Read. Get inspired. Learn.

TRUESEC official blog

A knowledge base by experts

Here you will find articles and blogs written by our experts, on subjects ranging from cyber security, development and advanced IT infrastructure. We aim to publish when we got something to say. Do you have any suggestions on subjects we should write about? Send us an e-mail!

Latest posts

ConfigMgr Patch Reporting – Challenges

I’ve spoken all around the world about different patching challenges. Somehow even after years of patching, reporting is still a challenge. Today, I want to take a different tack, and instead of attacking the technical aspects try to explain the higher-level challenges for management. To do this we are going to approach this from two […]

Continue reading...

Invoke-WebRequest or Invoke-RestMethod?

So, you want to play with that shiny new ReST API you’ve discovered but in doing research on consuming ReST APIs with PowerShell you’ve discovered two different cmdlets. Which one do I use? Which one is best? These are the same questions I had about 8 months ago. Invoke-WebRequest The Invoke-WebRequest cmdlet sends HTTP, HTTPS, FTP, and […]

Continue reading...

Finding DNS Servers

This past month there was a RUSH to patch every single Windows based DNS server in every organization. Something quickly asked was “Did we get them all?”. For some organizations, you see the phrase “finding DNS,” and you find it crazy. However, at larger global organizations, it may be a real challenge. What do you […]

Continue reading...

SIGRed (CVE-2020-1350) affects ALL Windows DNS Servers and leads to full domain compromise.

Yes that it is true. The high severity vulnerability identified by CVE-2020-1350, reported here, affects all versions of Windows DNS Server from 2003 to 2020 and since DNS servers are usually Domain Controllers, that results in obtaining Domain Admin privileges. SIGRed is a wormable vulnerability with a CVSSv3 score of 10.0, the highest, and triggered by […]

Continue reading...

RemoteApp and the missing OneDrive client

As more and more organizations are shifting to OneDrive and remote work, things like Remote Desktop Services and RemoteApps offer a great way of publishing applications without the need for VPN. It also offers a way of accessing applications without having them installed on your current device. There is however a common challenge with remote […]

Continue reading...

Why your organization needs MDM to protect what matters

Before we head into why your organization needs MDM (Mobile Device Management) I will explain a few abbreviations and perceptions. These will be of importance for this post, and for your EMM journey. EMM = Enterprise Mobility Management. It’s a very wide area. It includes everything that you can configure, protect, install and report on […]

Continue reading...

PowerShell – Logging

Something overlooked in scripting is the value of logging your result. Typically when most system administrators write something in PowerShell they are attempting to achieve a desired result. When the desired result is achieved, why log the steps taken? Furthermore, why bother when we have tools like: Write-Verbose Write-Error Write-Output Write-Information Write-Host Start-Transcript All of […]

Continue reading...

C# to PowerShell: Finale

Welcome to the third and final C# to PowerShell article. These articles aren’t meant as full tutorials, merely a peek in to some of the changes you will experience moving from C# to PowerShell . I saved the best for last I promise you. .NET in PowerShell Yes, you read that correctly. You can access […]

Continue reading...

Choosing a Windows release branch

Windows 10 was first released back in 2015 and with it came two release branches. At the time of release, they where called Current Branch and Long Term Servicing Branch. Both of which later changed name to Semi Annual Channel (SAC) and Long Term Release Channel (LTSC) respectively. There is still debate online on if […]

Continue reading...
Cyber security blockchain global cyberattack

A Short Story of a Targeted Attack

The importance of a quick detection and response. Companies are constantly getting targeted by cyber-attacks, some of them may have important valuable customer information, production manufacturing secrets or, in general, sensitive data of all different kinds. Attacks are not always focused on stealing information, but can also aim at implanting ransomware, thus at stopping production […]

Continue reading...

C# to Powershell: Part2

Welcome to Part 2 of my C# to PowerShell series where I talk about interesting things I’ve learned on my path from C# to PowerShell. This article will focus on Casing, Error Handling and some of the minor oddities that PowerShell has. Case Sensitivity Ok, I admit, the graphic above is probably overkill on the […]

Continue reading...

