Пару дней назад пришло письмо от GoDaddy, что они удалят мой аккаунт и домены до конца года, потому что я русский. 🙂 Горд собой, что когда пошли первые проблемы с американскими платежными системами я НЕ искал способы как бы обходными путями заплатить GoDaddy, а оперативно перенес из них все свои домены к российскому регистратору и домен в ".ru" там зарегал на всякий случай. Так что пусть удаляют. 🌝
Вышла статья с PoC-ом для Apache Struts2 RCE (CVE-2023-50164). Также Shadowserver пишут, что пошли попытки эксплуатации. Не затягивайте с обновлением, кажется тема будет громкая.
🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday. И это не те уязвимости, на которые можно было подумать и о которых все пишут. Это две малозаметные EoPшки:
🔻 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2023-35632). В этом году был прецедент, когда EoP в Windows Ancillary Function Driver for Winsock (CVE-2023-21768) довели до эксплоита за 24 часа. В январе вышла уязвимость, в марте уже был модуль в Metasploit. Расковыряют ли в этот раз? Посмотрим. 🍿
🔻 Elevation of Privilege - Windows Win32k (CVE-2023-36011). EoP эксплоиты для Win32k появляются очень часто и обновления для этой конкретной CVE выпустили для всех версий Windows, начиная с Windows Server 2012. 🕵♂
Остальные уязвимости, несмотря на занимательные описания, пока не дотягивают до трендовых. Но это вовсе не значит, что их не нужно исправлять. Очень даже нужно. 😉
Декабрьский Microsoft Patch Tuesday. Всего 34 уязвимости. С набежавшими с ноября - 53.
🔻 Наиболее критичная это Memory Corruption - Chromium (CVE-2023-6345). Это уязвимость в Skia, о которой я уже писал. Есть признаки эксплуатации вживую.
Для других уязвимостей нет эксплоитов и признаков эксплуатации вживую.
🔸 RCE - Windows MSHTML Platform (CVE-2023-35628). По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в Preview Pane). 🔥
🔸 RCE - Internet Connection Sharing (ICS) (CVE-2023-35630, CVE-2023-35641). Эксплуатация через отправку вредоносного DHCP-запроса на сервер ICS. Можно получить SYSTEM. 🔥
🔸 EoP - Windows Kernel (CVE-2023-35633 и штук 5 других). Подъём до SYSTEM.
Остальное какое-то неинтересное. 🤷♂️
Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM.
Зачем нужно агентное сканирование:
🔸 можно сканировать активы, до которых активно не достучишься (десктопы)
🔸 нет проблем с учётками
🔸 можно более оперативно обновлять данные
Что показали:
🔹 как в политиках модуля EDR настраивается сканирование (запуск по расписанию, ожидание запуска пока не снизится загрузка CPU, пауза между повторными сканированиями, запуск по событию EDR)
🔹 как выглядит вкладка с состоянием агента
🔹 как выглядят результаты в активах VM
Важные моменты:
🔻 Агенты полноценные, сами инициируют соединение.
🔻 Поддерживается Windows и Linux (в т.ч. Astra Linux). MacOS пока не сканится, хотя EDR там работает.
🔻 Если у вас есть лицензия на VM, нужно будет докупить лицензию на агентное сканирование на нужное количество хостов.
🔻 Полноценный EDR можно не покупать, можно будет использовать урезанные агенты EDR только с функцией сканирования.
Минорная, но забавная уязвимость в Counter-Strike 2. CS2 это новая версия контры, которая вышла в конце сентября.
Как видим на скриншоте, у одного из игроков в имени есть HTML код, а именно тег для подгрузки изображения со внешнего сервера. Игрок инициирует голосование на кик самого себя. Как видим, у других игроков код отрабатывает и картинка подгружается. А это значит, что владелец сервера собрал ip-адреса других игроков и может попробовать с ними что-нибудь сделать нехорошее, например попробовать заDDoSить. 🤔
А можно было Java Script выполнять? Пишут, что нет, это не XSS. Только HTML.
Уязвимость запатчили вчера, обновляйтесь. 🎮
RCE уязвимость в Apache Struts2 (CVE-2023-50164). Как тут не вспомнить прошлую громкую RCE-шку в Apache Struts2 CVE-2017-5638, которая привела к взлому Equifax в 2017 с утечкой ~200 млн. приватных записей клиентов и штрафом на $700+ млн. 🙂
В этот раз пока не видно сообщений об эксплуатации вживую и эксплоитов в паблике. В бюллетене пишут:
"Злоумышленник может манипулировать параметрами загрузки файлов, чтобы реализовать paths traversal, и в некоторых случаях это может привести к загрузке вредоносного файла, который можно использовать для удаленного выполнения кода."
Уязвимы версии:
🔻 Struts 2.0.0 - Struts 2.3.37 (EOL)
🔻 Struts 2.5.0 - Struts 2.5.32
🔻 Struts 6.0.0 - Struts 6.3.0
Для исправления нужно обновиться до Struts 2.5.33, Struts 6.3.0.2_ или более новой версии.
Не будьте эквифаксами, отслеживайте уязвимости в используемых веб-фреймворках и обновляйтесь заранее! 😉
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.