Sep 16 08

passwdSecurity researcher Robert Fuller discovered an attack method with which Windows and Mac user credentials can be stolen from a locked machine.
This attack is affected against actual Windows and Mac OS computers on which the user has already logged in.

The researcher used USB-based Ethernet dongles like USB Armory or Hak5 Turtle , for which he modified the firmware code to run special software that sets the plug-and-play USB device as the network gateway, DNS, and WPAD servers on the computer it’s connected to.
Find out more:

written by d45id \\ tags: , , , , , ,

Mai 15 04

Today, fifteen years ago ILOVEYOU computer worm saw the light of day and infected tens of millions of Windows personal computers in just a few hours. What fun ;-)

written by d45id \\ tags: , , , , ,

Apr 15 21

It’s amazing how easily modern network systems can be breached, making exhaustive vulnerability management programs more critical than ever. Please join us for a demonstration of how easy it is for attackers to compromise your network during a webinar with Marcus Murray, Cyber Security Manager at TrueSec.

In this awareness session, Marcus Murray will demonstrate a live hack where he uses a specially crafted JPEG picture to circumvent the security mechanisms of a modern Microsoft Windows server 2012R2 Webserver. He will also use this foothold to expand influence over the entire network and compromise a Windows Server 2012 R2 Domain Controller.

During the presentation, Marcus will also discuss countermeasures you can take to increase security in your environment. This is a must-see session for anyone responsible for vulnerability management.

written by d45id \\ tags: , , , , ,

Jan 15 02

ms-windowsIn Microsoft Windows klafft erneut eine Sicherheitslücke (MSRC-20544), diesmal in der ahcache.sys, die zu einer Umgehung der User Account Control (UAC) ausgenutz werden kann um die eigenen Benutzerrechte zu erweitern.

Sicherheitsforscher von google sind über diese Schwachstelle schon Ende September 2014 gestollpert, da Microsoft bis heute nicht wirklich darauf reagierte wurden nun Einzelheiten, sowie ein Proof of Concept (PoC) veröffentlicht. Das PoC demonstiert die Schwachstelle in Windows 8.1 (32bit sowie 64bit) und startet den Windows calculator aus einem einfachen Benutzerkontext heraus als Administrator.

Ausführliche Informationen sowie das PoC finden sich hier

written by d45id \\ tags: , , , , , ,

Nov 14 18

remote_code_executionSicherheitsforscher der Firma BeyondTrust haben einen sehr interesanten Artikel publiziert in dem sie Möglichkeiten zur Nutzung der Sicherheitsanfälligkeit – CVE-2014-6321 / MS14-066 – im Microsoft SChannel-Sicherheitspaket (Secure Channel) im Detail aufzeigen, so zum Beispiele eine remote code execution eines Programms, dass den SChannel Security Service Provider verwendet, wie die Microsoft Internet Information Services (IIS).

Weiterführende Informationen
BeyondTrust – Triggering MS14-066

written by d45id \\ tags: , , , , ,

Jul 14 30

screenshot_ctb-lockerEine rechte junge Randsomware zieht in den jüngsten Tag Aufmerksamkeit auf sich, Curve-Tor-Bitcoin Locker (CTB-Locker) auch bekannt unter Critoni.A.

Nach einer Infizierung des Microsoft-Computersystem beginnt der Virus damit sämtliche Daten auf den lokalen Datenträgern zu verschlüsseln. Die Verschlüsselung der Daten erfolgt dabei mit dem asymmetrischen Kryptographieverfahren Elliptic Curve Diffie-Hellman (ECDH). Für jede Verschlüsselung wird hierbei ein eigener Schlüssel (session-public key) verwendet und auch noch über eine gesicherte Verbindung ausgetauscht. Dies hat zur Folge, dass _ohne_ den privaten Schlüssel (master-privatekey) der Programmierer dieses Virus eine Entschlüsselung nach aktuellem Stand der Technik so gut wie unmöglich ist. Continue reading »

written by d45id \\ tags: , , , , ,

Mai 14 29

truecryptIch staunte nicht schlecht, als ich heute die Meldung der TrueCrypt Foundation vernahm, dass die Entwicklung der Software eingestellt und als nicht sicher zu betrachten sei. Der empfohlene Wechsel hin zum M$ Produkt BitLocker krönte dies noch…

… an dieser Stelle kann ich nur raten mit der Verschlüsselung auch gleich das Betriebssystem mit zu wechseln ;-)

NEWS

Download

Für alle die TrueCrypt weiterhin nutzen möchten, stelle ich hier eine Kopie der Version 7.1a zur Verfügung:

sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
sha256: e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2
md5: 7a23ac83a0856c352025a6f7c9cc1526
sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
sha256: 9d292baf87df34598738faef7305cddaa15ea9f174c9923185653fb28f8cfef0
md5: 09355fb2e43cf51697a15421816899be
sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
sha256: 43f895cfcdbe230907c47b4cd465e5c967bbe741a9b68512c09f809d1a2da1e9
md5: bb355096348383987447151eecd6dc0e

 

written by d45id \\ tags: , , ,

Feb 14 25

ms-windows„Researchers at Bromium Labs are expected to announce today they have developed an exploit that bypasses all of the mitigations in Microsoft’s Enhanced Mitigation Experience Toolkit (EMET). Principal security researcher Jared DeMott is delivered a presentation at the Security BSides conference explaining how the company’s researchers were able to bypass all of the memory protections offered within the free Windows toolkit. The work is significant given that Microsoft has been quick to urge customers to install and run EMET as a temporary mitigation against zero-day exploits targeting memory vulnerabilities in Windows or Internet Explorer. The exploit bypasses all of EMET’s mitigations, unlike previous bypasses that were able to beat only certain aspects of the tool. Researchers took a real-world IE exploit and tweaked it until they had a complete bypass of EMET’s ROP, heap spray, SEHOP, ASLR, and DEP mitigations.“

written by d45id \\ tags: , , , , ,