HTB Breadcrumbs. Атакуем Apache на Windows и эксплуатируем уязвимость JWT

Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого с …

Неофициальный патч 0patch устраняет уязвимость нулевого дня в Windows 7 и Windows Server 2008 R2 На платформе 0patch опубликовано бесплатное временное исправление уязвимости нулевого дня, связанной с локальным повышением привилегий в Windows 7 и Windows Server 2008 R2. Уязвимость затрагивает все устройства под управлением упомянутых ОС, в том числе зарегистрированные в программе расш …

Эксперты нашли уязвимость в Windows В операционной системе Windows 10 обнаружена уязвимость «нулевого дня», сообщил в Twitter исследователь информационной безопасности Джонас Л. Открытие папки, содержащей ярлык с командой, выводит файловую систему из строя. Это может привести к повреждению файловой системы на диске и потере …

Не замечали 12 лет: в Windows Defender обнаружена опасная уязвимость В антивирусе Defender, являющимся базовым программным обеспечением для операционной системы Windows, была выявлена критическая уязвимость, которая оставалась незамеченной как ИБ-исследователями, так и киберпреступниками, на протяжении последних 12 лет. …

Июньский патч исправил 0-day уязвимость в Windows не до конца Летом 2020 года исследователи Trend Micro Zero Day Initiative рассказали о пяти неисправленных 0-day уязвимостях в Windows, четыре из которых имели высокую степень риска. Теперь эксперты Google Project Zero заметили, что патч для одной из этих проблем оказался неэффективен. …

Уязвимость в Windows 10 позволяет получить привилегии администратора Все версии Windows 10, выпущенные за последние 2,5 года (а также Windows 11) уязвимы перед проблемой, получившей названия SeriousSAM и HiveNightmare. Используя этот баг, злоумышленник может повысить свои привилегии и получить доступ к паролям от учетных записей пользователей. Патча пока н …

Новая уязвимость Windows 10 даёт хакерам полный доступ к ПК Обновление операционной системы сделало всю работу за злоумышленников. Microsoft в последнее время зачастила с «кривыми» обновлениями для Windows, которые постоянно что-то ломают. Но если по большей части компанию это не особенно беспокоит, по крайней мере публично, то на этот …

Уязвимость в Windows 10 позволяет любому получить права администратора В операционной системе Windows 10 обнаружена новая уязвимость, которая позволяет любому получить права администратора. Эта уязвимость связана с ошибкой в разрешении доступа к файлам, относящихся к реестру Windows. В частности, исследователи выяснили, что любой пользователь может получить …

Критическая уязвимость в Windows 10 может вывести из строя накопитель В «десятке» обнаружена проблема, связанная с файловой системой NTFS. Уязвимость повреждает жесткий диск при вызове определённого файла. Если пользователь Windows 10 попытается получить доступ к атрибуту NTFS под названием «$ i30» (содержит список файлов и подпапок в каталоге, в том числе …

Атака GrimResource эксплуатирует файлы MSC и неисправленную XSS-уязвимость в Windows Специалисты Elastic обнаружили новую методику выполнения команд, получившую название GrimResource, которая использует специально подготовленные файлы MSC (Microsoft Saved Console) и неисправленную XSS-уязвимость в Windows для выполнения кода через Microsoft Management Console. …

Во встроенном антивирусе Windows 10 нашли уязвимость 12-летней давности Microsoft обновила свой антивирус, встроенный в Windows 10. В числе прочих изменений, внесённых компанией в инструмент, нашлось место закрытию уязвимости, которой было около 12 лет.Речь идёт о «дыре», которую специалисты по кибербезопасности обнаружили ещё в ноябре 2020 года. Она получила …

В диспетчере очереди печати Windows обнаружена очередная серьёзная уязвимость Стало известно, что в диспетчере печати Windows обнаружена новая опасная уязвимость, эксплуатация которой позволяет осуществить удалённое выполнение кода. Это уже третья подобная проблема, связанная со службой печати и выявленная за последние несколько недель. На данный момент исправление …

«Неприятная» уязвимость в Windows 10 может повредить файловую систему NTFS Исследователь в области информационной безопасности Джонас Л. в своём Twitter вновь указал на «неприятную» уязвимость в файловой системе NTFS в Windows 10. Уязвимость заключается в том, что однострочная команда может попросту повредить файловую систему NTFS на устройстве, после чего Windo …

