[TheHWcave] found a Fluke 27 multimeter that looked like it had had quite a rough life. At first, the display flashed an overload indicator until he gave it a good smack—or, as he likes to call it, percussive maintenance. Even then, it would not give good readings, so it was time to open it up.

The display did work, so the obvious theory was something wrong with the analog board. Removing the shields showed what looked like a normal enough PCB. Or at least, the components looked fine. But on the solder side of the board, there was some corrosion on two contacts, so some careful cleaning and resoldering fixed the meter to be as good as new on at least some scales.

Tracing the pins, the corrosion put a resistor between two pins of an op-amp. The only remaining problem was the milliamp scale, but that was a simple blown fuse in the line. Since it was working, it was worth some time to clean up the ugly exterior, which is only cosmetic but still worth a little effort. He left the plastic case cracked and beaten, but he put a lot of effort into clearing up the display window.

You might wonder why you’d fix a meter when you can get one so cheap. However, these name-brand meters are high-quality and new, quite expensive. Even older ones can be worth the effort. While you usually don’t need an X-ray machine to fix something like this, it can’t hurt.

youtube.com/embed/VX-XzjO_ix8?…

hackaday.com/2024/12/04/fluke-…

Un nuovo allarme di sicurezza si fa sentire nel panorama aziendale: un Threat Actor, attivo sulla nota piattaforma BreachForums, ha presumibilmente messo in vendita un consistente volume di dati sensibili appartenenti a Royal Caribbean International, leader nel settore crocieristico.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli del Post nel Forum Underground

Secondo quanto riportato nel post da parte dell’attore malevolo, i dati compromessi comprenderebbero:

• 79.000 record di transazioni aziendali.
• Dati personali di 33.500 dipendenti, inclusi potenzialmente dettagli sensibili come nomi, indirizzi e informazioni contrattuali.

L’offerta sembra essere chiara e senza scrupoli: vendere tutto al miglior offerente, aprendo la strada a possibili abusi che spaziano da frodi su larga scala a sofisticati attacchi di social engineering, diretti magari proprio contro il personale della compagnia.

Le aziende come Royal Caribbean non sono semplici obiettivi: esse rappresentano ecosistemi complessi, dove i dati sensibili di clienti e dipendenti si intrecciano. Qualora tale attacco venga confermato potrebbe avere conseguenze devastanti, che vanno ben oltre la violazione dei sistemi:

• Fiducia dei dipendenti compromessa.
• Potenziali sanzioni legali per la violazione della protezione dei dati.
• Rischi di ricatti informatici o utilizzo illecito dei dati rubati.

Se sei un dipendente o un collaboratore di Royal Caribbean, è essenziale agire tempestivamente per ridurre i rischi: monitora i tuoi account cercando eventuali accessi sospetti o tentativi di phishing, aggiorna le credenziali e, quando possibile, attiva l’autenticazione MFAi, segnala anomalie riportando prontamente qualsiasi attività sospetta all’azienda e alle autorità competenti.

Conclusione

Questo presunto incidente dimostra ancora una volta quanto i dati sensibili siano tra i bersagli più ricercati dai cybercriminali. Non è solo una notizia isolata, ma un invito all’azione: aziende e professionisti devono rafforzare le proprie difese e investire nella sicurezza per fronteggiare il crescente rischio di violazioni sempre più sofisticate. La minaccia è reale, e la risposta deve esserlo altrettanto.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Un Threat Actor rivendica compromissione ai danni di Royal Caribbean proviene da il blog della sicurezza informatica.

Gli attacchi SMB Relay sono una tecnica di attacco che sfrutta vulnerabilità nei protocolli di rete, come SMB (Server Message Block), per impersonare un utente legittimo e accedere a risorse di rete sensibili senza necessità di conoscere le credenziali in chiaro.

Questo attacco è comune nei contesti di reti interne e spesso sfrutta l’assenza di SMB Signing obbligatorio.

Questo attacco può essere usato in maniera complementare con LLMR poisoning. LLMNR poisoning può essere usato per catturare hash NTLM che poi sono sfruttati in un SMB relay. Quindi, è importante implementare misure di difesa su entrambi i fronti.

Come funziona un SMB Relay Attack

Condizioni necessarie:

• SMB Signing disabilitato o non obbligatorio.
• Un utente o amministratore con privilegi elevati deve essere attivo sulla rete.

