Elastic Security - Escalação de Privilégios Win32k CVE-2019-1458

 Em novembro de 2019, pesquisadores de segurança da empresa Kaspersky, detectaram uma exploração de 0-day do Google Chrome que foi usada em ataques pela operação WizardOpium. A operação WizardOpium envolveu um portal de notícias em coreano comprometido, onde os invasores plantaram secretamente uma exploração de 0-day do Chrome para obter controle dos computadores de seus visitantes.

Notificada como CVE-2019-1458, essa vulnerabilidade de elevação de privilégios no Windows, por meio do componente Win32k, onde este não consegue manipular corretamente os objetos na memória. Um invasor que explorar com êxito essa falha poderá executar código arbitrário no modo kernel. O atacante pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos totais de usuário SYSTEM.

[ LEIA O ARTIGO COMPLETO ]

Curso Gratuito sobre Elastic Security

Aula 1 - Elastic Stack para área de Cibersegurança

Guia de Estudos Elastic Security

 

Fala pessoal, tudo bem?! Neste post, estarei disponibilizando um guia de estudos na Stack Elastic Security. São vídeos, artigos, documentos entre outros onde estarei atualizando, sempre que possível, para manter uma boa base de conhecimento e assim servir de norte para quem desejar aprender um pouco mais sobre as tecnologias da Elastic com foco em segurança da informação. Acesse o canal, no Telegram, onde também são postados materiais de estudos com uma atualização mais rápida: Elastic Security.

O Elastic Security dá às equipes de segurança meios de bloquear ameaças rapidamente e na escala da nuvem, com a melhor plataforma da categoria para prevenção, detecção e resposta unindo a solução de SIEM e Endpointsecurity.

• Elastic SIEM — Visão moderna de dados e segurança
• Elastic Security — Montando um Laboratório Gratuito na Elastic Cloud (Parte I)
• Elastic Security - Montando um Laboratório Gratuito na Elastic Cloud (Parte II)
• Elastic Securty 8 -Instalação e Configuração
• Elastic Security 8 — Conectando os Beats
• Elasctic Security — Auditoria em Sistemas Windows (Parte I)
• Elastic SIEM — Auditoria em Sistemas Windows (Parte II)
• Elastic Security - Execução de proxy binário do sistema: Regsvr32
• Elastic Security — Detectando Reverse Shell utilizando o Powershell
• Elastic Security - Detectando Atividades de WEB Scan
• Elastic SIEM — Análise de Escalação de Privilégios no Active Directory (CVE-2021–42278/42287)
• Elastic SIEM — Criando Regra de Detecção para a CVE-2021–42278/42287
• Elastic Security — Detectando malwares criados no Metasploit
• Elastic SIEM — Detectando Ataque de Brute Force no Serviço de Remote Desktop Protocol (RDP) no Windows Server
• Elastic SIEM — Análise de Escalação de Privilégios Local no Polkit’s pkexec (CVE-2021–4034)
• Elastic SIEM — Regra de Detecção para Polkit’s pkexec (CVE-2021–4034)
• Elastic Security: Proteção Empresarial construída sobre o Elastic Stack
• LGPD e o Elastic Security
• Elastic Agent and Fleet: Simplifying data onboarding from instrumentation to action
• Como o seu SIEM legado pode estar atravancando os seus negócios
• Detectando ameaças em hosts Linux com Auditbeat
• Detectando ameaças analisando logs de eventos do Windows com Elastic (ELK) Stack
• Elimine ameaças com o XDR sem limites
• Faça as operações de segurança evoluírem mais rapidamente com o Elastic Security como seu SIEM
• Caçando persistência usando o Elastic Security
• Elastic SIEM: Defendendo sua companhia com o Elastic Stack
• Using Elasticsearch and the Elastic Stack for Advanced Threat Hunting
• Threat Hunting with Elastic Stack: Solve complex security challenges with integrated prevention, detection, and response
• Elastic Security Fundamentals: SIEM

Elastic Security 8 - Conectando os Beats

 Com a chegada das novas funcionalidades do Elastic 8, vieram mudanças significativas no tocante aos controles de segurança permitindo uma confiabilidade no transporte e comunicação dos dados entre o motor de busca Elasticsearch e demais componentes da Stack como os Beats e Agents.

[ LEIA O ARTIGO COMPLETO ]