Hirdetés

2021. április 21., szerda

Gyorskeresés

Hozzászólások

(#1) Fecogame


Fecogame
veterán

Miután bejutottak a célpontok levelező- és naptárszerverére, hátsó kaput telepítettek a rendszerekre...

Innentől kezdve megette az egészet, ha telepítik a patch-et, attól még az a backdoor ott marad.

Lassú a mobilinterneted? 4G/LTE antennák, közvetlenül raktárról ---> http://bit.ly/LTE_Antennak

(#2) bambano


bambano
titán

már csak az a kérdés, hogy a kínai "hackerek" miért értenek jobban az exchange-hez, mint a szerzője...

menjenek tovább, nincs itt semmi látnivaló, csak a heti orbitális ms bug, ami csak azért pénteken jött ki, mert lassan másolják a többi portált.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#3) k-adi válasza Fecogame (#1) üzenetére


k-adi
veterán

pont ezen gondolkodtam én is...? :F

(#4) anulu válasza Fecogame (#1) üzenetére


anulu
nagyúr

teljes gyalu után 0-ról újrarántani egy Exchange servert kb 2-3 óra

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#5) anulu


anulu
nagyúr

amúgy szigorúan Exchange szempontból érdekelne, hogy mégis ez így hogy. OK, kb 1,5-2 éve volt egy durva RCE, de az javítva lett.

erre az "elég ha tudod, hogy Exchange fut rajta és máris ki tudod szedni a leveleket" valaki egy sample-t tudna linkelni? bocs, de ez így ebben a formában eléggé hihetetlen.. főleg mondjuk, hogy a net felől. ugye direkt owa/ecp-t nem nyitunk ki, minimum egy ADFS vagy 2FA ADFS illik elé.

amúgy a 2019 CU8-hoz a patch olyan fantasztikus, hogy az a server amelyiken fent van és amelyiken nincs nem volt képes nálam egymással kommunikálni. amint az összesre felment, minden helyreállt. a patch telepítése 1,5 óra volt/gép, és amúgy nem egy hűdenagy valami, 160MB.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#6) sh4d0w válasza anulu (#5) üzenetére


sh4d0w
nagyúr
LOGOUT blog (1)

https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html

https://coreinfinity.tech

(#7) anulu válasza sh4d0w (#6) üzenetére


anulu
nagyúr

köszi!

azt árulja el nekem valaki, hogy az első pontot, a help.aspx-et hogyan sikerült létrehozni csak Exchange-en keresztül. amúgy ez a presence detection eléggé lol. dolgoztam már nagy és nagyobb cégeknek, de pont az ilyenek miatt soha nem a default install path-t használtuk. nem egy erős védelem de egynek jó és pénzt nem kér. C:-re csak Windows, semmi más.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#8) Fecogame válasza anulu (#7) üzenetére


Fecogame
veterán

+1

Ahogy vírusírtót sem teszünk default path-ra :)

Lassú a mobilinterneted? 4G/LTE antennák, közvetlenül raktárról ---> http://bit.ly/LTE_Antennak

(#9) VágniValó válasza anulu (#4) üzenetére


VágniValó
őstag

Nem akarok kötekedni, de ez csak akkor happy end ha neked van saját használatra egy db servered ami másokat nem érint és akkor frissítgetheted meg restartolhatod amikor csak uri kedved így tartja.

It alapvetően azok a mákosabbak, ahol a servereken nem engedélyezett az OWA elérése az internet felől.

"Fuck the Kingsguard, fuck the city....Fuck the king!" https://www.youtube.com/watch?v=B8dgoUa05H8

(#10) sh4d0w válasza anulu (#7) üzenetére


sh4d0w
nagyúr
LOGOUT blog (1)

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Két file write vulnerability is van a 4 CVE között.

https://coreinfinity.tech

(#11) anulu válasza VágniValó (#9) üzenetére


anulu
nagyúr

köszi, húztam már újra teljes nagyvállalat (10k+ mailbox) Exchange-ét úgy, hogy a userek az ég világon semimt nem vettek észre belőle :)

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#12) anulu válasza sh4d0w (#10) üzenetére


anulu
nagyúr

ok, köszi. tehát ha jól látom, akkor az egésznek az alapja, hogy úgy legyen kinyitva Exchange a nagyvilág felé, hogy elfogadjon non-trusted kapcsolatot, majd utána rá kell venni valakit, akinek a serveren van admin joga, hogy nyisson meg egy file-t.

ühümm.
a 4-ből 3 "user interaction required".

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#13) VágniValó válasza anulu (#12) üzenetére


VágniValó
őstag

Jól látod. Komplex összehozni és felhasználói interakcióra is szükség van. Egy Microsoft-os sérülékenységet sem akarok elbagatellizálni, de mindig is kilógott a lóláb az összes secus híroldalon, hogy imádják ízekre szedni a Microsoftot.

Bezzeg az érinthetetlen tökéletes Linux... most Januárban volt CVE-2021-3156 olyan szintű kuss övezte, hogy alig mutatott rá pár site, hogy a hiba a default configban volt 2011 óta. Több mint 2 hét kellett mire hivatalosan megkapta a nagyon visszafogott 7.8-as CVSS v3 score-ot, azelőtt csak a redhat mert pontot adni neki és a qualys. Pedig:
- local user-nek lehetővé tette a privilige escalation-t, azoknak is akik sudo joggal nem rendelkeztek :DDD
Szóval, oda kell mindenre figyelni, és a nagy Linux istenítésből visszavenni.

"Fuck the Kingsguard, fuck the city....Fuck the king!" https://www.youtube.com/watch?v=B8dgoUa05H8

(#14) bambano válasza VágniValó (#13) üzenetére


bambano
titán

vagy komplex összehozni a támadást, vagy nem.
a friss hír szerint nagyon sok helyen összehozták, tehát nem annyira komplex, vagy az összes exchange admin nem hozzáértő és összehozza.

az ms-t semmilyen szinten sem menti, hogy a linuxos sudo-ban találtak hibát.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#15) VágniValó válasza bambano (#14) üzenetére


VágniValó
őstag

Nem, nem menti. A kommentem arra utalt, hogy már jó ideje feltűnt a security oldalak mennyire Linux felé hajlanak, és ennek a lent említett sérülékenység -> annak a tálalása volt az egyik legfrissebb példája.

"Fuck the Kingsguard, fuck the city....Fuck the king!" https://www.youtube.com/watch?v=B8dgoUa05H8

(#16) bambano válasza VágniValó (#13) üzenetére


bambano
titán

root@szerver:~# sudo
-bash: sudo: parancs nem található

hát ezért nem érdekelt senkit az, hogy a sudoban mit kókányoltak.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#17) hcl válasza VágniValó (#15) üzenetére


hcl
félisten
LOGOUT blog

Talán mert több lehetőséged van biztonságosra faragni, tehát jobb biztonsági szakemberek egy idő után arrafelé fognak fordulni? :) Még akkor is, ha vannak hibák. (A MS cuccaiban is volt 10 évig ott levő hiba...)

Sudonak meg, ahol van is szerveren (pl. előző helyen volt), elég rendes korlátozásai voltak. Tehát ezt a hibát helyből nem tudtad volna kihasználni.

[ Szerkesztve ]

Veszek _hibás_ LCD monitort,fényképezőgépet, objektívet, routert ---- Mutogatni való hater díszpinty

Hirdetés

Copyright © 2000-2021 PROHARDVER Informatikai Kft.