Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Что стало известно об уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138) из декабрьского Microsoft Patch Tuesday за прошедший месяц?

Добавить комментарий

Что стало известно об уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138) из декабрьского Microsoft Patch Tuesday за прошедший месяц?

Что стало известно об уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138) из декабрьского Microsoft Patch Tuesday за прошедший месяц? Да практически ничего. 🙄 Уязвимость в стандартном компоненте Windows, доступном во всех версиях, начиная с Windows Server 2003 R2. Описание у неё типично для EoP в Windows: в случае успешной эксплуатации локальный злоумышленник может получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow.

Microsoft сразу выставили признак эксплуатации вживую, однако не предоставили информации о том, где эксплуатировалась уязвимость и насколько масштабными были атаки.

Уязвимость зарепортила команда Advanced Research Team компании CrowdStrike. Но ни от них, ни от других исследователей пока нет технических подробностей. 🤷‍♂️ Тем более эксплоитов.

Так что устанавливаем декабрьские обновления безопасности Microsoft и ждём новостей! 😉

Update

Про уязвимость Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)

Про уязвимость Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144). Уязвимость из августовского Microsoft Patch Tuesday. Уязвимость в обзорах не выделяли. О ней было известно только то, что локальный атакующий может получить привилегии SYSTEM.

Через три с половиной месяца, 27 ноября, вышел write-up с кодом эксплоита от SSD Secure Disclosure. Оказалось, что эксплуатация этой уязвимости была представлена на конкурсе TyphoonPWN 2024 в конце мая. Исследователь получил за неё приз $ 70000.

Во write-up-е SSD отмечают, что коммуникация с Microsoft была непростой и "на момент проверки на последней версии Windows 11 уязвимость все еще эксплуатировалась". Непонятно, когда именно был этот момент проверки: до августовского MSPT или перед выходом write-up-а в конце ноября. 🤔 Если второе, то получается уязвимость может быть ещё не исправлена, т.е. 0day. 🤷‍♂️

Про эксплуатацию уязвимости в реальных атаках пока не слышно.

Про уязвимость Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)

Добавить комментарий

Про уязвимость Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)

Про уязвимость Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972). Компания ThemeHunk разрабатывает коммерческие темы для WordPress CMS. А плагин Hunk Companion предназначен для дополнения и расширения функциональности этих тем. У плагина более 10 000 установок.

10 декабря вышел бюллетень от WPScan с описанием уязвимости в версиях Hunk Companion plugin 1.9.0. Уязвимость позволяет неаутентифицированному атакующему устанавливать и активировать на сайте произвольные плагины из репозитория WordPressOrg. Эксплойт доступен на GitHub с 28 декабря. Несанкционированная установка плагинов опасна тем, что устанавливаемые плагины могут содержать свои уязвимости. 👾 Так в инциденте, зафиксированном WPScan, злоумышленники установили на сайте плагин WP Query Console с RCE уязвимостью CVE‑2024‑50498 и проэксплуатировали её для установки бэкдора.

Если вы используете WordPress, старайтесь минимизировать количество плагинов и регулярно их обновляйте!

Сканер уязвимостей Security Vision в формате коробочного решения для SMB появился в интернет-магазине Softline

Добавить комментарий

Сканер уязвимостей Security Vision в формате коробочного решения для SMB появился в интернет-магазине Softline

Сканер уязвимостей Security Vision в формате коробочного решения для SMB появился в интернет-магазине Softline. Лицензии от 100 до 500 IP-адресов, стоимость от 500 000 р. до 1 500 000 р. соответственно. В поставку входят модули Asset Management, Vulnerability Scanner и Vulnerability Management (включающий интеграцию с Service Desk и автопатчинг).

У коробки есть некоторые ограничения:

"В коробочном решении пользователям доступна полная функциональность за исключением возможностей, актуальных для крупных компаний со сложной ИТ-инфраструктурой, таких как конструкторы платформы и отказоустойчивый режим функционирования."

Сертификаты ФСТЭК, ФСБ, ОАЦ есть.

Агрегаторы обсуждаемых уязвимостей

Добавить комментарий

Агрегаторы обсуждаемых уязвимостей

Агрегаторы обсуждаемых уязвимостей. Александр Редчиц обновил свою подборку CVE-шных ТОПов и залил её с описаниями на телетайп. Теперь их 11:

1. Intruder's Top CVE Trends & Expert Vulnerability Insights
2. Cytidel Top Trending
3. CVE Crowd
4. Feedly Trending Vulnerabilities
5. CVEShield
6. CVE Radar (блочат РФ)
7. Vulners "Discussed in social networks"
8. Vulmon Vulnerability Trends
9. SecurityVulnerability Trends
10. CVESky
11. Vulnerability-lookup

