Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)

Добавить комментарий

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275). Этот плагин для WordPress CMS позволяет заводить странички мероприятий с возможностями поиска и фильтрации. Плагин используется на более чем 700 000 вебсайтов.

Плагин предлагает широкие возможности кастомизации, включая использование отдельных функций плагина в своём коде. В одной из таких функции, tribe_has_next_event(), была обнаружена SQL инъекция, которая позволяет неаутентифицированному злоумышленнику извлекать конфиденциальную информацию из базы данных веб-сайта. На GitHub доступен эксплоит.

❗️ Разработчики обращают внимание, что эта функция самим плагином не используется ("unused code"). Уязвимы будут только сайты, на которые вручную добавили вызов tribe_has_next_event().

Если у вас используется WordPress c плагином The Events Calendar, проверьте нет ли там какой-то хитрой кастомизации с использованием этой уязвимой функции и обновитесь до v.6.6.4.1 и выше.

Фальшивая reCAPTCHA

Добавить комментарий

Фальшивая reCAPTCHA

Фальшивая reCAPTCHA. Наверное самый интересный пример эксплуатации человеческой уязвимости за последний месяц. Этот финт работает по двум причинам:

🔹 Разнообразные сервисы капчи приучили людей делать самые странные вещи: нажимать на картинки с определенным содержимым, перенабирать слова, решать какие-то головоломки. Многие люди даже не задумываются когда видят очередное окно "докажи, что не робот" и безропотно делают то, что от них просят. 🤷‍♂️

🔹 Веб-сайты имеют возможность записывать произвольный текст в буфер обмена посетителя сайта. 😏

Фальшивая капча призывает пользователя запустить окно Run в Windows (Win + R), затем вставить в это окно зловредную команду из буфера обмена (Ctrl + V) и запустить команду (Enter). Очень примитивно, но работает! 🤩 Таким образом злоумышленники обманом заставляют жертв запускать зловредные PowerShell скрипты и HTA приложения. 👾

John Hammond воссоздал код такой "капчи". Вы можете использовать его в антифишинговом обучении.

Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)

Добавить комментарий

Про Security Feature Bypass - Windows Mark of the Web LNK Stomping (CVE-2024-38217)

Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday 10 сентября. Уязвимость зарепортил исследователь Joe Desimone из Elastic Security. 6 августа вышел его блог-пост "Демонтаж Smart App Control", в котором, среди прочего сообщалось о методе обхода Mark of the Web под названием "LNK Stomping". Ряд источников связывают уязвимость CVE-2024-38217 и этот метод.

В чём суть. Злоумышленник создаёт LNK-файл с нестандартными целевыми путями или внутренними структурами. Например, добавляет точку или пробел к пути до целевого исполняемого файла. При клике на такой LNK-файл explorer.exe автоматически приводит его форматирование к каноническому виду, что приводит к удалению метки MotW до выполнения проверок безопасности. 🤷‍♂️ В блог-посте есть ссылка на PoC эксплоита.

Сообщается о наличии семплов на VirusTotal (самый старый от 2018 года), эксплуатирующих данную уязвимость.

Посмотрел Forrester Wave по ASM-у за Q3 2024

Добавить комментарий

Посмотрел Forrester Wave по ASM-у за Q3 2024

Посмотрел Forrester Wave по ASM-у за Q3 2024. Репринт выложили Trend Micro. Под ASM-ом Forrester понимают то, что исторически развивалось из EASM или из CAASM. "Attack surface management […] дает вам представление о том, что подвержено атаке, а также о том, отслеживается ли это и принимаются ли надлежащие меры по защите." В качестве цели заявляется предоставление полной инвентаризации киберактивов. Т.е. это уже типа взгляда на Asset Management со стороны ИБ (как Qualys CSAM)? 🤔

В лидерах CrowdStrike, Palo Alto Networks и Trend Micro. А традиционные вендоры с экспертизой по детектированию уязвимостей либо в Strong Perfomers (Qualys, Tenable), либо вообще в Contenders (Rapid7).

Имхо, так получилось из-за того, что при оценке акцент делался именно на CAASM, а не на EASM. Например, нет ничего про собственно детектирование уязвимостей на периметре. И критерии довольно обтекаемые, типа "Cyber asset inventory: asset contextualization" или "Srategy: Vision". 😉

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Добавить комментарий

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS. 26 сентября исследователь Simone Margaritelli (evilsocket) раскрыл 4 уязвимости в сервере печати CUPS для Linux систем (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) в компонентах cups-browsed, libcupsfilters, libppd и cups-filters.

Цепочка уязвимостей позволяет удаленному неаутентифицированному злоумышленнику незаметно заменять существующие IPP URL-ы принтеров на вредоносные, посылая специальные пакеты на 631/UDP. Затем при инициировании задания печати происходит RCE. Возможна массовая эксплуатация в локальных сетях через mDNS или DNS-SD.

В бюллетене OpenPrinting/cups-browsed есть PoC эксплоита.

Сколько потенциально уязвимых хостов доступно из Интернет?
🔻 Оценка Qualys и Rapid7 - 75000.
А в Рунете?
🔻 Оценка СайберОК - 5000

Патчей пока нет. 🤷‍♂️ Ждём, режем сетевые доступы и отключаем cups-browsed, где не нужен.

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями

Добавить комментарий

В следующую среду буду участвовать в эфире Безопасной среды Кода ИБ на тему построения процесса управления уязвимостями

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями. Также в качестве экспертов там будут Евгений Мельников из МегаФона и Игорь Смирнов из Alpha Systems (у меня был вчера пост про их VM-решение).

Вынесенные на обсуждение вопросы повторяют вопросы из моего недавнего интервью CISOCLUB (что, естественно, просто совпадение 😉), так что должно быть много хардкорного и болезненного про управление активами, качество детектирования, приоритизацию уязвимостей, отслеживание тасков на устранение уязвимостей и т.д.

Регистрируйтесь на сайте Код ИБ и до встречи в среду 2 октября в 12:00.

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Добавить комментарий

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014). Чтобы не выглядело, что эта уязвимость может эксплуатироваться абсолютно универсально.

🔹 Для атаки злоумышленнику требуется доступ к GUI Windows. Естественно, окошко ведь нужно увидеть и "поймать". Вот прям мышкой. Задачу упрощает утилита SetOpLock, которое не даёт окошку закрываться.

🔹 Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причём актуальный Edge или IE не подойдёт, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge или IE не должны быть установлены в качестве браузера по умолчанию.

🔹 Не для каждого MSI файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.