1.6 KiB
| date | title |
|---|---|
| 2023-03-24T13:34:21+01:00 | Once open a time, Long time ago… |
Once open a time, Long time ago …
Certains attaquants ayant pris le contrôle d’une infrastructure peu surveiller peuvent installer des services comme une plateforme de phishing.
Contexte
Une injection sur un site vitrine a permis à l’attaquant de s’infiltrer sur le système. Il réalise une élévation de privilège et installe par la suite son infrastructure de phishing.
Infrastructure
- 1 routeur
- 1 pare-feu
- 3 serveurs/VM ;
- 2 postes clients.
Pas-à-Pas
CVE-2021-21972 Le client vSphere est affecté par une vulnérabilité d'exécution de code à distance dans un plugin vCenter Server. Un acteur malveillant disposant d'un accès réseau au port 443 pourrait exploiter ce problème pour exécuter des commandes avec des privilèges non restreints sur le système d'exploitation sous-jacent qui héberge le vCenter Server. Cette vulnérabilité est suivie en tant que CVE-2021-21972. Le plugin vCenter de vRealize Operations est à l'origine de cette vulnérabilité. Un attaquant peut exploiter le système vulnérable à distance en téléchargeant un fichier
Printnightmare :
PrintNightmare est une vulnérabilité de sécurité critique affectant le système d'exploitation Microsoft Windows. La vulnérabilité se produit dans le service de spooler d'impression. Il existe deux variantes, l'une permettant l'exécution de code à distance (CVE-2021-34527), et l'autre conduisant à une élévation de privilèges (CVE-2021-1675). https://blog.sygnia.co/demystifying-the-print-nightmare-vulnerability