Архив рубрики: Проекты

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics. Для "громких" уязвимостей, например для Zerologon (CVE-2020-1472), в отчёте бывает слишком много ссылок на GitHub, большая часть из которых с эксплойтами не связана. А автоматически понять где репозитарии с эксплойтом, а где какая-то нерелевантная ерунда, весьма сложно. Да и, как правило, не особо и нужно. Реально работающий эксплойт скорее всего попадёт в специализированные сплойт-паки, хоть и с некоторой задержкой.

Поэтому, думаю у пользователей Vulristics должна быть возможность выпустить и отчёт, содержащий максимум информации по эксплойтам (пусть и несколько замусоренный), и отчёт только с учётом сплойт-паков.

Я добавил параметр --vulners-use-github-exploits-flag, который может принимать значение либо True либо False. По умолчанию значение True.

Также добавил [источник] ссылки.

Первые впечатления от августовского Microsoft Patch Tuesday

1 комментарий

Первые впечатления от августовского Microsoft Patch Tuesday. Пока ни о чём. 🫠

Формально наиболее критичная Denial of Service - .NET and Visual Studio (CVE-2023-38180), потому что есть признаки эксплуатации. Подробностей нет, но согласитесь, что как-то сомнительно. 🤡

Больше ничего нет с эксплоитами или признаками эксплуатации.

Есть несколько Remote Code Execution - Microsoft Exchange (CVE-2023-35368, CVE-2023-38185, CVE-2023-35388, CVE-2023-38182). 3 из них точно аутентификации требуют, по одной непонятно. Эту аутентификацию можно потенциально получить через Elevation of Privilege - Microsoft Exchange (CVE-2023-21709) - "This vulnerability allows a remote, unauthenticated attacker to log in as another user". Лучше обновиться.

Remote Code Execution - Microsoft Teams (CVE-2023-29328, CVE-2023-29330). Но в наших широтах вроде его перестали использовать.

Ещё есть пачка EoP в ядре и компонентах Windows.

🗒 Vulristics report

Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday

1 комментарий

Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂

------

Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.

Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table

TOP
04:09 Remote Code Execution – Microsoft Office (CVE-2023-36884)
05:06 Security Feature Bypass – Windows SmartScreen (CVE-2023-32049)
05:48 Security Feature Bypass – Microsoft Outlook (CVE-2023-35311)
06:37 Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874)
07:16 Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)

Other RCEs
08:10 Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350)
09:01 Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
09:44 Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367)
10:24 Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
10:57 Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
11:42 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday

Добавить комментарий

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday. Теперь видно уязвимости какой критичности были упомянуты в каждом из источников комментариев. VM-вендоры (Qualys, Tenable, Rapid7) упоминают большее число уязвимостей в обзорах. Как и Dark Reading. A Sophos, например, только самый-самый ТОП. ZDI на самом деле тоже много уязвимостей упоминают, но большую часть просто перечисляют в табличке с минимумом полей - такое я игнорирую.

Также во все таблицы добавил колонку All (A) с общим количеством уязвимостей для продукта, типа уязвимостей или источника комментариев.

Перегенерил отчёт для июльского Microsoft Patch Tuesday

Добавить комментарий

Перегенерил отчёт для июльского Microsoft Patch Tuesday. Теперь там комментарии от:

🔹Qualys
🔹Tenable
🔹Rapid7
🔹ZDI
🔹Kaspersky
🔹Dark Reading
🔹Krebs on Security
🔹The Hacker News
🔹Sophos Naked Security

Пока всё те же уязвимости в топе. И для Remote Code Execution - Microsoft Office (CVE-2023-36884) всё также нет патчей, только workaround.

Дополнительно можно отметить следующие RCE, подсвеченные в обзорах:

🔸Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
🔸Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-, CVE-2023-35367)
🔸Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
🔸Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
🔸Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)

Microsoft Patch Tuesday это не только CVE-шки

Добавить комментарий

Microsoft Patch Tuesday это не только CVE-шки. Но и периодически ADV, как в последнем Patch Tuesday:

🔻ADV230001- Guidance on Microsoft Signed Drivers Being Used Maliciously
🔻ADV230002 - Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules

Иногда в описании ADV-шки упоминается соответствующая CVE, иногда нет. Не знаю уж зачем так делать и почему нельзя просто использовать имеющиеся CVE-шки или выделять свои (раз уж это пихают в раздел "update-guide/vulnerability/", а Microsoft это CVE Numbering Authority). Но вот факт - MS используют идентификаторы по которым ничего не смапится. 😑 Пока ничего по ним не делаю, просто игнорирую и теперь показываю при генерации отчета Vulristics.

Первые впечатления от июльского Microsoft Patch Tuesday

2 комментария

Первые впечатления от июльского Microsoft Patch Tuesday. Выглядит довольно интересно. 🙂

Сгенерил отчёт Vulristics, пока даже без комментариев Vulnerability Management вендоров. Как появятся обзоры, перегенерю.

Из того, что однозначно бросается в глаза это Remote Code Execution - Microsoft Office (CVE-2023-36884). У этой уязвимости даже нормальное описание, а не минимальная генерёнка. Эксплуатируется в реальных атаках.

Также активно эксплуатируемые:

🔻Security Feature Bypass - Windows SmartScreen (CVE-2023-32049)
🔻Security Feature Bypass - Microsoft Outlook (CVE-2023-35311)
🔻Elevation of Privilege - Windows Error Reporting Service (CVE-2023-36874)
🔻Elevation of Privilege - Windows MSHTML Platform (CVE-2023-32046)

Уязвимостей Exchange нет, но есть любопытная Remote Code Execution - Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350).

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Проекты

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics

Первые впечатления от августовского Microsoft Patch Tuesday

Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday

Перегенерил отчёт для июльского Microsoft Patch Tuesday

Microsoft Patch Tuesday это не только CVE-шки

Первые впечатления от июльского Microsoft Patch Tuesday