Attacco: L’attaccante si posiziona come intermediario (Man-in-the-Middle) utilizzando strumenti come Responder per catturare hash NTLM. Questi possono essere “relayati” direttamente a un server SMB vulnerabile tramite strumenti come ntlmrelayx, bypassando l’autenticazione.

Nel cuore di un attacco SMB relay, gli aggressori intercettano e trasmettono le sessioni di autenticazione SMB per sfruttarle a proprio vantaggio. Questo metodo subdolo è potente perché non richiede la decifrazione degli hash delle password. I professionisti della sicurezza devono essere informati su come questo attacco possa penetrare nei sistemi, rendendo vitale l’utilizzo di misure preventive.

Mitigare il rischio di attacchi SMB relay richiede l’applicazione di tecniche specifiche, come l’abilitazione della firma SMB e l’adozione di protocolli crittografati. Queste tecniche riducono drasticamente la possibilità che un attaccante possa sfruttare una sessione di autenticazione intercettata. Attraverso un’attenta pianificazione delle difese, le organizzazioni possono proteggere efficacemente i propri sistemi informatici.

Key Takeaways

• Gli attacchi SMB relay permettono accessi non autorizzati senza credenziali
• Intercettazione delle sessioni di autenticazione SMB sfrutta punti deboli
• Tecniche di difesa includono la firma SMB e protocolli crittografati

Fondamenti Tecnici

Il protocollo SMB è fondamentale per le reti Windows, permettendo la condivisione di file tra macchine. SMB opera utilizzando NTLM per l’autenticazione, che è cruciale per comprendere la vulnerabilità degli attacchi relay.

Cos’è SMB e il suo Ruolo nelle Reti

SMB (Server Message Block) è un protocollo di rete che facilita la condivisione di file, stampanti e porte seriali tra diversi computer all’interno di una rete. In ambienti Windows, SMB è essenziale perché permette una comunicazione efficace tra client e server.

SMB lavora nel livello di applicazione nel modello OSI, permettendo agli utenti di accedere alle risorse condivise come cartelle e file. È anche utilizzato per richieste di operazioni su file e per comunicazioni inter-processo. La sua funzionalità include richieste di apertura e lettura di file su dispositivi remoti, rendendolo essenziale in ambienti di lavoro collaborativi e integrati.

NTLM e il Processo di Autenticazione

NTLM (NT LAN Manager) è un protocollo di autenticazione utilizzato in molte implementazioni di SMB. Utilizza un meccanismo di sfida e risposta per verificare l’identità dell’utente. Questo processo inizia con il server che invia una sfida al client, a cui il client risponde con un hash calcolato.

Il protocollo NTLM è vulnerabile a diversi tipi di attacchi, tra cui il relay, poiché l’hash intercettato può essere utilizzato per autenticarsi senza conoscere la password originale. Questo è un punto critico perché consente agli attaccanti di sfruttare le credenziali intercettate per accedere indebitamente a risorse di rete, rappresentando un rischio significativo per le infrastrutture IT aziendali.

Descrizione dell’Attacco SMB Relay

Gli attacchi SMB Relay consentono agli aggressori di sfruttare una sessione di autenticazione SMB intercettata. L’attaccante può relayare le informazioni per ottenere accesso non autorizzato senza la necessità di conoscere le credenziali dell’utente.

Fasi Principali dell’Attacco

Un attacco di tipo SMB Relay inizia con l’intercettazione della comunicazione tra un client e un server. L’attaccante si pone tra i due, facendo credere al client di comunicare con il server legittimo.

Il primo passo è catturare la richiesta di autenticazione SMB inviata dal client. Una volta ottenuto, l’attaccante inoltra questa richiesta al server destinato per approvarla. Questo si traduce in un accesso non autorizzato, poiché il server cerca di autenticare il client a causa dell’intermediazione dell’attaccante.

Questo attacco sfrutta vulnerabilità nella configurazione delle reti, in particolare quando non vengono utilizzate misure di sicurezza avanzate come la firma obbligatoria per l’SMB. È fondamentale essere consapevoli di queste tecniche per adottare misure preventive.

Possibili Vettori di Attacco

Ci sono numerosi vettori che possono essere sfruttati negli attacchi SMB Relay. Uno comune è il cosiddetto attacco man-in-the-middle, in cui l’attaccante si interpone tra una comunicazione di rete SMB.

Un altro vettore frequente è l’utilizzo di vulnerabilità note all’interno della rete, dove mancano protocolli di autenticazione come l’uso del NTLMv2. Gli attacchi possono anche derivare da configurazioni errate o da una gestione inadeguata delle credenziali di rete.