В драйвере Wi-Fi для Windows нашли уязвимость, позволяющую удалённый запуск кода без участия пользователя В реализации Wi-Fi в Windows обнаружена уязвимость с рейтингом опасности 8,8 из 10 (высокая), подтвердила Microsoft. Для эксплуатации уязвимости за номером CVE-2024-30078 потенциальному злоумышленнику не нужен непосредственный доступ к компьютеру жертвы или какие-либо действия с её сторон …

Без башки. Эксплуатируем динамический рендеринг для захвата веб-приложений Для подписчиковДинамический рендеринг — это техника, которая используется, чтобы отдавать поисковикам и ботам заранее отрендеренные веб-страницы. В этой статье я расскажу, как две популярные утилиты для динамического рендеринга добавляют уязвимости в веб-приложение и как я использовал это …

HTB Luanne. Эксплуатируем Lua, чтобы захватить машину с NetBSD Для подписчиковСегодня мы разберем тачку под названием Luanne с площадки Hack The Box, а на ее примере я покажу, как эксплуатировать инъекции в код на Lua, обходить директории на веб-сервере, а также как выполнять привилегированные команды в NetBSD без использования sudo. …

Близкие контакты. Атакуем бесконтактные карты Для подписчиковБесконтактные банковские карты очень удобны: приложил карточку к терминалу, и через пару секунд в кармане звякнул телефон — покупка оплачена. Но это удобство имеет и обратную сторону: злоумышленники могут украсть деньги у держателей такого «пластика». Давай поговорим о спос …

HTB Sekhmet. Обходим ModSecurity и атакуем Active Directory Для подписчиковВ этом райтапе я покажу, как эксплуатировать уязвимость при десериализации Node.js с обходом ModSecurity. Затем взломаем ZIP-архив и благодаря Kerberos повысим привилегии на первом хосте. После этого захватим контроллер домена, проэксплуатировав RCE. …

Критический баг устранен в Apache OFBiz Разработчики Apache Software Foundation устранили уязвимость в Apache OFBiz, которая могла позволить неаутентифицированному злоумышленнику удаленно захватить контроль над уязвимой ERP-системой. …

В Apache OfBiz обнаружен критический баг В опенсорсном ERP-решении Apache OfBiz обнаружили уязвимость нулевого дня, которую можно использовать для обхода аутентификации. Интересно, что этот баг возник в результате исправления другой критической уязвимости, CVE-2023-49070. …

Выпуск облачной платформы Apache CloudStack 4.15 Состоялся релиз облачной платформы Apache CloudStack 4.15, позволяющей автоматизировать развертывание, настройку и поддержание приватной, гибридной или публичной cloud-инфраструктуры (IaaS, инфраструктура как сервис). Платформа CloudStack была передана Фонду Apache компанией Citrix, котор …

Выпуск сервера web-конференций Apache OpenMeetings 6.0 Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 6.0, позволяющего организовать проведение аудио- и видеконференций через Web, а также совместную работу и обмен сообщениями между участниками. Поддерживаются как проведение вебинаров с од …

Grafana меняет лицензию с Apache 2.0 на AGPLv3 Разработчики платформы визуализации данных Grafana, объявили о переходе на лицензию AGPLv3, вместо ранее применяемой лицензии Apache 2.0. Аналогичное изменение лицензии произведено для системы агрегирования логов Loki и распределённого бэкенда трассировки Tempo. Плагины, агенты и некоторы …

HTB ScriptKiddie. Атакуем Metasploit при помощи Metasploit, чтобы захватить хост Для подписчиковВ Metasploit Framework тоже бывают уязвимости, и в этой статье мы проэксплуатируем одну из них. Через баг в пользовательском скрипте мы захватим другого пользователя, что приведет к повышению привилегий. Все это и кое-что еще — в рамках прохождения легкой машины ScriptKiddi …

Выпуск интегрированной среды разработки Apache NetBeans 12.3 Организации Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 12.3, которая предоставляет поддержку языков программирования Java SE, Java EE, PHP, C/C++, JavaScript и Groovy. …

Выпуск интегрированной среды разработки Apache NetBeans 12.2 Организации Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 12.2, которая предоставляет поддержку языков программирования Java SE, Java EE, PHP, C/C++, JavaScript и Groovy. …

Брестський коридор Польщі буде захищено Apache Польща виставить захист з американських вертольотів Apache та танків Abrams для оборони Брестського коридору, заявив міністр оборони країни Блащак. …