Learn how to use the Microsoft 365 security stack

Over the last month, I have had the pleasure of delivering two new Truesec-developed courses! One focusing on Microsoft 365 Security and the other focusing on Microsoft Intune. This blog post will present these two new offerings and explain why they are more relevant than ever. I will also share my view on delivering online […]

Continue reading...
Bypassing modern XSS mitigations with code-reuse attacks

Recommended advanced audit logging

A couple of weeks ago I wrote a blog post about the importance of logging in your environment. This is a follow up to that post showing more of how advanced audit logging should be configured. This is only a recommendation on a starting point. The general rule is you can never have to much […]

Continue reading...

MEMCM – Recovery

As a member of the Truesec incident team I frequently find myself recovering Microsoft Endpoint Manager Configuration Manager (MEMCM). As the product has evolved over time so have the options for recovering the environment. In my time as a consultant I’ve seen Hyper-V replicas, SQL Always On, and VMWare snapshots defined as the MEMCM recovery […]

Continue reading...

Case of the non working MEMCM agent

Recent work with a customer revealed a strange issue with Microsoft Endpoint Manager Configuration Manager. After a short while the agent stopped working, as in Software Center would still load for the end user, but it would not show anything. Nor would user and machine policy work. When I started troubleshooting and tried simple things […]

Continue reading...

C# to PowerShell an Introduction

I, like most C# developers, had heard about PowerShell since it came out. I originally shunned PowerShell as ‘just a scripting language’ and assumed it could never do what I could do with a custom C# tool. Over the past year I have learned how very wrong I was. In this article I will try […]

Continue reading...

The ruthless world of cyber crime

You wake up at 17, ready to start your daily routine. You’re a criminal who works at night, robbing stores, kidnapping people, and reselling stolen jewelry. You do some research for what stores to rob, and off you go. Break into places, steal money, and sometimes you face the owner of the store you are […]

Continue reading...
Computer hardware lifecycle

Building a secure digital workplace – The importance of hardware lifecycle management

I spend my time helping customers and colleagues build secure workplaces, appreciated both by users and administrators. Truesec are fortunate enough to work with some of Sweden’s, and perhaps also the worlds, most challenging IT-infrastructures. We implement and manage technical solutions, proven to make a difference when it comes to security. Unfortunately, we are often […]

Continue reading...
cybersecurity Kerberoasting

The importance of protecting your service accounts

Service accounts have always been an attractive target for hackers and red teamers. It is commonly used to escalate privileges and getting access to sensitive data. One of the common attacks against service accounts is called “Kerberoasting”. Kerberoasting is an attack method that allows a normal domain user to get their hands on credentials for service accounts by […]

Continue reading...
Iot-cyberattacker

Giving forensics a log trail to follow

Ransomware is targeting more and more organizations. As part of the Truesec incident response team one of the things we always see is the need to track down patient zero and be sure that no remnants of the threat actor is still active in the environment. To do this our team of cyber security forensics will use logs to follow the trail where ever it may lead.

Continue reading...

Work from home like a Pro

Senior Isolated Remote Consultant Some of you might know I’ve been in the IT industry since 2009. Almost 11 years in the industry! However, you may or may not know I’ve been a 100% remote employee for almost six years in different industries including game design, health care, and consulting. After working from home for […]

Continue reading...
Bypassing modern XSS mitigations with code-reuse attacks

Bypassing modern XSS mitigations with code-reuse attacks

Cross-site Scripting (XSS) has been around for almost two decades yet it is still one of the most common vulnerabilities on the web. Many second-line mechanisms have therefore evolved to mitigate the impact of the seemingly endless flow of new vulnerabilities. Quite often I meet the misconception that these second-line mechanisms can be relied upon […]

Continue reading...

En varning till er som jobbar på distans genom mobilt bredband.

Vi på Truesec har under en längre tid observerat problem till följd av att flera mobila bredband ger användaren en publik och ofiltrerad IP-adress. Det vill säga, en adress som är fullt exponerad mot resten av internet. Det finns ett s.k. “bakgrundsbrus” på internet. Det består av massvis med botar som kontinuerligt skannar allt dom […]

Continue reading...