Gli amministratori di rete devono essere vigili e utilizzare strumenti di monitoraggio per ridurre il rischio di attacchi SMB Relay. Implementare difese efficaci è essenziale per proteggere l’integrità della rete.

Strategie di Mitigazione e Prevenzione

Per ridurre il rischio di attacchi SMB Relay, è essenziale adottare tecniche di configurazione sicura, protezione dei client, e implementazione di policy di sicurezza. Ogni area gioca un ruolo cruciale nel rafforzare la sicurezza della rete e minimizzare le vulnerabilità.

Consigli:

• Abilitare SMB Signing: Questa misura garantisce l’integrità della comunicazione SMB, prevenendo l’uso di hash intercettati.
• Disabilitare LLMNR e NetBIOS: Questi protocolli facilitano il poisoning delle risposte DNS sulla rete locale.
• Implementare il principio del least-privilege: Ridurre i diritti amministrativi assegnati agli utenti finali.
• Evitare il riutilizzo delle password: Gli attaccanti sfruttano hash identici su più dispositivi per ampliare il compromesso.

Configurazione del Server

Configurare i server per utilizzare protocolli sicuri è fondamentale. L’abilitazione della firma SMB aiuta a impedire attacchi non autorizzati. Questo processo assicura che i dati inviati e ricevuti siano autenticati.

È importante aggiornare regolarmente i server con le patch di sicurezza più recenti. Queste proteggono contro le vulnerabilità note che potrebbero essere sfruttate dagli aggressori.

L’uso di protocolli crittografati come SMBv3 aggiunge un ulteriore livello di sicurezza alla configurazione del server. Questo assicura una protezione più robusta contro tentativi di intercettazione e manipolazione dei dati.

Protezione dei Client

I client devono avere sistemi operativi aggiornati per prevenire sfruttamenti attraverso le vulnerabilità esistenti. Questo include l’applicazione di patch di sicurezza che risolvono le falle nei protocolli più vecchi.

L’installazione di software antivirus e firewall ben configurati fornisce una barriera aggiuntiva contro gli attacchi. Questi strumenti rilevano e bloccano tentativi sospetti di accesso alla rete.

La disabilitazione degli account inutilizzati e privilegiati sui client limita le possibilità per gli aggressori di ottenere accesso tramite credenziali compromesse.

Implementazione di Policy di Sicurezza

L’implementazione di policy di sicurezza efficace è essenziale per prevenire gli attacchi SMB Relay. L’adozione di NTLMv2, ad esempio, migliora la sicurezza dell’autenticazione riducendo il rischio di attacchi di relay.

L’imposizione di politiche di password sicure garantisce che le credenziali degli utenti non siano facilmente compromesse.

Monitorare e registrare costantemente le attività di rete aiuta a rilevare attività sospette in tempo reale. La visibilità sulla rete consente una risposta più rapida e mirata agli incidenti di sicurezza.

Strumenti e Tecniche di Difesa

Per proteggere i sistemi dagli attacchi SMB relay, è essenziale impiegare strumenti di monitoraggio avanzati e implementare tattiche di inganno come gli honeypots. Questi approcci aiutano ad individuare e prevenire attività malevole, assicurando al contempo un ambiente più sicuro per i dati sensibili.

Software di Monitoraggio e Rilevamento

Software dedicati al monitoraggio e al rilevamento sono cruciali nella difesa contro gli attacchi SMB relay. Tali strumenti possono eseguire una scansione continua delle reti per identificare comportamenti anomali. Nei tool di rilevamento avanzato, i dati di rete vengono analizzati in tempo reale, il che permette di intervenire prima che si verifichino danni significativi. Un esempio di ciò sono le soluzioni proposte da Microsoft, che offrono strategie difensive per il traffico SMB. Inoltre, è importante abilitare le firme SMB per garantire integrità e autenticità nei messaggi di autenticazione. Questi software devono poter integrare allarmi rapidi che avvisano gli amministratori di rete in caso di potenziali attacchi.

