В скольких из тех тестирований были получены максимальные привилегии, преодолен периметр и т.п.? Были ли какие-то случаи, когда ничего сделать не получалось? Может какая-то разбивка по векторам: веб\социальная инженерия\атаки на перебор.
При таком подходе, формально пароли вроде бы не компрометируются. Но по факту, я бы считал факт выгрузки хэша равным компрометации пароля из-за следующей особенности:
Для Windows систем, знание самого пароля в большинстве случаев не обязательно. Зная хэш, можно запустить программу из под пользователя, посмотреть почту, подключиться по RDP (в некоторых случаях) и т.д. Pass-the-hash
По факту не так. Тот же meterpreter или mimikatz, запущенный через powershell, антивирусы не детектят. Хотя исполняемый код, самом собой, находится в памяти.
Основная проблема — антивирусы не могут себе позволить постоянно мониторить память.
Так получилось, что изначально я заказывал курс еще в 2011г. На тот момент был имелся набор базовых знаний по сетевому администрированию (академический CCNA) + небольшой опыт системного администрирования (AD + несколько Linux серверов). Я тогда недостаточно серьезно отнесся с курсу + была нехватка времени из-за основной работы и как итог, я даже не дошел до экзамена. Однако полученные знания + дополнительное самостоятельное обучение позволили сменить работу существенно ближе к профилю.
В начале 2015г. заказал дополнительно 15 дней лабораторных и взял на это время отпуск. В этот раз уже был некоторый опыт в области реальных пентестов и двух недель подготовки вполне хватило.
Текст письма готовится, отправляется почтовому демону, пароль солится, сохраняется в базу. Очередь и задержки на стороне почтового демона. Я так вижу ситуацию
Хочется верить, что это действительно так. Но исходя из комментариев ниже (оповещение о смене логина и пароля для доступа к сети с чужими учетными данными), возникают сомнения.
Если вы используете одинаковые (почти одинаковые) пароли на разных сайтах, то сами устраиваете брешь.
Тут абсолютно с вами согласен. К сожалению, многие пользователи продолжают использовать похожие пароли и хорошо бы позаботится и о них.
Если злоумышленник может перехватить сессию и смотреть письма, ничто не мешает ему восстановить пароли на других сайтах.
Согласен, но здесь еще один момент: восстановить пароль можно, но в данном случае получится узнать существующий пароль и пользоваться им незаметно для пользователя.
Письмо с подтверждением приходит через несколько часов, откуда ж пароль берется тогда? А по открытости пароля в почте беда в том, что в случае использования этого же пароля на других сайтах (или же пароли разные, но паттерн формирования легко увидеть) злоумышленник получает доступ к другим ресурсам, если сможет прочитать данное письмо. (например, перехватит сессию при проверке почты или как-то еще)
Отлично, спасибо за приглашение. Вот только беда: зачем же пароли участников присылать (и, соответственно, хранить) в открытом виде в письме с подтверждением?
Пару вопросов, если можно:
Вы уверены, что есть существенная разница между «гражданским» и «минобороновским» др.вебом в плане кода? Дает ли право делать такие ошибки в подобного рода ПО тот факт, что скорее всего оно будет использоваться внутри полностью закрытой сети?
В презентации явно написано, что ЭЦП не используется, для обновления компонентов в том числе. Я склонен верить этой информации, хотя можно и проверить.
Поясните, что в данном случае подразумевается под асимметричным шифрованием? В презентации явно сказано, ssl\tls отсутствует, обновления никак не подписываются. Более того, баг проверен на практике.
Как раз недавно встретился докторвеб в одной из презентаций по уязвимостям в антивирусах breaking av software.pdf Кому неинтересно читать, можно смело мотать на 85 страницу. Как оказалось, сертифицированный Минобороны и все-все-все, докторвеб обновляется исключительно через http, т.е. возможен MITM и, как результат, выполнение произвольного кода на клиенте. К таким моментам уже привык.
В скольких из тех тестирований были получены максимальные привилегии, преодолен периметр и т.п.? Были ли какие-то случаи, когда ничего сделать не получалось? Может какая-то разбивка по векторам: веб\социальная инженерия\атаки на перебор.
Для Windows систем, знание самого пароля в большинстве случаев не обязательно. Зная хэш, можно запустить программу из под пользователя, посмотреть почту, подключиться по RDP (в некоторых случаях) и т.д.
Pass-the-hash
Основная проблема — антивирусы не могут себе позволить постоянно мониторить память.
В начале 2015г. заказал дополнительно 15 дней лабораторных и взял на это время отпуск. В этот раз уже был некоторый опыт в области реальных пентестов и двух недель подготовки вполне хватило.
«My Windows 8.1 got a BSoD twice with the MS15-034 PoC, playing with ports 5357, 2869; now I can't reproduce it anymore. Anyone else?»
и
Your Windows *workstation* listens on ports 2869,5357 for http requests(WSDAPI svc) by default,no need for IIS. HTTP.sys handles those reqs
Хочется верить, что это действительно так. Но исходя из комментариев ниже (оповещение о смене логина и пароля для доступа к сети с чужими учетными данными), возникают сомнения.
Тут абсолютно с вами согласен. К сожалению, многие пользователи продолжают использовать похожие пароли и хорошо бы позаботится и о них.
Согласен, но здесь еще один момент: восстановить пароль можно, но в данном случае получится узнать существующий пароль и пользоваться им незаметно для пользователя.
Вы уверены, что есть существенная разница между «гражданским» и «минобороновским» др.вебом в плане кода? Дает ли право делать такие ошибки в подобного рода ПО тот факт, что скорее всего оно будет использоваться внутри полностью закрытой сети?
В презентации явно написано, что ЭЦП не используется, для обновления компонентов в том числе. Я склонен верить этой информации, хотя можно и проверить.