Cyberkriminella passar på när samhället är försvagat

Vårt samhälle sätts på hårda prov under coronakrisen. Det är inte bara sjukvården som ansträngs till bristningsgränsen, även våra IT-system är under extremt hårt tryck. Nu är cybersäkerhet viktigare än någonsin tidigare. Vi har sett antalet cyberattacker öka markant den senaste tiden. Flera 1000tals nya skadliga webbsidor som har med Corona att göra skapas dagligen […]

Continue reading...

Nya Cyber-risker vid ny ovan arbetssituation

När världen och vi människor är under attack på ett sätt vi kanske aldrig sett förut, så lägger de kriminella aktörerna i nästa växel. Vi översköljs av än det ena, än det andra “erbjudandet” kopplat till Coronaviruset. Varför är det så? Jo, för att det fungerar. Låt oss nu se till att iallafall göra det […]

Continue reading...
IT-incidenter: lär av andras misstag, inte av egna

Microsoft Exchange Server Remote Code Execution

Introduction On February 11th, Microsoft released a patch for Microsoft Exchange Server (all versions), addressing a serious vulnerability allowing any authenticated user to execute arbitrary commands with SYSTEM privileges. The vulnerability was given CVE number CVE-2020-0688. This is possible because all Exchange servers use the same static key to encrypt/decrypt ViewState. Attackers can specify arbitrary […]

Continue reading...
From S3 bucket to Laravel unserialize RCE - Alexander Andersson Truesec - blog

From S3 bucket to Laravel unserialize RCE

Insecure deserialization is a common vulnerability (OWASP TOP10) that very often leads to arbitrary code execution. Today, I’m going to explain how to turn a seemingly harmless deserialization into code execution. This recently came in handy for me in a penetration test of a PHP/Laravel based application. Before we jump down the rabbit hole, I’ll […]

Continue reading...
Dataintrång Truesec Marcus Murray Expert

Larmet: Lösensummorna vid dataintrång har överstigit 150 miljoner kronor

En intervju med Marcus Murray, VP Cyber Programs och Truesecs grundare. Antalet IT-incidenter fortsätter att öka och lösensummorna är rekordhöga. Cyberattacker har blivit ett samhällsproblem som inte bara skadar företag utan hela nationer. Truesec team av experter utreder majoriteten av de allvarliga IT-incidenter som sker i Sverige idag. Nu varnar Marcus Murray, Truesecs grundare och […]

Continue reading...

Configuring VSCode – ToDo Tree

VSCode offers an unimaginable amount of customization, and I recently wrote a blog post on my blog (jordantheitguy.com) listing out my favorite VSCode extensions. One of those extensions – “ToDo Tree” – requires a little more configuration than just clicking install. What is ToDo Tree Before we deal with how to install one of my […]

Continue reading...
Alexander Andersson Truesec Expert Blog CVE-2020-6836

Reverse shell through a node.js math parser

CVE-2020-6836 Recently, I performed a penetration test of a typical single-page application, exposing a static React web app and a REST API written in Node.js. This article details how I discovered and exploited a critical vulnerability (now known as CVE-2020-6836) that allowed unauthenticated arbitrary remote code execution. The API had an endpoint that was kind […]

Continue reading...

Introducing LAPS Web UI

Removal of Local Administrator rights is everyone’s favorite topic right? The conversation generally starts with, “It’s not possible, we need those rights” and ends with “Ok, we will try it but who do we contact when we need Local Administrator access?”. Most likely the answer is, contact support, but that could flood support depending on […]

Continue reading...

Deployment logs with centralized collection

With the release of ConfigMgr Technical Preview 1912, the ability to quickly collect log files for specific devices is now available. While there were several ways of doing this in the past, we now can perform the action using native tools, without scripts or third-party add-ons. Now if we could only do this during deployment […]

Continue reading...

Psykologiska faktorer som möjliggör social manipulation

En angripare utnyttjar psykologiska faktorer hos människor i syfte att utföra dataintrång. Vanligt förekommande angreppssätt inom Social Engineering är fysiska intrång och phishing för att på så sätt få tillgång till känslig information, lokaler, nätverk och andra mål. Oavsett val av angreppssätt bygger attacken ofta på specifika scenarion. Ett scenario kan exempelvis vara att få […]

Continue reading...

