The Cyber Threat Intelligence Database

sy64

总结

本文介绍了在 Azure Kubernetes Service 中利用引导令牌进行节点欺骗的攻击方法。

摘要

在 Azure Kubernetes Service 中，每个节点都有一个专用证书，其中包含有效的名称。这些证书的提供可能是一项困难的任务，但 Kubernetes 提供了直接使用 Kubernetes 签名和分发它们的内置方法，即证书签名请求（CSR）。然而，提供这些权限的凭证应仅在需要时创建和提供，这就是引导令牌发挥作用的地方。引导令牌是一个在 Kubernetes v1.6.0 中引入的功能，用于在集群中创建和检索签名证书。它们由 kubeadm 工具使用，用于在添加新节点时创建 CSR 并检索签名证书。本文演示了如何利用 Azure Kubernetes Service 中的一个漏洞，该漏洞允许攻击者从共享主机网络命名空间的 pod 中访问 WireServer 服务，从而检索节点的证书和引导令牌。

观点

在 Azure Kubernetes Service 中，每个节点都有一个专用证书，其中包含有效的名称。
Kubernetes 提供了直接使用 Kubernetes 签名和分发证书的内置方法，即证书签名请求（CSR）。
提供这些权限的凭证应仅在需要时创建和提供，这就是引导令牌发挥作用的地方。
引导令牌是一个在 Kubernetes v1.6.0 中引入的功能，用于在集群中创建和检索签名证书。
它们由 kubeadm 工具使用，用于在添加新节点时创建 CSR 并检索签名证书。
本文演示了如何利用 Azure Kubernetes Service 中的一个漏洞，该漏洞允许攻击者从共享主机网络命名空间的 pod 中访问 WireServer 服务，从而检索节点的证书和引导令牌。
在利用该漏洞后，攻击者可以使用节点的身份来检索集群中其他节点的信息。

https://www.synacktiv.com/en/publications/so-i-became-a-node-exploiting-bootstrap-tokens-in-azure-kubernetes-service

sy64

总结

这篇文章介绍了如何通过 Azure 应用程序中的回复 URL 进行钓鱼攻击，导致数据泄露或完全租户接管。

摘要

这篇文章是一篇博客文章，作者是 Arnau Ortega，发表于 2024 年 4 月 26 日。文章介绍了如何利用 Azure 应用程序中的回复 URL 进行钓鱼攻击，导致数据泄露或完全租户接管。作者首先介绍了 Microsoft Entra ID（以前称为 Azure AD）和 OAuth 2.0 协议的基本概念，然后详细描述了授权流程。文章还介绍了如何通过利用未注册的回复 URL 域或未使用的子域来进行攻击，以及如何通过 PowerShell 脚本枚举应用程序注册的回复 URL。最后，文章介绍了如何通过利用 Microsoft 自己的第一方应用程序中的配置错误来实现透明的租户接管。

观点

1、Azure 应用程序中的回复 URL 可以用于钓鱼攻击，导致数据泄露或完全租户接管。

2、Microsoft Entra ID 是一个云基础的身份和访问管理解决方案，它实现了 OAuth 2.0 协议。
3、授权流程是 Azure 应用程序中的一个重要概念，它允许用户访问外部资源。
4、攻击者可以通过利用未注册的回复 URL 域或未使用的子域来进行攻击。
5、PowerShell 脚本可以用于枚举应用程序注册的回复 URL。
6、通过利用 Microsoft 自己的第一方应用程序中的配置错误，可以实现透明的租户接管。
为了保护 Azure 应用程序，应该定期监测回复 URL 是否未注册或未使用。

https://falconforce.nl/arbitrary-1-click-azure-tenant-takeover-via-ms-application/

sy64

总结

新发现的两个 Ubuntu 内核 OverlayFS 模块中的特权升级 CVE 漏洞，CVE-2023-2640 和 CVE-2023-32629，不仅影响运行漏洞内核版本的 Ubuntu 主机，还影响这些主机上的任何容器。

摘要

CrowdStrike 发现了 CVE-2023-2640 和 CVE-2023-32629 可以在某些情况下用于根非根容器，从而获得 “容器根”。一旦获得 “容器根”，攻击者可以根据可用的攻击面使用传统的容器逃逸技术。检测这些漏洞在容器上的利用至关重要，而不仅仅是在主机上。CrowdStrike Falcon® 平台可以检测和防止这些漏洞在主机和容器（Docker 和 Kubernetes）上的利用。

观点

新发现的两个特权升级 CVE，CVE-2023-2640 和 CVE-2023-32629，影响 Ubuntu 内核 OverlayFS 模块。
这些漏洞不仅影响运行漏洞内核版本的 Ubuntu 主机，还影响这些主机上的任何容器。
CrowdStrike 发现 CVE-2023-2640 和 CVE-2023-32629 可以在某些情况下用于根非根容器，从而获得 “容器根”。
一旦获得 “容器根”，攻击者可以根据可用的攻击面使用传统的容器逃逸技术。
检测这些漏洞在容器上的利用至关重要，而不仅仅是在主机上。
CrowdStrike Falcon® 平台可以检测和防止这些漏洞在主机和容器（Docker 和 Kubernetes）上的利用。
这些漏洞可能会导致严重的安全问题，因此应该尽快修补。

https://www.crowdstrike.com/blog/crowdstrike-discovers-new-container-exploit/

sy64

总结

这篇文章是关于基于云的身份渗透攻击的第二部分，介绍了攻击者成功登录 Office 365 后的活动，包括创建可疑转发规则、大量下载和批量删除文件。

摘要

这篇文章是关于基于云的身份渗透攻击的第二部分，作者建议读者先阅读第一部分。文章首先介绍了攻击者如何通过猜测密码和疲劳用户的多重身份验证来登录 Office 365。然后，作者描述了攻击者在登录后的活动，包括创建可疑转发规则、大量下载和批量删除文件。作者还提供了关于如何使用 Microsoft Defender for Cloud Apps、App Connector、Office 365 和 JSON 数据来查看转发规则创建中的详细值的示例。最后，作者强调了这种模拟和检测见解对于了解基于身份的云泄露攻击和在 Office 365 中进行的进一步攻击的重要性。

