

Falls das zu düster ist und ihr Hard-SciFi mögt - die Red Mars Trilogie von Kim Stanley Robinson ist definitiv auch einen oder zwei Lese-Durchgänge wert. Und bietet quasi die alternative zu einer unbewohnbaren Erde an: Ein Mars der durch Terraforming bewohnbar gemacht wurde.

Cheers,

Martin