~/redTeam/comsvcs-lsass.dump

Prefazione Il processo LSASS (Local Security Authority Subsystem Service) è un componente fondamentale di Windows in quanto responsabile della gestione delle politiche di sicurezza locali, dell’autenticazione degli utenti e della generazione dei token di accesso. LSASS memorizza e processa informazioni critiche come le credenziali degli utenti (password o hash delle password), i certificati di sicurezza … Leggi tutto

~/docs/ips-ids.security

Preambolo La sicurezza informatica è diventata una delle priorità principali per le aziende di tutto il mondo, dato l’aumento esponenziale delle minacce online. Tra gli strumenti essenziali per proteggere le reti informatiche, troviamo i sistemi di rilevamento delle intrusioni (IDS, Intrusion Detection System) e i sistemi di prevenzione delle intrusioni (IPS, Intrusion Prevention System). Ma … Leggi tutto

MadLicense

Informazioni generali La vulnerabilità “MadLicense” è una RCE (remote code execution) pre-auth che consente agli aggressori di eseguire codice arbitrario su sistemi vulnerabili senza richiedere l’interazione dell’utente. A differenza di molte vulnerabilità RCE che richiedono una qualche forma di interazione da parte dell’utente, la vulnerabilità CVE-2024-38077 può essere sfruttata senza alcuna azione da parte dell’utente. … Leggi tutto

./cve/CVE-2024-3094/xz.wtf

Premessa Questo articolo è stato scritto in data 02-Aprile-24. Le indagini sono ancora in corso d’opera pertanto è normale che possano risultare obsolete nel breve periodo. Lo scopo di questo articolo è quello di realizzare una timeline con qualche accorgimento tecnico a quanto già presente in abbondanza in rete (in fondo le fonti dalle quali … Leggi tutto

Fortinet CVE-2024-21762

Questo è quanto si legge nelle ultime 24 ore su tutti i siti di informazione Fortinet sta avvisando gli utenti di una nuova e critica vulnerabilità di esecuzione remota di codice (RCE) in FortiOS. Questa vulnerabilità potrebbe già essere sfruttata attivamente. Se sfruttata con successo, l’esecuzione remota di codice può compromettere l’integrità di dati e … Leggi tutto

~/docs/favicon_Threat-Hunting

Premessa Gli HTTP favicon sono spesso utilizzati da bug bounty hunter e red teamer per individuare servizi fraudolenti. Sebbene l’utilizzo di favicon hash sia comune nella comunità “red”, un numero significativo di blue teamer non li utilizza affatto e questo è un peccato in quanto, tra le loro altre funzioni, possono fornirci un modo semplice … Leggi tutto

~/docs/User-Agent_Hunting

Premessa Lo User-Agent è una riga di testo che un browser o un’applicazione invia a un server web per identificarsi. In genere include il nome e la versione del browser/applicazione, il sistema operativo e la lingua. La struttura è formata da un elenco di parole chiave, con commenti facoltativi, che forniscono ulteriori dettagli. Questi token … Leggi tutto

~/log4j/kthmimu.elf

Preambolo Da qualche giorno a questa parte sto notando un incremento esponenziale da parte di threat actors di sfruttare la vulnerabilità legata a Log4J. Sebbene non vi siano stati impatti ai sistemi è bene ricordare che, un modus operandi dei gruppi criminali, consiste nello scansionare periodicamente le risorse liberamente accessibili su internet, alla ricerca di … Leggi tutto