• Подробное руководство по тестированию на проникновение одной из самых приоритетных целей в корпоративной сети — Outlook Web Access (OWA). Автор разобрал все основные атаки и уязвимости OWA, собрал и структурировал самое полезное в одном месте:

Читать статью [58 min].

Материал предназначен для специалистов ИБ и представлен в ознакомительных целях.

#Пентест

• На хабре есть хороший чек-лист, включающий десять базовых правил по безопасности VDS.

• Все перечисленные в статье правила - это не набор «фишек для параноиков», а ваша уверенность в сохранности ваших данных. SSH-ключи, запрет root-доступа, закрытые порты, свежие пакеты, резервные копии и мониторинг логов не требуют сверхусилий, но именно они определяют, будет ли ваш сервер тихо работать годами или превратится в лёгкую цель для злоумышленников. Однозначно к прочтению:

Читать статью [7 min].

#ИБ

• Flipper One выглядит максимально красиво и эстетично, а его функционал кардинально отличается от Flipper Zero (по сути, это совершенно другой проект с другими задачами).

• Нам обещают, что новая версия будет представлять из себя открытую Linux-платформу, из которой можно слепить что угодно: от сканера IP-сетей с 5G-модемом до AI-анализатора радиосигналов на SDR. Разработчики уделили большое внимание системе хардварных расширений. Внутрь Flipper One можно устанавливать высокоскоростные модули с интерфейсами PCIe, USB 3.0, SATA. Можно добавить SDR, быстрый SSD диск, сотовый LTE/5G или спутниковый модем.

• В устройство встроены сетевые интерфейсы: 2x Gigabit Ethernet, USB Ethernet (5 Gbps), Wi-Fi 6E (2.4/5/6 GHz). Можно добавить поддержку 5G с помощью M.2-модема. Это позволяет использовать Flipper One как роутер, VPN-шлюз или мост между проводной и беспроводной сетью.

• К сожалению, о полноценном анонсе Flipper One говорить пока рано. По предварительной информации только в конце этого года устройство появится на Kickstarter, но посмотреть на эту красоту уже можно сейчас. В любом случае, когда Flipper будет официально анонсирован и поступит в продажу, то я обязательно разыграю несколько штук в этом канале.

https://blog.flipper.net/flipper-one-we-need-your-help/

#Разное

• Нашел еще один очень крутой инструмент для работы с логами, который называется lnav.

• Вероятно, что данный инструмент окажется полезным для многих из вас, так как lnav является универсальным решением, которое значительно упрощает процесс анализа логов. Совокупность возможностей делает его незаменимым помощником для всех, кому приходится иметь дело с логами.

• Вот основные возможности lnav:

Подсветка синтаксиса и темизация - подсветка синтаксиса делает логи более читаемыми, а возможность настроить тему позволяет адаптировать интерфейс под ваши предпочтения. Это важно при работе с большими файлами, где детали могут легко ускользнуть из-за ненадлежащего оформления.
Определение логлевела - можно явно указывать логлевел для отображения, что помогает сосредоточиться на наиболее критичных записях и не отвлекаться на менее значимые.
Множественные форматы логов - поддерживает одновременное отображение сразу нескольких файлов логов различного формата, что упрощает процесс анализа информации из различных источников и ведет к более полному пониманию происходящего.
Работа с залогированными SQL запросами - при фильтрации lnav анализирует запросы SQL и выводит все строки, которые соответствуют фильтру, даже если запрос состоит из нескольких строк.
Объединение записей по времени - даже если форматы времени в логах различны, lnav попытается их интерпретировать и отобразит записи на единой временной шкале
Экспорт данных - после применения всех необходимых фильтров у вас есть возможность выделить блок строк, в том числе включающий данные из разных файлов и экспортировать эти данные в новый файл в формате текста, JSON или CSV.
Создание собственных форматов лога - вы можете использовать специальный синтаксис, чтобы описать свой формат лога для разделения его по полям.
Закладки и дополнительные возможности - lnav позволяет создавать закладки, что помогает быстро возвращаться к нужным участкам данных по аналогии с тем, как это работает в vim.
Возможность неинтерактивной работы с lnav и создания скриптов для обработки данных - позволяет вам писать собственные скрипты для автоматизации анализа логов и обработки данных.
Сохранение и загрузка сессий - в lnav можно сохранять сессии. Это позволяет сохранить текущее состояние просмотра логов, включая примененные фильтры, аннотации и все выполненные действия.
Работа с пайпами и многое другое...

• Больше информации можно получить в официальной документации.
• Сам проект имеет открытый исходный код и доступен на github.

#Tools #DevOps

Недавно исправленная уязвимость повышения привилегий в Linux теперь имеет общедоступный PoC, позволяющий локальным злоумышленникам получить права root в системах Arch Linux.