Fysiskt intrång som angreppssätt vid dataintrång – Social Engineering

Sekunder efter att jag gömt Lådan kommer det in en man i rummet. Han hämtar någonting i hyllorna bakom mig. Han måste ändå höra min puls som går i hundraåttio? Varför ifrågasätter han inte vad jag gör där? Fysiska intrång är att ta på allvar Ett fysiskt intrång i en organisations lokaler kan vara starten […]

Continue reading...
dataintrång

Anmäl dataintrång annars väntar nya attacker

Alla företag som utsatts för dataintrång är skyldiga att anmäla det. Den som låter bli riskerar att drabbas av nya utpressningsförsök med hot om att avslöjas. Anmäl därför alla attacker, skriver Mikael Lagström på Truesec. För snart ett och ett halvt år sedan trädde GDPR-lagen i kraft, och branschen hoppades att vi skulle bli av […]

Continue reading...

Du ÄR en måltavla, det är inte enbart en risk längre – Social Engineering

Om ett företag avser att utföra ett fullgott säkerhetsarbete ska angrepp via den mänskliga faktorn tas på allvar och inkluderas i dialoger. Social manipulation är det som gör oss till kommunicerande människor Ur en angripares perspektiv är det i dag enklare och mer tidseffektivt att tillskaffa sig otillåten åtkomst till ett företags interna information i […]

Continue reading...
TPM-fail TLDR - post by cyber security consultant at Truesec

An example of the TPM-fail vulnerability

Most recently, four security researchers disclosed two vulnerabilities on TPM modules, named collectively under the umbrella name TPM-fail. Effectively, the attack allows an attacker to leak cryptographic keys stored inside the TPM modules. More specifically, the attack is targeted at a timing-information leakage within elliptic-curve computation. Elliptic curve signatures The private and public keys are […]

Continue reading...

Falsk trygghet med multifaktorautentisering (MFA) och värdet med en säkerhetskultur – Social Engineering

Jag har aldrig varit så exalterad över ett lyckat Social Engineering uppdrag tidigare och samtidigt fullständigt livrädd för den okunskap som råder gällande multifaktorautentisering (MFA). Vi lyckades manipulera oss förbi kundens MFA-lösning genom att utnyttja den mänskliga faktorn och således hade vi upprättat åtkomst till kundens interna IT-miljö. Det finns en generell förståelse för hur […]

Continue reading...

Förvrängning av telefonnummer – Ett verktyg inom Social Engineering

Litar du på din mobiltelefons nummerpresentatör? Tänk dig följande scenario. Din telefon ringer och namnet som visas är din chefs. Problemet är bara det att din chef sitter bredvid dig i ett mötesrum och pratar redan i sin telefon – och det är inte med dig. Det är en tredje part som har imiterat din […]

Continue reading...

Upptäckta under ett Social Engineering uppdrag – Case

Under ett av våra pågående social engineering uppdrag hände det som vi försöker undvika – vi hade blivit upptäckta! Eller rättare sagt den påhittade karaktären ”Kim” hade blivit upptäckt. Vad skulle hända nu? Hur skulle uppdraget fortlöpa för att kunna uppnå resultat? Vad skulle beställaren säga? Inför och under ett pågående uppdrag är det i […]

Continue reading...

Beteendefaktorer bakom Social Engineering-angrepp

Vid ett vishingangrepp ställer måltavlan upp på att delta i en telefonenkät. Mot samtalets slut tillfrågas måltavlan att hjälpa till med ytterligare frågor fast denna gång skriftligen i ett formulär som skickas via email. Måltavlan accepterar ännu en gång att delta. Redan innan måltavlan har börjat besvara frågorna i formuläret har angriparen stulit exempelvis användarnamn […]

Continue reading...
IT-incidenter: lär av andras misstag, inte av egna

Lär av andras missöden, inte av era egna misstag!

Vårt incidentrespons-team jobbar med IT-incidenter över hela världen. Lite skämtsamt kan man säga att det ringer hos oss när det brinner hos andra. IT-angrepp är väldigt kostsamma och det är inte bara de direkta kostnaderna som fort skenar iväg utan även de indirekta. Att investera i IT för att stå bättre förberedd för ett angrepp […]

Continue reading...

