Latest Security News

Security Event log logon/off תיזכורת

מדי פעם , אני נקרא לדגל בכדי לפענח פעילת תחנה או משתמש ברשת .
כחלק מהבדיקות הרבות שאני מבצע , אני מתיחחס גם לEVENT LOGS בתחנה וב DC לגבי אירועי LOGON\OFF
אך מתקשה לזכור את ה EVENT ID הרלוונטיים.
אז הנה רשימה קצרה לתזכורת (xp 2000):
לרשימה המלאה:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx

528 - Successful Logon
529 - Logon Failure - Unknown user name or bad password
530 - Logon Failure - Account logon time restriction violation
531 - Logon Failure - Account currently disabled
533 - Logon Failure - User not allowed to logon at this computer
534 - Logon Failure - The user has not been granted the requested logon type at this machine
535 - Logon Failure - The specified account's password has expired
536 - Logon Failure - The NetLogon component is not active
537 - Logon failure - The logon attempt failed for other reasons
538 - User Logoff
539 - Logon Failure - Account locked out
551 - User initiated logoff
552 - Logon attempt using explicit credentials
682 - Session reconnected to winstation
683 - Session disconnected from winstation

ZER0 DAY SMB V2

FYI
פירצת אבטחת התגלת בפרוטוקול SMB V2 שפותח ע"י מיקרוסופט ומיושם ב VISTA ו SERVER 2008

לפי שעה אין PATCH המתקן את חור האבטחה .
מיקרוסופט מציעה לבטל את השימוש בפרוטוקול זה ואף מספקת כלי ( FIXIT) המבצע זאת אוטומטית .
ניתן לוהוריד את הכלי כאן:
http://blogs.technet.com/srd/archive/2009/09/18/update-on-the-smb-vulnerability.aspx

cve id:
CVE-2009-3103

FYI

FLASH SECRETS - כלים לבדיקת ACTION SCRIPTS

שיכלול טכנולוגית ה FLASH מאפשרכיום לעשות הרבה מעבר להצגת גרפיקה .דפי LOGIN , הפניות ,ושאר ירקות מתאפשרות ע"י שימוש ב ACTION SCRIPTS .
במחקרים שעשו מצאו שהשימוש ב AS המקודד HARDCODED בקובץ ה FLASH הוא נרחב וכן רמת האבטחה בו נמוכה.
מפתחים מטביעים שמות משתמשים וססמאות,וכן הפניות לדפים חסויים בתוך הקוד בהנחה כי אין דרך לבצע שליפה של הקוד מתוך הקובץ.
האמנם?
מסתבר שאפשר וזה אפילו קל לחלץ ACTION SCRIPT מתוך קובץ SWF או כל פורמט FLASH אחר.
ניתוח של המידע הזה מאפשר לנו להבין פגיעויות באתר הן ברמת ה FLASH עצמו והן ברמת חשיפת פרטים נוספים.

2 כלים חינמיים שמצאתי חילוץ וניתוח AS

FOCA RC1- כלי חדש לחילוץ METADATA ממסמכים.


METADATA = מידע המוסף למסמכים וקבצים ע"י תוכנות עריכה למטרות שימוש התוכנות עצמם .

המידע יכול להכיל:
  • תאריך ושעה בהם נוצר המסמך
  • שם המתשמש שיצר את המסמך
  • שם המחשב או השרת הפנימי
  • כתובות דואר אלקטרוני
  • נתיבים המסמכים
  • שמות מדפסות

ניתן לעשות שימוש במידע זה בשלב איסוף הנתונים בהליך ה PENTEST ובמיוחד כשמבצעים BLACK BOX PENTEST.

FOCA - הוא כלי הלוקח את הגילוי והניתוח שלב אחד קדימה,ע"י הגדרת הדומיין שאותו אנו רוצים לחקור ,הוא מבצע חיפוש לכל סוגי המסמכים המאורכבים במנועי החיפוש ,מוריד אותם למחשב המקומי ,מבצע ניתוח של הMETADATA ומציג אותו לפי קטגוריות ( users,printers'computer'email) וכו.