Just another wannabe security blog
Premessa Nel corso del tempo abbiamo parlato tanto di hardening su sistemi Windows Server, un po’ meno di quello su sistemi Linux. Come ben sappiamo il concetto di hardening indica l’insieme di operazioni mirate sulla configurazione di un dato sistema informatico (e dei suoi componenti) che mirano a minimizzare l’impatto di possibili attacchi informatici. Pertanto, … Leggi tutto
Enumeration Quando si parla di enumerazione (enumeration) si parla di tutte quelle operazioni eseguite sui sistemi atte a restiture informazioni relative al contesto per il quale si sta interrogando. Nel caso specifico di oggi parleremo di enumerazione del servizio LDAP. Event 1644 L’evento in questione registra un log sull’event viewer per ogni ricerca LDAP effettuata … Leggi tutto
Il Golden Ticket in Active Directory, proprio come ne la fabbrica di cioccolato di Willy Wonka, garantisce al portatore un accesso illimitato a tutte le risorse della nostra Active Directory. Un attacco Golden Ticket abusa del protocollo Kerberos il quale usa sistemi per crittografare e firmare i messaggi. Uno di questi è l’hash della password … Leggi tutto
Con questo articolo vorrei portare in cattedra qualche piccola tecnica di hardening che personalmente implemento sempre su tutte le infrastrutture che gestisco. Lo scopo è quello di monitorare, gestire, bloccare (o mitigare) tutto il traffico DNS che circola sulla nostra infrastruttura per eliminare (o ridurre) il fenomeno del DNS hijacking. One step backward Ponendo ad … Leggi tutto
Premessa systemd prima della versione 247 non blocca adeguatamente l’escalation dei privilegi locali per alcune configurazioni di “sudo”, ad esempio il sudoers file in cui può essere eseguito il comando “systemctl status”. Nello specifico, systemd non imposta a 1 la variabile LESSSECURE e quindi altri programmi possono essere lanciati dal programma “less”. Ciò presenta un … Leggi tutto
Qualche giorno fa è apparso sul NIST una “curiosa” vulnerabilità legata ad una presunta Remote Code Execution del protocollo Internet Control Message Protocol (ICMP). Parliamo di presunta in quanto, come si legge dal sito, attualmente “This vulnerability is currently undergoing analysis and not all information is available.”
Qualche tempo fa scrissi su Twitter che, a distanza di un anno da allora, avrei redatto un post dove sarei andato a riepilogare le mie impressioni sulla certificazione di casa EC-Council. Un anno non è ancora passato ma è doveroso fare qualche considerazione. Disclaimer Per prima cosa vorrei sottolieare come questo post non sia frutto … Leggi tutto
Premessa Nel marasma delle (dis)informazioni mediatiche sull’argomento ho notato come spesso si parla del problema e meno spesso di come questo funziona. Con questo articolo andrò, nella maniera più sintetica possibile, ad elencare come questo bug ad oggi viene sfruttato, calandoci il più possibile nelle fasi dell’attacco e quali sono le azioni di remediation che … Leggi tutto
Prefazione Raccogliere tutti i log necessari per fare auditing su server e workstation Windows è un processo necessario per la gestione di una corretta postura delle nostre infrastrutture e passa da un processo di configurazione mediante le Group Policy (o i criteri di gruppo locali se la macchina non fosse membro di un dominio) andando … Leggi tutto
In questi giorni ho deciso di implementare delle nuove policy di sicurezza sui firewall che ho in gestione. L’idea di fondo consiste nel creare degli oggetti partendo da dei feed pubblici, utilizzarli in specifiche regole per intercettare eventuale traffico in uscita (ma ovviamente si possono usare anche per il traffico in ingresso) ed infine loggare … Leggi tutto