Uso di Honeypots

Gli honeypots rappresentano una tecnica ingegnosa per distrarre e analizzare gli aggressori. Questi sistemi fungono da trappole all’interno delle reti, fingendo di contenere informazioni importanti. Quando un aggressore interagisce con un honeypot, vengono raccolte informazioni preziose sulle sue tecniche e motivazioni. Per implementare honeypots efficaci contro gli attacchi SMB relay, è fondamentale configurare correttamente i loro parametri e monitorarli attivamente. Gli honeypots permettono di studiare il comportamento di un attacco in un ambiente controllato, consentendo aggiornamenti e adeguamenti delle difese basati su dati concreti. Tali informazioni possono essere usate per rafforzare le difese esistenti e prevenire futuri attacchi.

Dimostrazione Pratica

Invece di decifrare gli hash raccolti con Responder, possiamo invece inoltrare quegli hash a macchine specifiche e potenzialmente ottenere accesso. Utilizzeremo il laboratorio AD creato nei precedenti ariticoli, per questo attacco é necessario che:

Requisiti:

La firma SMB deve essere disabilitata o non applicata (disabled or not enforced) , come di default, sul target.

Le credenziali utente inoltrate devono essere da admin sulla macchina per ottenere un accesso, nel nostro caso :

prima di continuare dobbiamo configurare correttamente responder per fare in modo che gli hash che cattureremo non siano intercettati ma inoltrati (RELAYED , appunto):

sudo mousepad /etc/responder/Responder.conf

ed ora usaimo ntlmrelay.py che riceverá da RESPONDER l’hash e lo indirizzerá verso la macchina target, se l’utente é una admin della macchina (e “sesposito” lo é) l’attacco funzionerà.

ora serve un evento sulla rete, per esempio una richiesta di accesso ad un folder che non esiste:

Un attacco SMB Relay si basa sul fatto che un dispositivo della rete (la vittima) invii volontariamente una richiesta SMB o NTLM di autenticazione. Senza questa interazione iniziale, l’attaccante non può ottenere l’hash NTLM dell’utente da “inoltrare”. L’evento può essere causato in diversi modi:

Attivato da un utente:

Un utente accede a una condivisione di rete SMB malevola (ad esempio, cliccando su un link “smb://attacker-ip” inviato in un’email).

L’utente tenta di stampare su una stampante SMB configurata in modo malevolo.

Attivato passivamente:

L’attaccante utilizza un tool come Responder per “spoofare” (falsificare) risposte a richieste di rete DNS o WPAD. La vittima, in cerca di un servizio SMB o WPAD, si connette automaticamente al server malevolo.

Alcuni dispositivi inviano automaticamente richieste SMB alla rete (ad esempio, per cercare condivisioni di rete o stampanti).

Perché funziona?

L’attacco funziona sfruttando le debolezze del protocollo NTLM in combinazione con configurazioni di rete non sicure. Ecco i dettagli tecnici:

Autenticazione tramite NTLM:

Quando un dispositivo cerca di autenticarsi con SMB, invia un hash NTLM (challenge-response) al server. Questo hash rappresenta le credenziali dell’utente.

L’attaccante cattura questo hash durante l’evento e lo inoltra a un altro server (il “target”) che accetta la stessa autenticazione.

Assenza di SMB Signing:

L’attacco SMB Relay funziona solo se il SMB Signing è disabilitato o non richiesto sul server target.

SMB Signing protegge l’integrità del traffico SMB verificando che i messaggi non siano stati alterati. Se non è abilitato, l’attaccante può inoltrare il traffico senza che il server si accorga della manipolazione.

Credenziali valide:

Se l’utente le cui credenziali sono state inoltrate ha i privilegi di amministratore sul server target, l’attaccante ottiene accesso completo.

Assenza di MFA (Autenticazione Multifattore):

NTLM non supporta nativamente l’autenticazione a due fattori. Pertanto, l’attacco funziona se il sistema non richiede ulteriori verifiche.

Gli hash del SAM locale sono stati estratti. Questi hash possono ora essere portati offline e decifrati. Ancora meglio, possiamo utilizzare attacchi pass-the-hash per accedere alle macchine senza mai decifrare la password.

Nota: non abbiamo compromesso un account di dominio, né era necessario farlo. Ancora una volta, la bellezza degli attacchi relay è che non è mai necessario conoscere la password per portare a termine l’attacco. Quindi, serve una buona password policy!

Ricezione qui sopra di una reverse shell.

L'articolo SMB Relay: Attacco, Mitigazione, Strategie e Soluzioni Efficaci proviene da il blog della sicurezza informatica.

The crystal radio is a time-honored build that sadly doesn’t get much traction anymore. Once a rite of passage for electronics hobbyists, the classic coil-on-an-oatmeal-carton and cat’s whisker design just isn’t that easy to pull off anymore, mainly because the BOM isn’t really something that you can just whistle up from DigiKey or Mouser.