观点

攻击者通过猜测密码和疲劳用户的多重身份验证来登录 Office 365。
攻击者在登录后的活动包括创建可疑转发规则、大量下载和批量删除文件。
使用 Microsoft Defender for Cloud Apps、App Connector、Office 365 和 JSON 数据可以查看转发规则创建中的详细值。
这种模拟和检测见解对于了解基于身份的云泄露攻击和在 Office 365 中进行的进一步攻击的重要性。
攻击者可能会使用 Tor 浏览器和匿名 IP 地址进行攻击。
大量下载和批量删除文件可能是为了文件泄露的目的。

https://github.com/LearningKijo/SecurityResearcher-Note/blob/main/SecurityResearcher-Note-Folder/Day16-CloudId-Exfiltration-AttackReport-Part2.md

sy64

总结

该网页介绍了使用 BloodHound 工具来识别利用 ADCS（Active Directory Certificate Services）漏洞的攻击路径。

摘要

本文是 Jonas Bülow Knudsen 写于 2024 年 5 月的博客文章，作者在此之前已经发布了第一部分，介绍了如何在 BloodHound 中利用 ADCS 对象并演示了如何有效地使用 BloodHound 识别包括 ESC1 滥用技术在内的攻击路径。本文将继续探讨 BloodHound 中引入的新边缘，重点关注金牌证书和 ESC3 滥用技术。金牌证书是使用 CA 证书的私钥创建的证书，可以代表任何用户进行身份验证。而 ESC3 则利用 ADCS 的 “注册代理” 概念，攻击者可以代表其他实体注册证书，并使用这些证书进行域身份验证。

观点

金牌证书是使用 CA 证书的私钥创建的证书，可以代表任何用户进行身份验证。
ESC3 滥用技术利用 ADCS 的 “注册代理” 概念，攻击者可以代表其他实体注册证书，并使用这些证书进行域身份验证。
在 BloodHound 中，可以使用新的非可遍历边缘 EnrollOnBehalfOf 来表示注册代理证书模板和目标模板之间的关系。
攻击者需要对注册代理证书模板、目标模板和企业 CA 具有注册权限，并且需要满足其他条件才能执行 ESC3 滥用技术。
使用 BloodHound 工具可以识别利用 ADCS 漏洞的攻击路径，并提供更好的安全性。
许多组织对企业 CA 主机的保护不够充分，因此应该将所有 CA 主机视为 Tier Zero。
攻击者可以利用已经妥协的 CA 主机，即使它们不是为 NT 身份验证信任的。

https://posts.specterops.io/adcs-attack-paths-in-bloodhound-part-2-ac7f925d1547

sy64

总结

该网页探讨了如何通过解密网络访问帐户来了解 SCCM 的工作原理。

摘要

Configuration Manager (或 SCCM) 最近在研究人员中备受关注，出现了一些有关强制身份验证和检索网络访问帐户的帖子。在阅读这些帖子时，作者注意到自己对支持 SCCM 的技术的了解不足，以及系统的工作原理。因此，他们决定进行一些研究、反向工程和调试，以了解 SCCM 的一些领域。在这篇文章中，他们将探讨 SCCM 如何使用其 HTTP API 来初始化客户端，以及如何检索并解密网络访问帐户，而无需接近 DPAPI 或管理员帐户。

观点

在实验室设置中，作者使用了默认的 SCCM 部署，其中包括一个网络访问帐户。
当客户端尝试注册到 SCCM 服务器时，会生成一个请求。这个请求包括一个 XML 编码的标头和一个 XML 编码的正文，以 multipart/mixed HTTP 请求的形式发送到 SCCM 服务器。
客户端证书在请求中传递给 SCCM 服务器，并使用 RSA-SHA256 和 PKCSv15 填充对请求正文进行签名。
一旦客户端注册，它将尝试检索一系列策略。这个请求也是使用 XML 请求发送到 SCCM 服务器的。
策略请求需要经过身份验证，这需要使用一个特定的身份验证方法。
策略中标记为 “secret” 的策略包括网络访问帐户，这些帐户通常以加密形式存储在 SCCM 客户端上。
要检索加密的网络访问帐户，客户端需要处于 SCCM 服务器上的 “Approved” 状态。这可以通过使用计算机帐户完成 NTLMSSP 舞蹈来实现。

https://blog.xpnsec.com/unobfuscating-network-access-accounts/

该文章的主要内容是解释 Active Directory 是什么，以及它是如何工作的。Active Directory 是一个系统，允许管理连接在同一网络中的计算机和用户的中央服务器。它由域控制器管理，域控制器是中央服务器的一部分。文章还介绍了域和森林的概念，以及如何在 Active Directory 中管理用户和计算机。文章还讨论了 Active Directory 的安全性，重点是如何管理用户和计算机的身份验证和授权。文章还介绍了如何通过 LDAP 查询 Active Directory 数据库，以及如何使用 PowerShell 在 Active Directory 中执行操作。