Архив за месяц: Апрель 2025

Апрельский Microsoft Patch Tuesday

Добавить комментарий

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday. Всего 153 уязвимости, в 2 раза больше, чем в марте. Из них 32 были добавлены между мартовским и апрельским MSPT. Есть 3 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Common Log File System Driver (CVE-2025-29824). Атакующий может получить привилегии SYSTEM. Подробностей пока нет.
🔻 SFB - Microsoft Edge (CVE-2025-2783). Побег из песочницы, есть PoC эксплоита.
🔻 RCE - Microsoft Edge (CVE-2025-24201). Изначально её заводили как уязвимость в WebKit для ОС от Apple. 🤷‍♂️

Также Microsoft исправляли уязвимости с эксплоитами в Kubernetes (CVE-2025-1974, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-24513)

Из остальных можно отметить:

🔹 RCE - LDAP (CVE-2025-26670, CVE-2025-26663), TCP/IP (CVE-2025-26686), Microsoft Office (CVE-2025-29794, CVE-2025-29793), RDS (CVE-2025-27480, CVE-2025-27482), Hyper-V (CVE-2025-27491)
🔹 SFB - Kerberos (CVE-2025-29809)

🗒 Полный отчёт Vulristics

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)?

Добавить комментарий

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)?

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)? Сегодня будет апрельский MSPT. Самое время посмотреть, а есть ли какие-то обновления по уязвимостям из мартовского MSPT, для которых были признаки эксплуатации вживую.

Публичных эксплоитов для этих уязвимостей пока не появилось. 🤷‍♂️

Первые две уязвимости аналогичны по вектору эксплуатации, различаются только типом уязвимой файловой системы:

🔻 Remote Code Execution - Windows Fast FAT File System Driver (CVE-2025-24985). Целочисленное переполнение или циклический переход (Integer Overflow or Wraparound, CWE-190) в драйвере Fast FAT ОС Windows позволяет неавторизованному злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD).

🔻 Remote Code Execution - Windows NTFS (CVE-2025-24993). Переполнение буфера в куче (Heap-based Buffer Overflow, CWE-122) в файловой системе Windows NTFS позволяет несанкционированному злоумышленнику выполнить код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD).

Ещё одна уязвимость также требует открытия зловредного файла:

🔻 Security Feature Bypass - Microsoft Management Console "EvilTwin" (CVE-2025-26633). Консоль управления Майкрософт (MMC) - компонент ОС Windows, который используется для создания, сохранения и открытия консолей администрирования для управления оборудованием, программным обеспечением и сетевыми компонентами Windows. MMC позволяет сохранять коллекцию настроек в виде файлов MSC. Для эксплуатации уязвимости злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC файл, что, согласно ZDI, приведёт к выполнению кода в контексте текущего пользователя. Для эксплуатации уязвимости злоумышленники могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы. Исследователи Trend Micro связывают случаи эксплуатации уязвимости вживую с деятельностью группировки EncryptHub (также известной как Water Gamayun и Larva-208).

И, наконец, классическая уязвимость повышения привилегий:

🔻 Elevation of Privilege - Windows Win32 Kernel Subsystem (CVE-2025-24983). Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации уязвимости злоумышленнику необходимо выиграть "race condition". Уязвимость была обнаружена исследователями ESET. Они нашли эксплойт для CVE-2025-24983 на системах, скомпрометированных с использованием бэкдора PipeMagic.

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Добавить комментарий

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live. Всё верно, традиционный ежегодный эфир по VM-у на AM Live раздвоился. ✌️

11:00 - Как выстроить процесс управления уязвимостями. Здесь будут представители Positive Technologies. SolidLab VMS, Security Vision, Vulns io VM, Kaspersky, R-Vision, RedCheck. Крепкий состав из основных игроков российского VM-рынка. 🛡 Модерировать будет Иван Шубин. От PT участвует Павел Попов.

15:00 - Лучшие практики Vulnerability Management. Здесь будут представители Инфосистемы Джет, Angara ASM, RebrandyCo, ScanFactory, BIZONE. Огненная смесь из EASM-вендоров, пентестреров и VM-консалтеров. 🔥 И я там тоже буду в качестве независимого эксперта. 😇 Модерировать будет Лев Палей.

Имхо, следует смотреть оба эфира. В первом ожидаю традиционную тонкую борьбу нарративов, отражающую текущие особенности предложений VM-игроков. 😏 Во втором - срыв покровов относительно реалий VM-а в российских организациях. 😉

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Добавить комментарий

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). Бюллетень безопасности вендора вышел 4 марта. Все эти уязвимости зарепортили эксперты из Microsoft Threat Intelligence Center. Для всех трёх уязвимостей были признаки эксплуатации вживую и они были добавлены в CISA KEV.