Уязвимость, получившая название PinTheft от команды безопасности V12 и до сих пор ожидающая присвоения идентификатора CVE, затрагивает протокол RDS (Reliable Datagram Sockets) ядра Linux и была исправлена в начале этого месяца.

PinTheft - это эксплойт для повышения локальных привилегий в Linux, использующий механизм двойного освобождения памяти с нулевым копированием в RDS, который может быть преобразован в перезапись кэша страниц с помощью фиксированных буферов io_uring.

Ошибка заключалась в механизме отправки нулевого копирования RDS. Функция rds_message_zcopy_from_user() закрепляет страницы пользователя по одной.

Если последующая страница завершается с ошибкой, механизм обработки ошибок удаляет уже закрепленные страницы, и последующая очистка сообщений RDS снова удаляет их, поскольку записи в списке разброса и счетчик записей остаются активными после очистки уведомления о нулевом копировании. Каждая неудачная отправка нулевого копирования может украсть одну ссылку с первой страницы.

В версии V12 также был выпущен эксплойт PoC, который крадет ссылки на FOLL_PIN до тех пор, пока io_uring не останется с украденным указателем страницы, что позволяет ему получить корневую оболочку.

Однако, помимо загрузки модуля RDS в целевую систему, для успешной эксплуатации PinTheft также требуются определенные условия, включая включение API ввода-вывода Linux io_uring, читаемый исполняемый файл с правами SUID-root и поддержку x86_64 для включенной полезной нагрузки.

Это значительно ограничивает поверхность атаки, при этом в версии V12 указано, что модуль RDS включен по умолчанию только в Arch Linux из наиболее распространенных дистрибутивов Linux.

Пользователям Linux, использующим затронутые дистрибутивы, рекомендуется как можно скорее установить последние обновления ядра либо использовать меры для блокировки попыток эксплуатации уязвимости.

• В 1985 году, спустя год после основания проекта GNU, Ричард Столлман основал организацию Free Software Foundation для защиты разработчиков от компаний с сомнительной репутацией. Например, от тех, которые уличили в присвоении кода и которые пытались продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом и его коллегами.

• Философия фонда строится на 4 основных свободах:

Свобода запускать программу в любых целях (свобода 0).
Свобода изучения работы программы и ее адаптация к вашим нуждам (свобода 1). Доступ к исходным текстам является необходимым условием.
Свобода распространять копии, так что вы можете помочь вашему товарищу (свобода 2).
Свобода улучшать программу и публиковать ваши улучшения, так что все общество выиграет от этого (свобода 3). Доступ к исходным текстам является необходимым условием.

• Программа свободна, если у ее пользователей есть 4 вышеупомянутых пункта. Все достаточно прозрачно и позитивно. Но здесь накладываются взаимоотношения между разработчиками в юридическом плане и в рамках государства. Свободная программа часто не значит «некоммерческая», она может быть доступна для коммерческого применения и распространения. Это правило фундаментально важно, без этого свободные программы не могли бы достичь своих целей.

• В англоязычных текстах free означает не только «свободное», но и «бесплатное». Оно нередко употребляется к бесплатному программному обеспечению, которое распространяется без взимания платы, но недоступно для изменения. Получается, такое ПО не является свободным. Кстати, чтобы устранить недоразумения, как раз и был придуман термин open source.

• Спустя 3 года после основания организации, Столлман представил первую версию лицензии GPL, в которой определялись юридические рамки модели распространения свободного программного обеспечения.

• В сентябре 2019 года Ричард Столлман покинул пост президента Фонда свободного программного обеспечения, а на его место в 2020 году избрали Джеффри Кнаута. В сентябре 2025 года Кнаута сменил Ян Келлинг.

• В рамках развития организации на мероприятии анонсировали проект LibrePhone, нацеленный на предоставление полной свободы вычислений в мобильных устройствах. Подробности об этой инициативе не приводятся. Ожидается, что проект позволит донести до пользователей мобильных устройств базовые понятия свободы ПО, такие как право запускать, копировать, распространять, изучать, изменять и улучшать программное обеспечение.

https://www.fsf.org/events/fsf40

#Разное

Paged Out #7!

• 7-й номер журнала Paged Out - включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute. Приятного чтения.

#Журнал #ИБ

📘 На платформе Mentorix вышел курс — «Nginx на практике: от деплоя до production»

Практический курс по настройке Nginx для реальных задач: от базовой конфигурации до использования в production.

В курсе:
• настройка и конфигурация Nginx
• работа как reverse proxy
• SSL и HTTPS
• балансировка нагрузки
• подготовка конфигурации для production

Начать можно бесплатно — вводная часть курса доступна без оплаты.
Скидка действует 48 часов

👉 Пройти курс

Исследователи Лаборатории Касперского продолжают отслеживать активность Leek Likho (также известной как SkyCloak или Vortex Werewolf).