Выпуск Apache OpenOffice 4.1.9 с исправлением неаккуратного использования "rm -rf" После трёх месяцев разработки и почти семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.9, в котором предложено 6 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. …

Microsoft выпустила обновления безопасности Windows 10, Windows 7 и Windows 8.1 Компания Microsoft выпустила очередное «обновление по вторникам» Windows 10, а также обновила уже не обслуживаемые операционные системы.Традиционное обновление Windows 10 доступно для версий 2004, 20H2 и 21H, а также образовательных и корпоративных сборок.Апдейт приносит улучшение безопас …

Сервис Steam прекратил поддержку ОС Windows 7, Windows 8 и Windows 8.1 Как и сообщалось ранее, с 1 января этого года игровой сервис Steam прекратил поддержку операционных систем Windows 7, Windows 8 и Windows 8.1. С этого момента клиенты Steam в этих ОС больше не будут получать никаких апдейтов, включая критические патчи безопасности. Steam не может гарантир …

Майнинговый вредонос Pro-Ocean атакует серверы Apache, Oracle и Redis Хак-группа Rocke использует новую майнинговую малварь Pro-Ocean для атак на уязвимые установки Apache ActiveMQ, Oracle WebLogic и Redis. Вредонос обладает функциональностью руткитов и распространяется, подобно червю. …

Для http-сервера Apache будет подготовлен TLS-модуль, написанный на языке Rust Организация ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета, представила проект по разработке нового модуля с реализацией протокола TLS для HTTP-сервера …

Новая Windows? - Microsoft представляет новую систему в стиле Windows 2000 На видео показан фрагмент операционной системы с новыми функциями. Недавно появилась информация о выходе новой Windows c названием Lite. И тут в сети опубликовали видео, где можно предположить, что Windows ещё больше «облегчили», выпустив её в «одёжке» версии 2000. …

Пользователи Windows 7 и 8.1 смогут обновиться до Windows 11, но с удалением всех личных файлов Microsoft оставит возможность неудовлетворённым вернуться к прежней операционной системе после пробного периода …

Срок окончания поддержки Windows 10 не имеет отношения к грядущему анонсу Windows 11 В сети продолжает циркулировать информация о том, что поддержка операционной системы Windows 10 завершится 14 октября 2025 года. Причём многие издания всерьёз говорят о том, что это является ещё одним намёком на скорый выход Windows 11. Однако связи между этими двумя вещами нет. Дата окон …

Windows 10X не будет поддерживать драйверы, созданные по модели Windows Desktop Drivers Первые устройства под управлением Windows 10X должны появиться на рынке уже весной 2021 года, так что не удивительно, что в сети появляется больше информации о новой операционной системе. Согласно документу, опубликованному на сайте поддержки Microsoft, Windows 10X будет поддерживать толь …

Замена Windows 10 Mobile? Разработчик показал, как выглядит Windows 10X на смартфоне Lumia 950 XL Microsoft позиционирует Windows 10X как систему для устройств с двумя экранами, но, как показала практика, её интерфейс может хорошо подстраиваться под любое устройство — от компьютеров и планшетов до смартфонов. Причём ею вполне удобно пользоваться на маленьких экранах. Источник из …

15 тысяч рублей за Windows 10? Переход с Windows 7 всё ещё можно сделать бесплатно Компания Microsoft официально прекратила поддержку операционной системы Windows 7 почти год назад — 14 января 2020 года, а программа бесплатного перехода на Windows 10 закончилась ещё 29 июля 2016 года. Тем не менее, неофициально пользователи всё ещё могут перейти на более современн …

Microsoft представила Windows 11, которая стала быстрее и легче Windows 10 Компания Microsoft официально представила новую операционную систему Windows 11, хотя еще несколько лет назад обещала остановиться на Windows 10.По заявлению производителя, в Windows 11 увеличена производительность и упрощен интерфейс. Новая ОС стала гораздо быстрее предшественницы, при э …

Microsoft закроет дыры в Windows 10, но оставит Windows 7 на произвол хакерам Исправляя уязвимости в Windows 10, Microsoft тем самым дает хакерам наводку, где именно их следует искать в Windows 7. Однако устаревшая Windows 7, которой по-прежнему пользуется полмира, уже не получает патчей. Таким образом, Microsoft помогает хакерам взламывать собственный продукт. …