Разнообразие радует. 👍 Но по большей части эти ТОП-ы не про реальные атаки и эксплуатабельность, а про желание ИБ-комьюнити обсуждать какие-то уязвимости. Не всегда то, что обсуждают, будет для вас важно. Да и концентрация внимания у ИБ-комьюнити как у золотой рыбки: разобрали уязвимость/инцидент, экспертность продемонстрировали и сразу забыли. 🤷‍♂️😏

Смотреть эти ТОП-ы увлекательно, но руководствоваться ими при приоритизации уязвимостей в VM-процессе - идея так себе. Лучше ориентироваться на трендовые уязвимости от PT. 😉😇

Про уязвимость Remote Code Execution - Apache Struts (CVE-2024-53677)

Добавить комментарий

Про уязвимость Remote Code Execution - Apache Struts (CVE-2024-53677)

Про уязвимость Remote Code Execution - Apache Struts (CVE-2024-53677). Apache Struts - это открытая программная платформа для создания веб-приложений на языке Java. Она позволяет разработчикам разделять бизнес-логику приложения от пользовательского интерфейса. Благодаря масштабируемости и гибкости, Apache Struts часто используется в крупных корпоративных проектах.

Бюллетень безопасности с описанием уязвимости вышел 14 декабря. Ошибка в логике загрузки файлов позволяет неаутентифицированному злоумышленнику выполнить Path Traversal, загрузить зловредный файл и, при определенных условиях, выполнить Remote Code Execution. 20 декабря для уязвимости появился публичный эксплойт. Есть сообщения о попытках эксплуатации, но информации об успешных атаках пока нет.

Вендор рекомендует обновиться до версии 6.4.0 или выше и мигрировать приложения на новый безопасный механизм File Upload.

Инфразитор (часть 2)

Добавить комментарий

Инфразитор (часть 2)

Инфразитор (часть 2). Начало рассказа.

Максимилиан Дерайсон в упор смотрел на Брайена.

- Мистер Гофман, чем вы можете объяснить такое состояние вашей домашней инфраструктуры?

- Я не знал. Я не специалист. Я не разбираюсь в этом.

- Владение устройствами накладывает ответственность, - произнёс Максимилиан назидательно. - Не выполняя элементарные правила цифровой гигиены, вы поставили под угрозу собственную безопасность, а также безопасность других людей и организаций. И, как видите, стали соучастником преступления. Если вы не хотели или не могли следить за состоянием своих устройств сами, что мешало вам обратиться к тем, кто мог бы оказать вам такую услугу. Ничто, кроме вашей собственной беспечности.

Брайен молчал. Максимилиан продолжил.

- Итак, ваша вина вполне очевидна. Дальше возможны следующие варианты. Первый: вы признаёте власть корпорации TEMPLA в решении вопроса, признаёте свою вину в ненадлежащем контроле инфраструктуры, принимаете наказание и возложенные на вас обязательства. Второй вариант: вы не признаёте власть корпорации TEMPLA в решении вопроса, и мы передаём все материалы в государственные органы. И в этом случае, вероятнее всего, вас признают соучастником атаки на критическую инфраструктуру. Возможно, даже организатором атаки. Решение за вами.

Брайен вздохнул.

- Видимо, вариантов у меня не много. Признаю власть TEMPLA и свою вину.

Максимилиан улыбнулся.

- Разумный выбор. Брайен Гофман, вы признаётесь виновным в ненадлежащем контроле принадлежащей вам инфраструктуры. Мы принимаем в расчёт, что для вас это первое выявленное нарушение подобного рода, а атака на LifeBank не привела к значительному ущербу. Вам назначается штраф 5000 конвертируемых коинов. Ваши устройства, которые могут быть обновлены, будут обновлены до последней версии. Там где возможно, будет включён режим принудительного обновления. Скомпрометированные устройства будут очищены. Устройства, которые больше не поддерживаются вендором, будут реквизированы и утилизированы. Вы должны в течение недели заключить договор сервисного обслуживания с авторизованным центром, включающий постоянную инвентаризацию принадлежащий вам инфраструктуры и её обновление. Мы информируем вас, что в случае повторного нарушения последствия будут гораздо более серьёзными. Вы всё поняли, мистер Гофман?

Брайен кивнул.

- Хорошо. Настоятельно рекомендуем вам не забывать о возложенных на вас обязательствах. А теперь прощайте!

В тот же момент кресло с Брайеном опустело. На стене продолжали выводиться изображения с камер наблюдения, установленных в квартире. Было видно, что Брайен очнулся в своей комнате и снял VR-шлем.

- Чрезмерно мягко, - произнёс Курувим.

- Милосердная эра, - Максимилиан улыбнулся. - На костёр всегда успеется, а так, может, он и извлечёт из этого урок. Ну да ладно. Выдёргивай сюда следующего.