Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья OAuth Abuse в Azure AD: анатомия ConsentFix-атак и обнаружение в SIEM
Понедельник, 9:17. Sign-in в Azure CLI от финансового контроллера. MFA пройдена штатно, Conditional Access не сработал, пароль цел. Через 40 минут тот же IP вытягивает переписку через Microsoft Graph API. Атакующий получил OAuth authorization code напрямую от жертвы — ConsentFix.Техника скрещивает ClickFix-стиль социальной инженерии с OAuth 2.0 authorization code flow. Жертва проходит реальную аутентификацию Microsoft на настоящем login.microsoftonline.com и отдаёт authorization code атакующему через localhost-redirect. Обнаружены 11 first-party приложений Microsoft (Azure CLI, Teams, Visual Studio Code) — pre-trusted во всех тенантах, не блокируются через Enterprise Apps.
KQL-запросы для Microsoft Sentinel: аномальный sign-in в CLI-приложения + расхождение IP между interactive и non-interactive sign-in. Token Protection ломает kill chain на уровне протокола.
Сброс пароля жертвой не отзывает OAuth-токены автоматически. SOC должен сделать это вручную.Статья Secrets scanning утечка токенов и API-ключей: находим утёкшие credentials в GitHub, GitLab, Bitbucket и Jira
AWS-ключ формата AKIA* в git-истории — удалён восемь месяцев назад, но aws sts get-caller-identity возвращает живой IAM-аккаунт с доступом к продакшн-данным клиентов. От находки в старом коммите до чтения данных — двадцать минут. По оценке soteri.io, более половины утёкших credentials — generic-секреты без структурированного формата, которые стандартные сканеры не ловят.Три инструмента — три архитектурных подхода: gitleaks (regex, скорость, Go), detect-secrets (baseline + интерактивный аудит), trufflehog (верификация через API провайдера — создаёт логи). Что пропустят все: base64-encoded ключи, кастомные форматы токенов, секреты в бинарных файлах и Jira-вложениях.
Кастомный .gitleaks.toml под внутренние форматы. Валидация по типу: AWS, GitHub PAT, Slack Webhook, GCP Service Account. OPSEC: какие следы создаёт каждый шаг аудита.
Слабое звено — не детекция, а ротация. Сканер нашёл — ответственный не отозвал.Статья CVE-2026-0300: buffer overflow в PAN-OS — от анализа уязвимости до root RCE на файрволе Palo Alto
6 мая 2026 года CISA добавила CVE-2026-0300 в KEV. Дедлайн три дня, SSVC Act. Buffer overflow в User-ID Authentication Portal: один сетевой пакет без аутентификации — root-шелл на PA-Series и VM-Series. Captive Portal по дизайну принимает трафик до аутентификации — именно это превращает CWE-787 в fleet-wide pre-auth path to root.Три условия эксплуатируемости: уязвимая ветка PAN-OS + портал включён + Response Pages из untrusted-зоны. «Нет» по любому — цепочка разорвана. Decision tree для приоритизации реагирования.
Root на файрволе — перехват TLS, credentials из GlobalProtect и User-ID, модификация policy rules, пивот через trust relationships с AD и SIEM. Обновить PAN-OS недостаточно: аудит конфигурации, ротация credentials и проверка admin-аккаунтов — обязательная часть response.
Вопрос не в скорости патча. Вопрос — почему memory-safety баги в enterprise-оборудовании всё ещё дают pre-auth root в 2026 году.Статья CVE-2026-0300: уязвимость Palo Alto PAN-OS — buffer overflow в Captive Portal до root shell
Десятки тысяч инстансов PAN-OS в открытом доступе. CVE-2026-0300 — out-of-bounds write (CWE-787) в Captive Portal: один пакет без аутентификации, без учётных данных, без взаимодействия пользователя — и root на файрволе. CISA KEV в день раскрытия, дедлайн три дня, SSVC Act.Captive Portal по дизайну принимает трафик без prior auth state — и именно это превращает memory-safety баг в internet-reachable unauthenticated path to root. Три условия эксплуатируемости: уязвимая ветка PAN-OS + портал включён + Response Pages доступны из untrusted-зоны. «Нет» по любому из трёх — цепочка разорвана.
Root на PA-Series — перехват транзитного трафика, credentials из GlobalProtect и User-ID, модификация policy rules, lateral movement через trust relationships с AD и SIEM.
Обновить PAN-OS недостаточно. Обязательны ротация credentials и аудит конфигурации против known-good baseline.Статья CVE-2026-0300: от buffer overflow в Captive Portal до root на межсетевом экране Palo Alto
225 тысяч интернет-доступных инстансов PAN-OS. К любому с включённым Captive Portal — один неаутентифицированный HTTP-запрос до root-шелла. CVE-2026-0300 (CVSS 9.3 Critical), CISA KEV с дедлайном три дня. Группировка CL-STA-1132, предположительно state-sponsored, — активная эксплуатация in the wild.Out-of-bounds write в обработчике запросов Captive Portal: контролируемые байты за границами буфера → control transfer → root на файрволе. Root на PA-Series — это перехват TLS-трафика, credentials из GlobalProtect и User-ID, модификация policy rules и пивотирование через trust relationships с AD и SIEM.
Три условия эксплуатируемости устройства. IOC группировки: C2 IP-адреса, пути EarthWorm/ReverseSocks5, нестандартный User-Agent (Mozilla/5.5). Парадоксальный IOC: отсутствие crash-артефактов.