Or is it? To push the crystal radio into the future a bit, [tsbrownie] tried to design a receiver around standard surface-mount inductors, and spoiler alert — it didn’t go so well. His starting point was a design using a hand-wound air-core coil, a germanium diode for a detector, and a variable capacitor that was probably scrapped from an old radio. The coil had three sections, so [tsbrownie] first estimated the inductance of each section and sourced some surface-mount inductors that were as close as possible to their values. This required putting standard value inductors in series and soldering taps into the correct places, but at best the SMD coil was only an approximation of the original air-core coil. Plugging the replacement coil into the crystal radio circuit was unsatisfying, to say the least. Only one AM station was heard, and then only barely. A few tweaks to the SMD coil improved the sensitivity of the receiver a bit, but still only brought in one very local station.

[tsbrownie] chalked up the failure to the lower efficiency of SMD inductors, but we’re not so sure about that. If memory serves, the windings in an SMD inductor are usually wrapped around a core that sits perpendicular to the PCB. If that’s true, then perhaps stacking the inductors rather than connecting them end-to-end would have worked better. We’d try that now if only we had one of those nice old variable caps. Still, hats off to [tsbrownie] for at least giving it a go.

Note: Right after we wrote this, a follow-up video popped up in our feed where [tsbrownie] tried exactly the modification we suggested, and it certainly improves performance, but in a weird way. The video is included below if you want to see the details.

youtube.com/embed/3jleBhsdZig?…

youtube.com/embed/-N85ixkloNs?…

hackaday.com/2024/12/03/fail-o…

Da qualche ora su Breach Forum un threat actor dal nome “newplzqibeme”, ha condiviso un repository GitHub dove è pubblicato un exploit scritto in python per lo sfruttamento attivo della CVE-2024-0012 su PanOS (il sistema operativo dei firewall Palo Alto).

L’exploit garantisce all’attaccante, accesso completo amministrativo al firewall con un meccanismo di Authentication Bypass, ottenendo l’accesso come amministratore.

Nel post di “newplzqibeme” sono riportati a titolo di esempio due IP pubblici, che sono molto probabilmente dei firewall esposti e vulnerabili.

I firewall con PanOS 10.2, 11.0, 11.1 e 11.2 sono affetti da questa CVE se non aggiornati alle rispettive versioni (>= 10.2.12-h2, >= 11.0.6-h1, >= 11.1.5-h1 e >= 11.2.4-h1).

La CVE, categorizzata con livello 9.3 (ancora sotto revisione), permette appunto accesso amministrativo completo al firewall e il tool di exploit a disposizione pubblicamente su GitHUB, permette anche la creazione di una Reverse Shell per l’attaccante.

Lo script su GitHUB è aggiornatissimo (ultimo update 1 Dicembre 2024).

Sul sito di Paolo Alto ci sono tutte le informazioni sulla CVE, le possibili mitigazioni e i dettagli tecnici.

Viene anche citata un POC (Proof Of Concept) per lo sfruttamento di tale CVE che abbiamo trovato su GitHUB (anche questa relativamente aggiornata alla data di 15 giorni dalla stesura di questo articolo).

Il nostro consiglio è quello di intervenire immediatamente sui firewall eventualmente esposti su internet con l’interfaccia web di amministrazione, ma non solo!

Anche i firewall non esposti sono vulnerabili a tale attacco se l’accesso avviene da una trusted network; nel malaugurato caso in cui un thread actor abbia già accesso alle vostre reti.

In questo momento ci sono circa 257 mila dispositivi esposti su internet che rispondo a Palo Alto Global Protect. Si consiglia di aggiornare tali device, se ne siete in possesso, per evitare accessi indesiderati da parte degli attaccanti

L'articolo L’Exploit per l’RCE sui Firewall Palo Alto è Online! Amministrazione Inclusiva… per Tutti! proviene da il blog della sicurezza informatica.

“Faccio parte di un’organizzazione giornalistica, di coloro che hanno fiducia nel giornalismo. Il giornalismo oggi non è più quello che era, sta scomparendo. Il potere del giornalismo si sta erodendo e probabilmente morirà. Questa è la dura realtà che ci occorre affrontare. Nelle nostre società, in occidente, il giornalismo è sotto attacco, la verità è […]

freeassangeitalia.it/intervent…