Архив рубрики: Проекты

Майский Microsoft Patch Tuesday

Добавить комментарий

Майский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 119 уязвимостей, примерно в 1,5 раза меньше, чем в апреле. Уязвимостей с признаком эксплуатации вживую пока нет. Но есть одна уязвимость с публичным эксплоитом:

🔸 EoP - Windows Kernel (CVE-2026-40369). Подробный write-up и эксплойт по этой уязвимости были опубликованы 14 мая, через 2 дня после майского MSPT. Исследователь описывает эксплуатацию уязвимости так: "Всего один системный вызов (syscall) из любого непривилегированного процесса - включая песочницу рендерера Chrome - позволяет увеличивать значения по произвольным адресам памяти ядра. Без состояний гонки (race conditions). Без спреинга кучи (heap spray). Без специальных токенов. 100% детерминированное повышение привилегий до уровня SYSTEM."

Из остальных можно выделить:

🔹 RСE - Windows DNS Client (CVE-2026-41096). Аналитик ZDI прокомментировал эту уязвимость так: "Этот патч устраняет переполнение буфера в куче (heap-based buffer overflow) в DNS-клиенте, которое провоцируется вредоносным DNS-ответом. Не требуется ни аутентификация, ни взаимодействие с пользователем. А поскольку DNS-клиент запущен практически на каждой машине под управлением Windows, поверхность атаки огромна. Злоумышленник, способный повлиять на DNS-ответы (через MitM-атаку или поддельный DNS-сервер), может получить несанкционированное удаленное выполнение кода (RCE) во всей вашей корпоративной сети."

🔹 RСE - Windows Netlogon (CVE-2026-41089). Уязвимость позволяет неавторизованному удаленному атакующему выполнить произвольный код на контроллере домена путем отправки специально сформированного сетевого запроса. Для эксплуатации не требуются учетные данные или взаимодействие с пользователем, что классифицирует эту уязвимость как wormable. Компрометация контроллера домена означает полную компрометацию всего домена организации. Аналитик Rapid7 в своём комментарии добавил: "Не требуется никаких привилегий или взаимодействия с пользователем, а сложность атаки (attack complexity) оценивается как низкая. Это указывает на то, что создание надежного эксплоита вряд ли вызовет особые трудности у любого, кто знаком с конкретным механизмом работы уязвимости. Microsoft оценивает вероятность эксплуатации как "менее вероятную" (less likely), однако, поскольку эти оценки публикуются без сопутствующих объяснений, неясно, насколько защитники могут на них полагаться. Каждый, кто помнит активно обсуждавшуюся в 2020 году уязвимость CVE-2020-1472 (также известную как ZeroLogon), заметит, что CVE-2026-41089 позволяет атакующему гораздо быстрее и проще скомпрометировать контроллер домена. Патчи уже доступны для всех версий Windows Server, начиная с 2012."

🔹 RСE - Windows TCP/IP (CVE-2026-40415). Комментарий аналитика ZDI: "Эта уязвимость в стеке TCP/IP вызвана ошибкой использования памяти после освобождения (use-after-free, UAF) и может позволить удаленному неавторизованному злоумышленнику выполнить код без какого-либо взаимодействия с пользователем. Это делает её еще одной wormable уязвимостью. Однако вероятность её реальной эксплуатации гораздо ниже. Целевая система должна находиться в условиях длительной нехватки оперативной памяти (memory pressure), что встречается довольно редко."

🔹 RСE - Microsoft Word (CVE-2026-40361, CVE-2026-40364, CVE-2026-40366, CVE-2026-40367). Злоумышленник может эксплуатировать эти уязвимости с помощью социальной инженерии, отправив вредоносный файл намеченной жертве. Успешная эксплуатация предоставит атакующему права на выполнение кода. Исследователи Microsoft отмечают, что область предварительного просмотра (Preview Pane) является вектором атаки для каждой из этих уязвимостей

🔹 RСE - Microsoft Office (CVE-2026-40363, CVE-2026-42831). Уязвимость, связанная с переполнением буфера в куче (heap-based buffer overflow) в Microsoft Office, может позволить неавторизованному злоумышленнику удаленно выполнить произвольный код.

🔹 RСE - Windows GDI (CVE-2026-35421). Уязвимость, связанная с переполнением буфера в куче (heap-based buffer overflow) в компоненте Windows GDI, может позволить неавторизованному злоумышленнику удаленно выполнить произвольный код.