По мнению исследователя Кевина Бомонта, эти уязвимости образуют цепочку уязвимостей, названную "ESXicape". Эксплуатируя её, злоумышленник, имеющий возможность запускать код на виртуальной машине, "может повысить уровень доступа к гипервизору ESX". Потенциально это позволяет скомпрометировать всю виртуализованную инфраструктуру организации.

Уязвимости касаются VMX процесса (Virtual Machine Executable), который выполняется в VMkernel и отвечает за обработку ввода-вывода на устройствах, не критичных к производительности. VMX также отвечает за взаимодействие с пользовательскими интерфейсами, менеджерами снапшотов и удаленной консолью.

🔻Уязвимость состояния гонки TOCTOU (Time-of-Check Time-of-Use) в VMware ESXi и Workstation (CVE-2025-22224), приводящая к записи за пределами допустимого диапазона ("out-of-bounds write"). Злоумышленник с локальными административными привилегиями на виртуальной машине может выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).

🔻Уязвимость произвольной записи в память (Arbitrary Write) в VMware ESXi (CVE-2025-22225). Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведёт к побегу из "песочницы".

🔻Уязвимость разглашения информации (Information Disclosure) в VMware ESXi, Workstation и Fusion (CVE-2025-22226). Причина уязвимости чтение за пределами допустимого диапазона (out-of-bounds read) в HGFS. VMware HGFS (Host-Guest File System) - это функция, которая позволяет использовать общие папки между хостовой и гостевой операционными системами в виртуальной машине VMware. Злоумышленник с административными привилегиями на виртуальной машине может извлекать содержимое памяти процесса VMX.

Обновитесь до следующих безопасных версий:

🔹 VMware ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300
🔹 VMware ESXi 7.0: ESXi70U3s-24585291
🔹 VMware ESXi 6.7: ESXi670-202503001
🔹 VMware Workstation 17.x: 17.6.3
🔹 VMware Fusion 13.x: 13.6.3

Блогерство

Добавить комментарий

Блогерство

Блогерство. Алексея Лукацкого иногда раздражает, когда его представляют на мероприятиях как блогера. Он пишет, что, блогерство это профессиональная деятельность, подразумевающая определенное качество контента, регулярность публикаций и систематическое извлечение прибыли из этой деятельности (обычно за счёт продажи рекламы). Я с ним согласен. А от себя добавлю, что от блогера ещё ждут поведения шоумена (если не клоуна). Контент блогера должен прежде всего быть развлекательным, а глубина и полезность не столь важны. В общем, аргументов хватает, чтобы не причислять себя к "блогерам". 😉

Хотя меня и не причисляют. 😅 Не, ну серьезно. Вот Артемий Лебедев с ~650к+ подписчиков в одной только телеге - блогер. Среди ИБшников таких охватов ни у кого близко нет и, думаю, не будет. Даже у варезников. 😏

Когда я хочу подсветить свою внерабочую деятельность, я отрекомендовываюсь как "VM-специалист и автор телеграм-канала про Управление Уязвимостями". Коротко, конкретно и ни к чему не обязывает. 😉

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились в компьютере. Уязвимость этого драйвера, исправленная в рамках июньского Microsoft Patch Tuesday 2024 года, позволяет атакующему получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow (CWE-122).

🔻 Приватный эксплойт был представлен на конкурсе TyphoonPWN 2024 30 мая 2024 года. Его использовали в составе цепочки эксплоитов для осуществления побега из виртуальной машины под управлением VMware workstation (Guest-to-Host-Escape).

🔻 19 декабря 2024 года техническое описание и код эксплоита были опубликованы на сайте SSD Secure Disclosure.

🔻 3 марта в блоге Positive Technologies вышел пост, в котором рассматриваются корни уязвимости и техники эксплуатации.

Пощупал новый мессенджер MAX от VK

Добавить комментарий

Пощупал новый мессенджер MAX от VK
Пощупал новый мессенджер MAX от VKПощупал новый мессенджер MAX от VK

Пощупал новый мессенджер MAX от VK. Разработкой занимается новое юрлицо "Коммуникационная платформа". Мессенджер позиционируется как будущий супер-апп, аналог китайского WeChat. Мне он в первую очередь интересен в качестве площадки для ведения канала, если Telegram заблокируют.

По первой (бета?) версии расклад такой:

🔹 Есть мобильные приложения, приложения под win и macOS, веб-версия. Обещают клиент под Linux. Регистрация по номеру телефона. Ников и ссылок на профиль нет.

🔹 Каналов пока нет, но уже есть групповые чаты.

🔹 Возможности форматирования текста богаче, чем в Telegram. Дополнительно есть заголовок, выделение красным, подчёркивание. Лимиты на сообщения с картинкой большие - 4000 символов. 👍 Изображение непривычно ниже текста. 👎

🔹 Экспортировать историю сообщений из чата нельзя.

🔹 Есть боты. По умолчанию добавляется бот GigaChat от Сбера.

В целом, пока для моих задач не юзабельно, но перспективы есть. Буду отслеживать развитие.