Полагаться на логи самого файрвола после компрометации — ошибка. Детект строится на внешних источниках.Статья Обход BitLocker за 5 минут: разбор downgrade-атаки через CVE-2025-48804
Четыре часа пайки логического анализатора к шине LPC — или пять минут с USB-флешкой. BitUnlocker (Intrinsec, май 2026) использует CVE-2025-48804 против TPM-only BitLocker без вскрытия корпуса. Secure Boot пропускает уязвимый загрузчик, потому что сертификат Windows PCA 2011 до сих пор в списке доверенных.TPM не проверяет патч-уровень загрузчика — только подпись. Подпись валидна по PCA 2011 → VMK распечатан → том расшифрован → хеши из SAM → lateral movement в AD. Microsoft не может отозвать PCA 2011 одномоментно: миграция на UEFI CA 2023 идёт больше года.
Сравнение векторов обхода BitLocker (downgrade, TPM sniffing, cold boot). Привязка каждой защитной меры к конкретному шагу цепочки атаки. Чеклист для отчёта о физическом пентесте из семи пунктов.
Единственная мера, закрывающая весь класс — pre-boot PIN. Шесть цифр и три секунды при загрузке.Статья Анатомия реестра Windows[3] - выносим хэши из SAM
Ветка SAM закрыта для пользователя? Не совсем — если знать правильный флаг.Все утверждают, что для доступа к SAM нужны права SYSTEM, а единственный путь к хэшам — дамп lsass.exe. На современных ОС с Credential Guard и RunAsPPL это ещё и палевно. Но есть другой способ — чтение реестра на живой системе через RegCreateKeyEx с флагом REG_OPTION_BACKUP_RESTORE.
Внутри — полный разбор: как собрать 16-байтный BootKey из скрытых полей ClassName четырёх ключей LSA, недокументированные структуры параметров F и V учётных записей, где именно лежат NTLM-хэши и как утилиты типа Mimikatz и Hashcat их вытаскивают.
Практическая часть — рабочий код на FASM, который из пользовательской сессии читает SAM, парсит учётные записи и извлекает raw-хэши без единого обращения к lsass.
Заключительная часть серии по внутренним особенностям реестра Windows — для реверс-инженеров, пентестеров и криминалистов.Статья CVE-2026-41940: обход аутентификации cPanel — session file injection от preauth до root-доступа WHM
Четыре HTTP-запроса. Ноль валидных паролей. Полный root WHM. CVE-2026-41940 в cPanel — не buffer overflow, а логическая ошибка в сессионной модели, эксплуатируемая curl'ом. CISA KEV, «ransomware use: known», EPSS 0.8437 (Top 1%), два месяца zero-day до патча.Три дефекта в цепочке: санитайзер filter_sessiondata() не вызывается в обработчике Basic Auth → ob-сегмент cookie можно убрать и отключить шифрование → raw-файл и JSON-кэш парсят \n по-разному. CRLF-инъекция в поле pass создаёт строки user=root, hasroot=1, tfa_verified=1 как самостоятельные ключи при перечитывании через nocache.
Затронуто 1.5 млн интернет-инстансов по Shodan. Nuclei-шаблон в репозитории. Grep-команды для triage на живом сервере. Признак компрометации: сессия с method=badpass + hasroot=1.
Opt-in санитизация — рецидивирующая проблема. Закрыли конкретный баг, но паттерн никуда не делся.Статья CVE-2026-31431 «Copy Fail»: разбор Linux privilege escalation без race condition
732 байта Python-кода, один промпт ИИ-системе — и детерминистический root на каждом крупном дистрибутиве Linux после 2017 года. CVE-2026-31431 (Copy Fail): Metasploit-модуль опубликован в день раскрытия, CISA KEV через двое суток, EPSS 0.0257 при вердикте Act.Три компонента ядра создали бомбу: AF_ALG доступен без привилегий → splice() передаёт страницы page cache по ссылке → in-place оптимизация 2017 года позволяет authencesn записать 4 scratch-байта в page cache read-only файла. Форензик-след минимальный: на диске нет изменений, хеши не меняются, файловый мониторинг слеп.
Сравнение с Dirty COW и Dirty Pipe: Copy Fail детерминистический, без per-distro offsets, покрывает 9 лет ядер. Container escape через shared page cache валидирован на EKS, GKE, Alibaba ACK.
Пять дней между публикацией Metasploit-модуля и первым патчем RHEL. Следующий Copy Fail — вопрос месяцев.есять секунд.Статья Реверс-инжиниринг для начинающих: разбираем бинарники с Ghidra и IDA Free
Первый crackme отнял четыре часа — три из них ушло на блуждание по интерфейсу Ghidra, один на собственно анализ. Второй crackme той же сложности занял двадцать минут. Разница — в методологии: куда смотреть, какие окна открывать, какие вопросы задавать бинарнику.Decision tree для незнакомого бинарника: внешняя разведка через file и strings, проверка препятствий (пакеры UPX, антиотладка ptrace, stripped символы, junk code), навигация от строк «Wrong password» через xref к целевой функции, восстановление логики проверки или патч условного перехода.
Ghidra vs IDA Free: когда выбирать каждый. Ключевые окна Code Browser, декомпилятор, Defined Strings. Разбор crackme на паттернах IOLI — от открытого пароля в strcmp до XOR-цикла с CRC32 (полином 0xEDB88320 — запомните).
Порог входа в реверс — искусственный. Контекст порождает мотивацию к теории, а не наоборот.