🔹 RСE - Microsoft Dynamics 365 On-Premises (CVE-2026-42898). Комментарий аналитика ZDI: "Уязвимость позволяет любому аутентифицированному пользователю выполнять код с изменением области действия (scope change). Это означает, что в процессе эксплуатации атака может выйти за рамки уязвимого компонента и затронуть другие ресурсы. Изменения области действия (scope changes) встречаются довольно редко, поэтому, если вы используете Dynamics 365 On-Premises, обязательно протестируйте и разверните этот патч как можно скорее."

🔹 EoP - Windows Kernel (CVE-2026-33841, CVE-2026-35420, CVE-2026-40369). Уязвимости CVE-2026-33841 и CVE-2026-40369 получили оценку "Эксплуатация более вероятна" (Exploitation More Likely). Локальный атакующий может использовать их для повышения своих привилегий до уровня SYSTEM. В случае с CVE-2026-33841, он может повысить привилегии до Medium/High integrity level

🗒 Полный отчёт Vulristics

Апрельский Linux Patch Wednesday

Добавить комментарий

Апрельский Linux Patch Wednesday

Апрельский Linux Patch Wednesday. В апреле Linux вендоры начали устранять 1035 уязвимостей, почти в 2 раза больше, чем в марте. Можно было бы предположить, что это опять в основном уязвимости Linux Kernel, но нет! Уязвимостей в Linux Kernel было относительно немного - 209. Остальные уязвимости распределены среди 200+ уязвимых продуктов. Есть две уязвимости с признаками эксплуатации вживую:

🔻 RCE - Apache ActiveMQ (CVE-2026-34197). Выполнение удалённого кода осуществляется через Jolokia API (/api/jolokia/), при этом аутентификация не требуется. Уязвимость оставалась скрытой в кодовой базе в течение 13 лет до её обнаружения с помощью ИИ. Уязвимость в CISA KEV с 16 апреля. На GitHub доступно множество эксплоитов.

🔻 RCE - Chromium (CVE-2026-5281). Use-after-free в Dawn (графический слой и реализация WebGPU в Chromium) в Google Chrome до версии 146.0.7680.178 позволяет удалённому атакующему, получившему контроль над процессом рендеринга, выполнить произвольный код через специально сформированную HTML-страницу. Уязвимость в CISA KEV с 1 апреля.

Ещё для 133 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Наиболее интересные, на мой взгляд:

🔸 RCE - Cockpit (CVE-2026-4631). Cockpit - это веб-инструмент для администрирования серверов в Linux-системах, который позволяет пользователям управлять серверами, контейнерами, хранилищем и сетевыми конфигурациями через браузерный интерфейс. Атакующий с сетевым доступом к веб-сервису Cockpit может отправить один HTTP-запрос на страницу входа, который позволяет внедрить вредоносные SSH-опции или команды и выполнить код на сервере Cockpit без валидных учётных данных.

🔸 RCE - CUPS (CVE-2026-34990 + CVE-2026-34980). CUPS (Common UNIX Printing System) - это система печати для Unix-подобных операционных систем, включая Linux и macOS. Цепочка уязвимостей может позволить удалённому атакующему без аутентификации и привилегий перезаписывать файлы с правами root (по сути, получать root-доступ на типичной Linux-системе) по сети.

🔸 RCE - KVM Tool (CVE-2021-45464). KVM Tool - это легковесный инструмент для запуска виртуальных машин на базе KVM (Kernel-based Virtual Machine) в Linux. kvmtool до коммита 39181fc содержит уязвимость out-of-bounds write, которая позволяет пользователю гостевой операционной системы выполнять произвольный код на хост-машине.

🔸 PathTrav - tar (npm) (CVE-2026-31802, CVE-2026-24842). До версии 7.5.11 пакет позволял создать символическую ссылку, указывающую за пределы каталога распаковки, что вело к перезаписи файлов.

