Debunk a fake CVE-2023-23415

Qualche giorno fa è apparso sul NIST una “curiosa” vulnerabilità legata ad una presunta Remote Code Execution del protocollo Internet Control Message Protocol (ICMP). Parliamo di presunta in quanto, come si legge dal sito, attualmente “This vulnerability is currently undergoing analysis and not all information is available.”

VMWare ESXi CVE-2021–21974

Premessa Nel marasma delle (dis)informazioni mediatiche sull’argomento ho notato come spesso si parla del problema e meno spesso di come questo funziona. Con questo articolo andrò, nella maniera più sintetica possibile, ad elencare come questo bug ad oggi viene sfruttato, calandoci il più possibile nelle fasi dell’attacco e quali sono le azioni di remediation che … Leggi tutto

~/blueteam/win_audit_policy.gpo

Prefazione Raccogliere tutti i log necessari per fare auditing su server e workstation Windows è un processo necessario per la gestione di una corretta postura delle nostre infrastrutture e passa da un processo di configurazione mediante le Group Policy (o i criteri di gruppo locali se la macchina non fosse membro di un dominio) andando … Leggi tutto

~/tips/fortigate_feed.ip

In questi giorni ho deciso di implementare delle nuove policy di sicurezza sui firewall che ho in gestione. L’idea di fondo consiste nel creare degli oggetti partendo da dei feed pubblici, utilizzarli in specifiche regole per intercettare eventuale traffico in uscita (ma ovviamente si possono usare anche per il traffico in ingresso) ed infine loggare … Leggi tutto

~/docs/ELK-segmentation.ps

Prima di addentrarci nel dettaglio tecnico è bene avere chiaro in mente cos’è la segmentazione di rete e perché è indispensabile implementarla. La segmentazione della rete è una tecnica di sicurezza che consiste nel dividere una rete in sotto reti più piccole e distinte. Il processo di segmentazione della rete comporta il partizionamento di una … Leggi tutto

~/docs/filebeat_install.ods

Il presente articolo ha come scopo quello di continuare quanto già fatto nel precedente: oggi andremo ad installare filebeat per l’ingestion dei log dai firewall Fortigate. Installazione Come per tutti i pacchetti precedentemente installati, si inizia con l’importazione della chiave dal repository ufficiale di Elastic Successivamente si andrà a creare il file /etc/yum.repos.d/filebeat.repo contenente le … Leggi tutto

~/docs/elk_install.ods

Premessa Per chi mi segue su twitter sa quante volte io abbia scritto che su questo blog non avrei mai pubblicato alcun tutorial. I motivi sono semplici: in rete, con una buona ricerca su Google, si possono trovare fior fiore di documentazione ben scritta su qualsiasi argomento quindi ho sempre trovato inutile dover aggiungere ulteriore … Leggi tutto

~/docs/llmnr_poisoning.pcap

LLMNR sta per Local-Link Multicast Name Resolution, mentre che NBT-NS sta per NetBIOS Name Service.

Questi due protocolli sono di default abilitati su Windows (a partire da Windows Vista) e il loro scopo è quello di intervenire a supporto del sistema operativo quando non è in grado di risolvere un nome host tramite il servizio DNS o via il suo file host locale.

~/docs/kerberos.ht

In questi giorni mi sono imbattuto in una discussione con un gruppo di colleghi sul funzionamento di Kerberos per l’autenticazione delle sessioni su Windows. La cosa interessante che ne è venuta fuori è che, sebbene in generale tutti considerano Kerberos più efficace degli altri metodi di autenticazione (a giusta ragione), ben pochi sanno come funziona. … Leggi tutto

~/docs/windows_logon_type.sam

Cos’è il logon In breve: il logon è un processo per ottenere l’accesso a sistemi locali o remoti utilizzando un set di credenziali valide. Le informazioni sull’utente vengono convalidate dall’autorità di sicurezza locale (LSA) nel caso di un account locale mentre che, nel caso di un account di dominio, il Security Accounts Manager (SAM) sarà … Leggi tutto