Группировка впервые была описана исследователями в 2025 году, когда стало известно о серии целевых атак на организации из госсектора России и Беларуси в рамках кампании под названием Операция SkyCloak.

В ЛК заметили продолжение ее активности на протяжении февраля–апреля 2026 года, а также обнаружили новую технику, которую злоумышленники используют для эксфильтрации файлов.

Основная схема заражения осталась прежней: злоумышленники распространяют через социнженерию с использованием Telegram вредоносные архивы с файлами-приманками, внутри которых находятся LNK с двойным расширением и еще один архив, содержащий набор инструментов.

Злоумышленники маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например ссылки, имитирующие Telegram-файлы или страницы загрузки.

В некоторых случаях атакующие используют сервис Dropbox. Переход по таким ссылкам приводит к скачиванию специально подготовленного архива с файлами.

Запуск LNK-файла инициирует цепочку выполнения PowerShell-скриптов, выступающих в роли загрузчиков и устанавливающих задачи по расписанию.

В частности, после того как пользователь запускает ярлык, начинается выполнение содержащейся в нем командной строки. Это инструмент для запуска вредоносной нагрузки второго этапа - LeekSower.

В свою очередь, он запускает новый скрытый процесс PowerShell, в котором выполняется команда gc, которая читает содержимое файла action и передает его на исполнение как PowerShell-код.

Затем происходит запуск следующего этапа вредоносной нагрузки, которая была скрыта в одном из файлов вложенного архива. Этот код является инструментом LeekGerminator, который производит установку и настройку всех распакованных инструментов.

Таким образом в системе будут запускаться инструменты удаленного доступа через Tor и ssh, через которые происходит соединение с управляющим сервером.

После этого в зараженную систему загружается инструмент для эксфильтрации rclone, который собирает файлы с хоста жертвы и выгружает их по установленному соединению с командным центром.

Собранные данные выгружаются с хоста по протоколу S3 в удаленный репозиторий aunion через установленный туннель на 12191 порту. При этом атакующий создает задачу по расписанию, которая выполняет закодированный PowerShell-скрипт - это инструмент LeekYield.

Для маскировки сетевого взаимодействия применяется транспорт obfs4, позволяющий затруднить выявление Tor-трафика средствами сетевого мониторинга.

Причем в ЛК заметили возможное использование LLM для генерации как самих скриптов, так и их имен под каждую цель.

Принцип работы вредоносных инструментов при этом остается одинаковым. Таким подходом Leek Likho пытается снизить эффективность детектирования.

Все технические подробности и IOCs - в отчете.

#Юмор

В США братья‑близнецы удалили 96 правительственных баз данных через несколько минут после увольнения.

• Два барата Муниб и Сохайб Ахтер уничтожили 96 правительственных баз данных в течение часа после того, как их уволили из компании, обслуживающей федеральные ведомства.

• В судебных документах не указана конкретная компания, в которой работали братья. Вероятно, речь идёт об Opexus - это IT‑подрядчик, который обслуживает более 45 федеральных ведомств.

• Все началось 18 февраля 2025 года, когда братьям направили встречу в Microsoft Teams и сообщили об увольнении. Встреча завершилась в 16:50, а уже через 5 минут, в 16:55, Сохайб попытался войти в корпоративную сеть, но его доступ был заблокирован. А вот учетная запись Муниба была активна - он смог зайти в систему и сразу же начал удалять все базы данных, к которым имел доступ. В 16:58 командой DROP DATABASE dhsproddb была уничтожена база Министерства внутренней безопасности. В 16:59 Муниб спросил у ИИ‑инструмента, как затереть логи SQL‑сервера после удаления баз.

• Забавно, что один из братьев решил записать их встречу еще до начала обсуждения об увольнении. HR сообщили новость братьям и вышли из сессии примерно через две с половиной минуты. Муниб и Сохайб не выключили запись, в результате чего в течение следующего часа Teams фиксировал, как братья обсуждают происходящее и дропают базы - судя по всему, они не заметили, что встреча всё ещё активна.

• Помимо удаления БД, Муниб скачал файл с 1,2 млн строк персональных данных - именами, адресами, телефонами и хешами паролей.

• Ну а теперь самое интересное: оба брата ранее уже были судимы за взлом систем Госдепартамента США и слив персональных данных. Тогда Муниб получил 39 месяцев, а Сохайб - 24. Именно это и стало причиной увольнения братьев - компания узнала о тюремных сроках братьев в феврале 2025 года и немедленно инициировала увольнение. Ну т.е. никто не проверял сотрудников, сидевших за взлом Гос. деп-а США, на наличие судимостей и просто трудоустроили их в компанию, дали доступ к правительственным БД, а потом уволили их через MS Teams не заблочив перед этим учетки...

• Итог: Ахтеров арестовали в декабре 2025 года. Сохайбу грозит до 21 года, а Мунибу до 45 лет... Как то так.

https://arstechnica.com/tech-policy

#Новости