Из остальных можно обратить внимание на:

🔸 RCE - Handlebars (CVE-2026-33937), tiemu (CVE-2017-20225), Netwide Assembler (CVE-2026-6067), openexr (CVE-2026-34545), Axios (CVE-2026-40175), hdf5 (CVE-2026-29043)
🔸 CodeInj - GLPI (CVE-2025-66417), glances (CVE-2026-30930, CVE-2026-32611), Handlebars (CVE-2026-33938, CVE-2026-33940), dynaconf (CVE-2026-33154), icalendar (CVE-2026-33635)
🔸 SFB - ormar (CVE-2026-27953), cpp-httplib (CVE-2026-34441), Safari (CVE-2026-20643), rack (CVE-2026-34835), wolfssl (CVE-2026-5194), Traefik (CVE-2026-32695), glances (CVE-2026-32632, CVE-2026-32634), Vert.x-Web (CVE-2026-1002), ecdsa (CVE-2026-33936), glibc (CVE-2026-4438), incus (CVE-2026-33542), Mongoose (CVE-2026-2968)
🔸 AuthBypass - scitokens_cpp_library (CVE-2026-32725, CVE-2026-32726), Node.js pbkdf2 (CVE-2026-32633), rack-session (CVE-2026-39324), Traefik (CVE-2026-33433), grpc (CVE-2026-33186), nltk (CVE-2026-33231)
🔸 ArbFileWrite - Rust (CVE-2026-33056)
🔸 CmdInj - Netty (CVE-2026-33870), awstats (CVE-2025-63261)
🔸 EoP - Keycloak (CVE-2026-4636), QEMU (CVE-2026-33711), glances (CVE-2026-33641)

🗒 Полный отчёт Vulristics

Апрельский Microsoft Patch Tuesday

Добавить комментарий

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday. Всего 167 уязвимостей, примерно в 2 раза больше, чем в марте. Есть одна уязвимость с признаком эксплуатации вживую:

🔻 Spoofing - Microsoft SharePoint Server (CVE-2026-32201). По данным экспертов ZDI, уязвимости такого рода в SharePoint часто связаны с XSS-атаками. Атакующий может просматривать часть конфиденциальных данных и изменять раскрытую информацию, но не может нарушить доступ к ресурсу. Информации о масштабе атак пока нет, но откладывать установку исправления не следует, особенно если серверы SharePoint доступны из Интернет.

Формально уязвимостей с публичными эксплоитами пока нет. Однако есть одна уязвимость с серьёзным подозрением на наличие эксплоита.

🔸 EoP - Microsoft Defender (CVE-2026-33825). Недостаточная гранулярность контроля доступа в Microsoft Defender позволяет авторизованному злоумышленнику локально повысить привилегии. По данным Tenable и ZDI, хотя Microsoft не упоминала о наличии эксплоита, по описанию уязвимость похожа на zero-day уязвимость BlueHammer, для которой 3 апреля на GitHub появился публичный эксплоит. Исследователь Chaotic Eclipse, опубликовавший эксплойт, раскритиковал процесс раскрытия уязвимостей в Microsoft. По данным ZDI, проблема реальная, но эксплуатация пока нестабильна и не всегда надёжна.

Из остальных можно выделить:

🔹 RСE - Windows Active Directory (CVE-2026-33826). Успешная эксплуатация возможна только при наличии у атакующего учётной записи. Он должен отправить специально сформированный RPC-запрос на уязвимый RPC-хост, что приводит к выполнению кода. При этом Microsoft уточняют, что атакующий должен находиться в той же ограниченной доменной среде Active Directory, что и целевая система ("same restricted Active Directory domain as the target system").

🔹 RСE - Windows Internet Key Exchange (IKE) Service Extensions (CVE-2026-33824). По данным ZDI, уязвимость относится к классу wormable, то есть может использоваться для автоматического распространения между уязвимыми системами Уязвимость затрагивает системы с включённым IKE, то есть широкий круг целей. Microsoft рекомендуют блокировать UDP-порты 500 и 4500 на периметре сети, чтобы закрыть доступ извне. Однако внутренние атакующие всё ещё могут использовать уязвимость для перемещения внутри сети. Организациям, использующим IKE, следует как можно быстрее установить исправления.

🔹 RСE - Windows TCP/IP (CVE-2026-33827). По данным ZDI, уязвимость относится к классу wormable - по крайней мере на системах с включёнными IPv6 и IPSec. Состояние гонки (race condition) делает её эксплуатацию сложной, но такие уязвимости регулярно успешно эксплуатируются на Pwn2Own, поэтому на это препятствие полагаться не стоит. Если вы используете IPv6, стоит как можно быстрее протестировать и развернуть исправление до появления публичных эксплойтов.

🔹 EoP - Windows Push Notifications (CVE-2026-26167). По данным ZDI, в этом Microsoft Patch Tuesday несколько уязвимостей, приводят к выходу из песочницы (sandbox escape), включая уязвимости Windows Push Notifications, AFD для Winsock, Management Services и User Interface Core. Из них CVE-2026-26167 (Push Notifications) является наиболее примечательной, т.к. это единственная уязвимость с низкой сложностью атаки. Остальные требуют успешного преодоления состояния гонки (race condition) (AC:H).