Användbara angreppssätt inom Social Engineering

Uppdrag: Vilseleda, bluffa och bedra Hur många kan säga att de blir anställda på kunduppdrag med syfte att lura kundens användare? Vilseleda. Bluffa. Bedra. Sårbarheter som utnyttjas är individens godtrogenhet, begär av att vara behjälplig och naivitet. Det vassaste verktyget till förfogande: manipulation. Redan som barn lär vi oss att manipulera andra, det vill säga […]

Continue reading...
Multi-Factor Authentication Hasain Alshakarti Truesec

Is Multi-Factor Authentication being defeated?

FBI issues a new cyber attack warning, writes Zak Doffman for Forbes Media, October 7, 2019. Until now Multi-Factor Authentication has been considered the top defense against similar cyberattacks. Even Microsoft states that they block 99% of enterprise account hacks. To learn more about this, we asked Truesecs identity guru Hasain Alshakarti to clerify a […]

Continue reading...
Iot-cyberattacker

500 000 attacker mot IoT-enheter på två timmar

I ett omfattande experiment satte säkerhetsexperter upp 500 falska IoT-enheter, även kallat “honeypots”. Efter bara två timmars exponering hade mer än 500 000 attacker mot IoT-enheter utförts. De falska enheterna var utformade att efterlikna och agera som riktiga routers, smart-TVs, webbkameror och andra vanliga så kallade “smarta enheter”. Experimentet fortsatte under fyra dagar och den […]

Continue reading...
Ransomware Mikael Lagström TRUESEC

Risken att drabbas av ransomware ökar

Ransomware är inget nytt under solen egentligen. Vi har alla länge hört om både små företag, större koncerner och privatpersoner som drabbats av utpressningsvirus. De mottar ett lockande erbjudande om att betala i kryptovalutor för att få tillbaka access till sina filer. Alla med varierande utfall och framgång.  Vad vi på Truesec har sett under det […]

Continue reading...
Mainframe Security Davide Geradri TRUESEC

Let’s Hack a Mainframe!

A mainframe is just another computer. It simply has way more toys for a hacker to play with! As you probably know, we at Truesec do our fair share of red team exercises, where we go after a target enterprise and their so-called high value targets. If our customer has a mainframe, that is always […]

Continue reading...

Vad är en DDoS-attack? Konsekvenser och motåtgärder

Med anledning av DDoS-attacken mot SL förra veckan – som Marcus Murray intervjuades om – och nu senast mot flera finska myndigheter, har vi ställt några fördjupande frågor till säkerhetsexpert Mikael Lagström, Truesec. Han förklarar hur DDoS-attacker fungerar och hur allvarligt det egentligen kan bli. Vad är en DDoS-attack?DDoS står för Distributed Denial of Service […]

Continue reading...
Digitalisering och säkerhet – bristande säkerhet hotar att sänka etablerade varumärken

Digitalisering och säkerhet – bristande säkerhet hotar att sänka etablerade varumärken

För ett år sedan hamnade British Airways i blåsväder då de läckte personuppgifter via en osäkrad molntjänst. För detta riskerar bolaget att få betala 230 miljoner dollar i sanktionsavgift. Incidentutredningen visade i det fallet på 22 rader kod som möjliggjort incidenten. Dessa 22 rader ingick i ett JavaScript som inte hade blivit uppdaterat sedan 2012. […]

Continue reading...

PowerShell Dot Sourcing

I think every admin who works with PowerShell has one folder on their desktop, or somewhere labeled “Stuff”. Inside are a bunch of tiny PowerShell scripts or maybe something they wrote to do a specific thing. PowerShell has a pretty awesome feature though. A feature not a lot of people use called PowerShell DOT sourcing. […]

Continue reading...

Attacker mot våra energibolag pågår

Allt mer blir uppkopplat, och tillgängligheten ökar – men baksidan med bland annat den snabba utvecklingen inom IoT (Internet of Things) är att man ofta i sin kreativa utvecklingsambition missar säkerhetsaspekterna. Detta möjliggör och förenklar för hackers att få åtkomst till samhällskritiska system, bland annat genom attacker mot våra energibolag och energisektorn. En annan möjliggörare […]

Continue reading...

Posts by category

Cyber Security

Infrastructure