Форум информационной безопасности - Codeby.net

Статья Аудит безопасности мессенджеров: kill chain пентеста корпоративных коммуникаций

  • 118
  • 0
Защищённый планшет для пентеста лежит на антистатическом коврике, его экран отображает панель эксплуатации вебхуков. Янтарный боковой свет подчёркивает корпус устройства на тёмном фоне.


📡 Mattermost с дефолтным incoming webhook слил AWS-ключи через curl в три строки — и initial access в облако появился раньше, чем пентестер добрался до контроллера домена.

Корпоративные мессенджеры — слепое пятно большинства программ аудита. Kill chain идёт через T1566.003 (Spearphishing via Service), T1552.008 (Chat Messages) и T1213.005 (Messaging Applications). Electron-клиенты Slack и Mattermost перехватываются через mitmproxy с transparent-режимом — certificate pinning там реализован непоследовательно.

Recon стартует с fingerprinting: Rocket.Chat отдаёт версию через /api/info без аутентификации, Matrix/Synapse — через /_matrix/federation/v1/version.

💡 WAF и EDR молчат, пока AWS-ключи утекают в plaintext через чат #devops.

Статья Microsoft 365 Copilot: уязвимость AI-помощника как вектор утечки корпоративных данных

  • 118
  • 0
Материнская плата ноутбука с выжженной дорожкой и тонкой струйкой дыма. На экэране в красноватом свечении отражается почтовый ящик Outlook.


🧠 EchoLeak (CVE-2025-32711, CVSS 9.3) взломала Microsoft 365 Copilot через одно письмо в Outlook — zero-click, без компрометации учётки. Aim Labs задокументировали первую production prompt injection с полной эксфильтрацией данных из M365.

RAG-архитектура Copilot тянет контекст через Microsoft Graph и наследует права жертвы — почта, Teams, SharePoint, OneDrive. LLM не различает системные инструкции и вредоносный payload в письме: indirect prompt injection (OWASP LLM01:2025) выполняется как штатная задача. Следом Varonis нашли SearchLeak — цепочку CVE-2026-42824, кража данных по одной ссылке.

💡 SOC видит обычную работу с AI-помощником — Copilot эксфильтрует данные от имени пользователя, Windows Event Log молчит.

Статья Windows LPE zero-day cldflt.sys: как MiniPlasma оживляет баг шестилетней давности до SYSTEM

  • 160
  • 0
Плата минифильтра Windows с выжженной дорожкой к чипу контроля привилегий. На шелкографии выгравированы идентификатор уязвимости и имя драйвера, к отладочному разъёму подключён щуп логического анал...


🧨 MiniPlasma поднимает low-priv до NT AUTHORITY\SYSTEM на полностью пропатченном Windows 11 — через CVE-2020-17103 в cldflt.sys, которой шесть лет. EPSS 97-й перцентиль, PoC Форшоу запустился без единой правки.

Race condition в `HsmOsBlockPlaceholderAccess`: два потока атакуют состояние placeholder через `CfAbortHydration`, в окне между проверкой прав и записью второй поток подменяет путь на `HKU\.DEFAULT` — куст SYSTEM. Далее `Volatile Environment` → SYSTEM shell. MITRE T1068, AC:H, PR:L.

Три предыдущих эксплойта серии Chaotic Eclipse уже подтверждены в реальных атаках.

💡 cldflt.sys загружен по умолчанию на всех Windows 11 — EDR видит user-mode, ядро пишет в SYSTEM hive молча.

Статья Как войти в кибербезопасность из смежной IT-специальности: конкретный план перехода

  • 174
  • 0
Ночной зал SOC: монитор с журналом событий Windows и строками ошибок входа, рядом учебник по кибербезопасности и кружка кофе. Тёплый свет лампы, тёмная атмосфера.


🧠 Сисадмин поймал брутфорс по Event ID 4625 — серия на три DC за 12 минут, T1110 по MITRE ATT&CK — и без единого ИБ-курса заблокировал источник, собрал логи и написал отчёт. Через полгода он работал в SOC.

IT-бэкграунд покрывает 30–60% требований конкретной ИБ-роли. Сисадмин знает, почему Kerberoasting работает — ему не объясняют, что такое SPN. Разработчик с сотней API-эндпоинтов увидит SQL-инъекцию быстрее выпускника курса «ИБ с нуля». DevOps за день прикрутит Semgrep в GitLab CI — потому что знает, куда вставить stage.

💡 Рынку не хватает 50 000 специалистов — но один из десяти проходит техническое собеседование.

Статья CVE-2026-42897 Microsoft Exchange: 0-day XSS в OWA — от crafted-письма до захвата сессии

  • 153
  • 0
Серверная плата Exchange на чёрном мате с поднятой дочерней картой, один контакт выжжен. На экране ноутбука — перехваченный XSS-пейлоад в Burp Suite, рядом диагностический монитор с глитч-текстом.


🔐 CVE-2026-42897 в OWA: crafted-письмо без вложений и ссылок захватывает аутентифицированную сессию Exchange — CISA даёт 14 дней до дедлайна 29 мая, патча нет.

Root cause — CWE-79: Exchange Server не санитизирует HTML при рендеринге в OWA. CVSS 8.1, PR:N, UI:R — атакующий без аутентификации доставляет обфусцированный JavaScript стандартным SMTP. Жертва открывает письмо, скрипт исполняется в контексте браузерной сессии: T1114.002 (Remote Email Collection), BEC-пересылка, inbox rules.

Стандартный Exchange-playbook слеп: нет веб-шелла (T1505.003), нет аномального IIS-процесса, нет подозрительного outbound. EDR на хосте Exchange и IDS на периметре молчат.

💡 SOC ищет артефакты на сервере — компрометация CVE-2026-42897 происходит целиком в браузере жертвы.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 864
Сообщения
347 364
Пользователи
162 047
Новый пользователь
ВГостяхунежити