🔹 Spoofing - Remote Desktop (CVE-2026-26151). Недостаточное предупреждение в интерфейсе о выполнении опасных операций в Windows Remote Desktop позволяет неавторизованному атакующему осуществлять spoofing в сети. Атакующий может проэксплуатировать уязвимость, убедив жертву открыть специально сформированный файл. Обнаружение этой уязвимости приписывается National Cyber Security Centre (NCSC) Великобритании.

🗒 Полный отчёт Vulristics

Мартовский Linux Patch Wednesday

1 комментарий

Мартовский Linux Patch Wednesday

Мартовский Linux Patch Wednesday. В марте Linux вендоры начали устранять 575 уязвимостей, на 57 меньше, чем в феврале. Из них 93 в Linux Kernel (⬇️ сильное снижение - в феврале было 305). Есть две уязвимости с признаками эксплуатации вживую:

🔻 RCE - Chromium (CVE-2026-3909, CVE-2026-3910)

Ещё для 130 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Caddy (CVE-2026-27590), NLTK (CVE-2025-14009), Rollup (CVE-2026-27606), GVfs (CVE-2026-28296), SPIP (CVE-2026-27475), OpenStack Vitrage (CVE-2026-28370)
🔸 AuthBypass - Curl (CVE-2026-3783), coTURN (CVE-2026-27624), Libsoup (CVE-2026-3099)
🔸 InfDisc - Glances (CVE-2026-30928, CVE-2026-32596)
🔸 PathTrav - gSOAP (CVE-2019-25355), basic-ftp (CVE-2026-27699)
🔸 EoP - Snapd (CVE-2026-3888), GNU Inetutils (CVE-2026-28372)
🔸 SFB - Caddy (CVE-2026-27585, CVE-2026-27587/88/89), Keycloak (CVE-2026-1529), PyJWT (CVE-2026-32597), Authlib (CVE-2026-27962, CVE-2026-28498, CVE-2026-28802)
🔸 CodeInj - lxml_html_clean (CVE-2026-28350), ormar (CVE-2026-26198)
🔸 SSRF - Libsoup (CVE-2026-3632)

🗒 Полный отчёт Vulristics

Количество подписчиков в моём MAX-канале перевалило за 200!

Добавить комментарий

Количество подписчиков в моём MAX-канале перевалило за 200!

Количество подписчиков в моём MAX-канале перевалило за 200! Чему я несказанно рад. 😇 Я отлично помню, как рос мой первый англоязычный Telegram-канал @avleonovcom 9 лет назад. Когда там стало 100 подписчиков, я это считал прямо офигенным. Это же почти как выступать перед полной аудиторией в институте! И они меня читают! И, судя по просмотрам, регулярно! Ну ничего себе!

Сейчас в MAX-е мне рост аудитории особенно приятен и важен. Каждый подписчик в MAX (как в основном канале, так и live, и чате) для меня сейчас в сто раз ценнее, чем подписчик в Телеграме, заполненном ботами и откровенными вражинами. В текущей ситуации нагнетаемой истерии вокруг национального мессенджера, даже просто пользоваться им стало проявлением позиции. Это признак адекватного человека и лояльного гражданина.

Очень отрадно видеть, что всё больше ИБ-каналов открывается в MAX: Positive Technologies, GIS, Kaspersky, CISOCLUB, Angara Security, Swordfish, InfoWatch, Похек. И это только публичные каналы! Теперь есть что почитать. 😉 Также я всё чаще общаюсь с коллегами VM-щиками именно в MAX.

Не устану повторять: Я АБСОЛЮТНО ДОВЕРЯЮ МЕССЕНДЖЕРУ MAX! И команде VK, которая за ним стоит и частью которой я когда-то был (тогда ещё Mail.Ru Group). Я не верю идиотским набросам про какую-то там слежку и небезопасность. У меня на основном десктопе стоит клиент MAX. У меня на основном телефоне стоит MAX. У всех моих родственников стоит MAX. И меня в нём всё устраивает. Жду, конечно, доступ физических лиц к API для постинга и свободную регистрацию публичных каналов. Но понимаю, что у команды разработки есть свой план и свои приоритеты. И, говоря начистоту, я этих фич, конечно, ОЧЕНЬ жду, но не настолько, чтобы зарегистрировать ИП и получить к ним доступ прямо сейчас. 🙂

