Архив за месяц: Апрель 2024

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

По этой уязвимости один источник - статья в блоге компании Sophos.

🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copyrigth' вместо 'Copyright', 'rigths' вместо 'rights'). 🙄

🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows Driver.STL revocation list) и завели CVE-2024-26234.

🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.

Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Windows, то наверное да. 🤷‍♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defender Antivirus как CVE оформлять. 🤪

Продолжение

Вышел выпуск новостей SecLab-а с моей рубрикой по трендовым уязвимостям марта

Вышел выпуск новостей SecLab-а с моей рубрикой по трендовым уязвимостям марта. 🙂 Пятиминутная рубрика "В тренде VM" начинается с 16:43. 🎞

По сравнению с прошлым месяцем, в рубрике чуть поменьше мемчиков и шутеек, чуть побольше фактологии.

Основным ведущим выпуска в этот раз был Денис Батранков, Александр Антипов пока в отпуске.

Подробности по трендовым уязвимостям марта читайте в дайджесте и на Хабре.

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram. 🙂 Рифмованная переработка предыдущего поста.

На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Windows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.
Главное, включенная автозагрузка изображений.
Неужели правда?! Есть несколько мнений.

Разрабы Телеграма отрицают фаталити.
Есть что показать? Шлите на bug bounty!
За 10к баксов. Верить ли видео? Решай сам.
Вполне может быть и какой-то скам.

Однако, как по мне, это видео реальное,
Хотя и ситуация не такая фатальная.
Это не zero-click, а запускает зловреда тушку
Беспечный клик жертвы на превьюшку.
Этот клик запускает файл .pyzw,
Если не знаешь что это, сейчас поясню.
Исполняемый zip-архив с программой на Питон.
Запускать такое по клику в мессенджере - страшный сон.
И Телеграм такое должен бы блокировать вроде
Если бы не досадная опечатка в коде…

Но почему это файл показывается как картинка?
Похоже наложилась в детeкте по Mime-type ошибка.

Короче, по в вопросу zero-click RCE в Telegram ставим пока многоточие…
А ты подпишись на канал avleonovrus "Управление Уязвимостями и прочее". 😉

Начитался про RCE уязвимость Telegram прошлой недели

Начитался про RCE уязвимость Telegram прошлой недели

Начитался про RCE уязвимость Telegram прошлой недели. BleepingComputer, Хабр1, Хабр2. Пока всё ещё очень противоречиво. Мне кажется вероятным такой расклад:

🔹 Видео настоящее.
🔹 Это не zero-click RCE, калькулятор запускается после клика на превьюшку.
🔹 После клика на превьюшку скачивается и выполняется .pyzw файл (executable Python zip archive). Так что недавний фикс разработчиков Telegram, добавляющий нотификацию о потенциальной опасности при клике на .pyzw файлы (нотификации не было из-за курьёзной опечатки), на самом деле касался именно этой уязвимости.
🔹 BleepingComputer пишет про довольно сомнительную работу с файлами в Telegram: "неизвестные типы файлов, опубликованные в Telegram, будут автоматически запускаться в Windows, позволяя операционной системе решить, какую программу использовать". Файлы .pyzw были как раз такими "неизвестными" из-за опечатки. Кажется тут будет много граблей ещё и лучше бы по клику никогда ничего не запускать. 🤔
🔹 Почему .pyzw файл выглядит как превьюшка изображения - отдельная загадочная тема. BleepingComputer пишет: "Чтобы замаскировать файл, исследователи придумали использовать бот Telegram для отправки файла с mime-типом «video/mp4», в результате чего Telegram отображает файл как общедоступное видео." Пользователь Хабра пишет, что механизм там несколько другой. Мне, честно говоря, именно эти подробности не очень интересны. Научились как-то маскировать и ладно.

Что делать? Windows зло и клиент Telegram под Windows тоже зло, сносите. 🙂

А если серьёзно, то

🔸 Отключить автоматическое скачивание картинок и видео выглядят разумной предосторожностью. Вполне допускаю в будущем наличие уязвимости именно в обработке изображений или видео Telegram-клиентом.
🔸 Веб-версия Telegram, по идее, должна быть безопаснее десктопного приложения. 🤷‍♂️
🔸 Идеально мессенджер, как и браузер, в виртуалке запускать, чтобы ещё больше осложнить злоумышленнику жизнь. 😏

А так, в первую очередь у разработчиков Telegram должна голова об этом болеть, а дело пользователей регулярно его обновлять. 😉

Эксплуатируемая вживую уязвимость Remote Code Execution - Palo Alto Networks PAN-OS (CVE-2024-3400) с CVSS 10/10

Эксплуатируемая вживую уязвимость Remote Code Execution - Palo Alto Networks PAN-OS (CVE-2024-3400) с CVSS 10/10. Продолжаю играться с музыкальной подачей. 😅

RCE в NGFW от Palo Alto…
Максимальная критичность и атаки in the wild

Palo Alto шлёт горячий пятничный привет
Инъекция команды в фиче GlobalProtect
Без аутентификации и без хлопот
Злодей исполнит от root-а произвольный код

(chorus)
RCE в файрволе от Пальто
Реальное Next Generation решето
CVSS десятка - опять!
Давно пора его импортозамещать!

Согласно ShadowServer в России в данный момент
600 хостов с Palo Alto доступно из Интернет
На общем фоне немного, это да
Но ты проверь своё пальто, чтоб не случилась беда

Хорошего уикенда, планета Земля!
Удачи с фиксом CVE-2024-3400!

Уязвимые версии:
🔹 PAN-OS 11.1: версии 11.1.2-h3
🔹 PAN-OS 11.0: версии 11.0.4-h1
🔹 PAN-OS 10.2: версии 10.2.9-h1 Upd. 15.04 "Исправления PAN-OS теперь доступны, и на подходе новые исправления, разъяснены workaround-ы и меры по снижению рисков при использовании шаблонов Panorama".

Прикольно Tinkoff CTF продвигают

Прикольно Tinkoff CTF продвигают
Прикольно Tinkoff CTF продвигаютПрикольно Tinkoff CTF продвигаютПрикольно Tinkoff CTF продвигают

Прикольно Tinkoff CTF продвигают. Как говорится, это было не просто смело. 😉 Ещё с постами/репостами в правильных местах. Респект бывшим коллегам! 👍💛

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024-21378) с помощью утилиты Ruler работает!

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024-21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Outlook и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как NetSPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Outlook)

PT SWARM всё проверил –
Pаботает, как надо.
No back connect required!
Для Outlook вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Outlook запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей…