Архив рубрики: Проекты

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON

В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON. Что открывает новые возможности по автоматизации работы с ним. По-простому: задаем на вход список CVE-шек и комментарии к ним (если есть), получаем на выходе оцененные CVE-шки (с типом уязвимости, продуктом, эксплуатацией вживую, публичными эксплоитами и прочим). А учитывая возможность добавлять данные по уязвимостям через Custom Data Source и управлять правилами детектов софтов (products.json) и типов уязвимостей (data_classification_vulnerability_types.py), получается очень гибкая штуковина. 😇

Можно выпускать отчёты сразу и в JSON, и в HTML:

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday. Выпустил отчёт Vulristics, посмотрел. Всего 98 CVE-шек, 40 из них набежало с октябрьского MSPT. Выглядит очень блекло. 🤷‍♂️

1. Самая критичная Security Feature Bypass - Windows SmartScreen (CVE-2023-36025). Эксплуатируется вживую. Уязвимость в том, что можно создать файл .URL и при переходе по этому файлу на зловредный сайт Defender не спасёт. 🤨 Ерундень.
2. Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2023-36036) и Elevation of Privilege - Windows DWM Core Library (CVE-2023-36033). Вживую эксплуатируются, можно SYSTEM получить.
3. 3 Spoofing уязвимости в Exchange (CVE-2023-36035, CVE-2023-36039, CVE-2023-36050). Требуют аутентификацию, но потенциально могут использоваться в NTLM Relay атаках.

Из забавного - фиксы для уязвимостей Curl. Оказывается используется в Windows Update. 🙈 Ещё какая-то уязвимость в Bluetooth - видимо в какой-то их старой железке.

🗒 Vulristics report

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vulristics, запустил Linux Patch Wednesday (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tuesday, разобрался с кучей других уязвимостей и даже тему с обучением VM-у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

---

Hello everyone! October was an interesting and busy month for me. I started a new job, worked on my open source Vulristics project, and analyzed vulnerabilities using it. Especially Linux vulnerabilities as part of my new Linux Patch Wednesday project. And, of course, analyzed Microsoft Patch Tuesday as well. In addition, at the end of October I was a guest lecturer at MIPT/PhysTech university.

00:29 Back to Positive Technologies
00:59 Vulristics NVD Data Source
02:20 Vulristics Custom Data Source
03:22 Linux Patch Wednesday Project
04:16 Linux Patch Wednesday October 2023
05:49 Microsoft Patch Tuesday October 2023
09:12 Other Vulnerabilities October 2023
10:14 Miercom released a report "Vulnerability Management Competitive Assessment"
10:54 Vulners presented AI Score v2
11:31 My PhysTech Lecture

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost

Добавил кастомный источник данных в Vulristics

Добавил кастомный источник данных в Vulristics

Добавил кастомный источник данных в Vulristics. Небольшое, но довольно полезное дополнение. Иногда точно знаешь, что для уязвимости есть эксплоит или признак эксплуатации вживую, но в тех источниках, который Vulristics поддерживает, этих данных нет. 🤷‍♂️ Как же их учесть в отчёте Vulristics?

Теперь есть custom data source. Он не делает никакие запросы к внешним источникам, просто читает файлы из директории data/custom_cve. Можно добавить в эту директорию JSON-чик для CVEшки и задать в нём параметры, которые хочется определить для уязвимости. Все параметры задавать необязательно, можно только нужные. Например, только ссылки на эксплоиты.

А можно не руками, а нагенерить такие файлы скриптом на основе тех данных, которые у вас есть. 😉

Пример такого файла:

Выпустил отчёт по октябрьскому Linux Patch Wednesday!

Выпустил отчёт по октябрьскому Linux Patch Wednesday!

Выпустил отчёт по октябрьскому Linux Patch Wednesday! Первый! 🥳 Результатом доволен. Топ выглядит адекватно и соответствует тому, что я подсвечивал в канале.

1. Memory Corruption - Chromium (CVE-2023-5217). Это уязвимость в библиотеке libvpx, которая была самой критичной и в октябрьском Microsoft Patch Tuesday. Есть PoC на гитхабе и признаки эксплуатации вживую.
2. Remote Code Execution - GNU C Library (CVE-2023-4911). Это Qualys Looney Tunables. Давно есть PoC, но признаков эксплуатации вживую пока нет.
3. Denial of Service - Golang Go (CVE-2023-29409). Есть PoC. Vulristics определил софт как TLS, т.к. в описании уязвимости CVE никакого намека на Go. 🤷‍♂️
4. Denial of Service - HTTP/2 protocol (CVE-2023-44487). Также был в MSPT.

14. Memory Corruption - Curl (CVE-2023-38545). Для этой уязвимости появились PoC-и на Github.

Остальное без эксплоитов и признаков эксплуатации вживую.

🗒 Vulristics report

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday. Что в ТОПе:

1. Memory Corruption - Microsoft Edge (CVE-2023-5217). Уязвимость в библиотеке libvpx, которая отвечает за проигрывание видео в формате VP8. Как и в недавнем случае с libwebp, аффектит уйму софтов, но в первую очередь браузеры. Публичного эксплоита пока нет, но есть признаки эксплуатации вживую.

2. Elevation of Privilege - Skype for Business (CVE-2023-41763). По факту скорее information disclosure. Неаутентифицированный злоумышленник может отправить специальный запрос на уязвимый сервер Skype для бизнеса, что приведёт к раскрытию конфиденциальной информации, которая может быть использована для получения доступа к внутренним сетям. 🤷‍♂️ Есть признаки эксплуатации вживую, публичного эксплоита нет. Для Skype for Business вышло также и несколько RCE.

3. Information Disclosure - Microsoft WordPad (CVE-2023-36563). Пользователь открывает зловредный файл, в результате чего злоумышленник может получить NTLM хэши. Или, если у злоумышленника есть доступ к хосту, он сам может запустить зловредное ПО на хосте с тем же результатом. Выглядит опасно. Есть признаки эксплуатации вживую, публичного эксплоита нет.

4. Denial of Service - HTTP/2 protocol (CVE-2023-44487). Фикс для IIS (HTTP.sys), .NET (Kestrel) и Windows против новой эффективной DDoS-атаки "HTTP/2 Rapid Reset". Проблема универсальная, о том, что их атаковали через "HTTP/2 Rapid Reset" сообщали на днях Amazon, Cloudflare и Google, так что признаки эксплуатации вживую присутствуют.

Больше ничего в активной эксплуатации или с публичным эксплоитом пока нет. Можно ещё обратить внимание на:

🔻 20 уязвимостей Microsoft Message Queuing, среди которых есть и RCE.
🔻 Remote Code Execution - Microsoft Exchange (CVE-2023-36778). "Для успешной эксплуатации необходимо, чтобы злоумышленник находился в той же сети, что и хост Exchange Server, и использовал валидные учетные данные пользователя Exchange в удаленной сессии PowerShell". Не выглядит особенно критичной, хотя "Exploitation More Likely".
🔻 Elevation of Privilege - Windows IIS Server (CVE-2023-36434). Достигается через упрощённый брутфорс пароля. 🤷‍♂️
🔻 Пачка Elevation of Privilege в Windows Win32k и Windows Graphics Component. Успешная эксплуатация уязвимости может позволить злоумышленнику получить привилегии SYSTEM.

upd. 🟥 PT относит уязвимости Information Disclosure - Microsoft WordPad (CVE-2023-36563) и Denial of Service - HTTP/2 protocol (CVE-2023-44487) к трендовым.

🗒 Vulristics report

Изменения в источнике данных NVD для Vulristics

Изменения в источнике данных NVD для Vulristics

Изменения в источнике данных NVD для Vulristics. В NVD стали гораздо менее толерантно подходить к использованию своего API. После 5 последовательных запросов начинает отдаваться такое:

Это аффектило, в том числе и мой скрипт в Vulristics, который запрашивает данные из NVD. 😐

Согласно документации:

Публичный rate limit (без ключа API) составляет 5 запросов в скользящем 30-секундном окне; rate limit с ключом API составляет 50 запросов в скользящем 30-секундном окне.

Поэтому, если вы используете NVD API, ставьте sleep-ы. 🤷‍♂️

✅ Для Vulristics сделал поддержку аутентификации по ключу NVD и sleep-ы в 0.6 секунд при использовании ключа и 6 секунды без использования ключа.

Для получения ключа NVD API нужно указать организацию, тип организации и email в форме. Через несколько секунд на email придёт одноразовая ссылка, по которой отдаётся ключ.