Форум информационной безопасности - Codeby.net

Статья Аудит безопасности мессенджеров: kill chain пентеста корпоративных коммуникаций

  • 181
  • 0
Защищённый планшет для пентеста лежит на антистатическом коврике, его экран отображает панель эксплуатации вебхуков. Янтарный боковой свет подчёркивает корпус устройства на тёмном фоне.


📡 Mattermost с дефолтным incoming webhook слил AWS-ключи через curl в три строки — и initial access в облако появился раньше, чем пентестер добрался до контроллера домена.

Корпоративные мессенджеры — слепое пятно большинства программ аудита. Kill chain идёт через T1566.003 (Spearphishing via Service), T1552.008 (Chat Messages) и T1213.005 (Messaging Applications). Electron-клиенты Slack и Mattermost перехватываются через mitmproxy с transparent-режимом — certificate pinning там реализован непоследовательно.

Recon стартует с fingerprinting: Rocket.Chat отдаёт версию через /api/info без аутентификации, Matrix/Synapse — через /_matrix/federation/v1/version.

💡 WAF и EDR молчат, пока AWS-ключи утекают в plaintext через чат #devops.

Статья Microsoft 365 Copilot: уязвимость AI-помощника как вектор утечки корпоративных данных

  • 185
  • 0
Материнская плата ноутбука с выжженной дорожкой и тонкой струйкой дыма. На экэране в красноватом свечении отражается почтовый ящик Outlook.


🧠 EchoLeak (CVE-2025-32711, CVSS 9.3) взломала Microsoft 365 Copilot через одно письмо в Outlook — zero-click, без компрометации учётки. Aim Labs задокументировали первую production prompt injection с полной эксфильтрацией данных из M365.

RAG-архитектура Copilot тянет контекст через Microsoft Graph и наследует права жертвы — почта, Teams, SharePoint, OneDrive. LLM не различает системные инструкции и вредоносный payload в письме: indirect prompt injection (OWASP LLM01:2025) выполняется как штатная задача. Следом Varonis нашли SearchLeak — цепочку CVE-2026-42824, кража данных по одной ссылке.

💡 SOC видит обычную работу с AI-помощником — Copilot эксфильтрует данные от имени пользователя, Windows Event Log молчит.

Статья Windows LPE zero-day cldflt.sys: как MiniPlasma оживляет баг шестилетней давности до SYSTEM

  • 227
  • 0
Плата минифильтра Windows с выжженной дорожкой к чипу контроля привилегий. На шелкографии выгравированы идентификатор уязвимости и имя драйвера, к отладочному разъёму подключён щуп логического анал...


🧨 MiniPlasma поднимает low-priv до NT AUTHORITY\SYSTEM на полностью пропатченном Windows 11 — через CVE-2020-17103 в cldflt.sys, которой шесть лет. EPSS 97-й перцентиль, PoC Форшоу запустился без единой правки.

Race condition в `HsmOsBlockPlaceholderAccess`: два потока атакуют состояние placeholder через `CfAbortHydration`, в окне между проверкой прав и записью второй поток подменяет путь на `HKU\.DEFAULT` — куст SYSTEM. Далее `Volatile Environment` → SYSTEM shell. MITRE T1068, AC:H, PR:L.

Три предыдущих эксплойта серии Chaotic Eclipse уже подтверждены в реальных атаках.

💡 cldflt.sys загружен по умолчанию на всех Windows 11 — EDR видит user-mode, ядро пишет в SYSTEM hive молча.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 867
Сообщения
347 369
Пользователи
162 055
Новый пользователь
bossdsdsssss