С другой стороны, активная анти-MAX-овская позиция человека это для меня маркер, что с ним что-то не так. Зачем он саботирует внедрение национального мессенджера? В чём его интерес? Если он просто держится за свой ТГ-канальчик, который считает своим активом, источником влияния и дополнительного (а может, и основного) дохода - это ещё не такая большая беда. А если не только? Если человек имеет позицию, согласно которой неограниченный доступ западных спецслужб к переписке россиян - это благо? Как метко выразился в комментарии Reuters представитель экстремистской компании Meta: "WhatsApp глубоко встроен в ткань ("embedded in the fabric") каждого сообщества в стране - от родительских и рабочих групп до чатов друзей, соседей и расширенных семей по всем регионам России". Если человек за такое топит, то о чем это говорит? 🤔 Мой вам совет, если видите ЛОМа, который вам вещает, что с расчудесного Телеграма он никуда не уйдёт, призывает вас к обходу блокировок и рассказывает страшилки про MAX - делайте выводы и бросайте его читать. Этот ЛОМ доведёт вас до цугундера (и себя, вероятно, тоже).

Я за свой Telegram-канал не держусь. Я продолжу выкладывать контент в ТГ, пока это не запрещено. Как только будет прямой запрет - я свои каналы удалю. Основными своими ресурсами я считаю канал в MAX и сайт avleonov.ru. Я основательно потрудился на неделе, чтобы отвязать сайт от Telegram-канала. Раньше все посты на сайте соответствовали постам Телеги, и единственной возможностью обновить сайт было сделать выгрузку из ТГ. Теперь все посты канала (и старые, и новые) лежат у меня локально, и я их могу пулять на сайт по API. Соответственно, могу их массово анализировать и редактировать. И если (ну или когда 🙂) мой сайт на WordPress взломают, я смогу его довольно оперативно переподнять, т.к. какой-то ценности в базе на хостинге нет - это только зеркало.

Мартовский Microsoft Patch Tuesday

1 комментарий

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. Всего 79 уязвимостей, примерно в полтора раза больше, чем в феврале. Совершенно аномально то, что в этот раз не было ни одной уязвимости с признаками эксплуатации или публичным эксплоитом! 🤔 Ну, во всяком случае пока. 😏

Можно выделить уязвимости:

🔹 RCE - Print Spooler (CVE-2026-23669), Office (CVE-2026-26110, CVE-2026-26113), Excel (CVE-2026-26107, CVE-2026-26108, CVE-2026-26109, CVE-2026-26112), SharePoint Server (CVE-2026-26106, CVE-2026-26114)
🔹 EoP - SQL Server (CVE-2026-21262, CVE-2026-26115, CVE-2026-26116), Windows Kernel (CVE-2026-24287, CVE-2026-24289, CVE-2026-26132), Windows Win32k (CVE-2026-24285), SMB Server (CVE-2026-24294, CVE-2026-26128), Windows Graphics Component (CVE-2026-23668), .NET (CVE-2026-26131)
🔹 DoS - .NET (CVE-2026-26127)

🗒 Полный отчёт Vulristics

Февральский Linux Patch Wednesday

1 комментарий

Февральский Linux Patch Wednesday

Февральский Linux Patch Wednesday. В феврале Linux вендоры начали устранять 632 уязвимости, в полтора раза меньше, чем в январе. Из них 305 в Linux Kernel. Есть две уязвимости с признаками эксплуатации вживую:

🔻 RCE - Chromium (CVE-2026-2441)
🔻 InfDisc - MongoDB "MongoBleed" (CVE-2025-14847)

Ещё для 56 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - OpenSSL (CVE-2025-15467, CVE-2025-69421, CVE-2025-11187), pgAdmin (CVE-2025-12762, CVE-2025-13780), DiskCache (CVE-2025-69872), PyTorch (CVE-2026-24747), Wheel (CVE-2026-24049)
🔸 AuthBypass - M/Monit (CVE-2020-36968)
🔸 EoP - Grafana (CVE-2025-41115, CVE-2026-21721), M/Monit (CVE-2020-36969)
🔸 AFR - Proxmox Virtual Environment (CVE-2024-21545)
🔸 SFB - Chromium (CVE-2026-1504), Roundcube (CVE-2026-25916)

🗒 Полный отчёт Vulristics