Архив рубрики: Проекты

Там в очередной раз то ли поломали, то ли не поломали LastPass

1 комментарий

Там в очередной раз то ли поломали, то ли не поломали LastPass. Поэтому не грех поворчать про менеджеры паролей. Менеджер паролей штука безусловно полезная, поскольку позволяет использовать пароли достаточной длины и сложности. Однако, к популярным, даже среди безопасников, менеджерам паролей есть вопросики.

1. Это странно, если менеджер паролей проприетарный, т.к. непонятно как фактически пароли хранятся и нет ли там бекдора/универсального ключа/тайного способа делать перебор мастер-пароля очень быстро. Если инструмент популярный и понятно кто его разрабатывает и где этот кто-то живет, то в отсутствие этого всего поверить тем более сложновато.
2. Это странно, когда менеджер паролей опенсурсный, но настолько навороченный, что просмотреть его код глазами за разумное время невозможно. Чем больше сложного кода, тем выше вероятность, что там что-то есть из п.1
3. Это странно, когда менеджер паролей хранит какие-то данные в облаке вендора.

Лично я пользуюсь своим проектом Barapass, который накидал года 2 назад (подробнее в блоге 1,2). Консольный. Работает в Windows, Linux, MacOS. Команд минимум: расшифровать и использовать файлик, искать параметр в файле с последовательным копированием найденных значений в буфер, расшифровать файл в текстовый для редактирования, зашифровать текстовый файл. Честно скажу, редактировать и добавлять новые параметры не особо удобно, но в остальном вполне норм.

По умолчанию шифруется AES-ом, но можно вообще любую комбинацию из алгоритмов накинуть, хоть американских, хоть российских, хоть китайских, хоть каких. Комбинировать даже предпочтительно, т.к. вероятность того, что кто-то возьмется восстанавливать файл честно зашифрованный AES-ом и так-то не высока, а уж в вашей личной матрешке разбираться так и точно будут себе дороже. Проще расшифрованный пароль в буфере или в памяти незаметно поймать. Ну или использовать более грубые методы, от которых менеджеры паролей не защитят. 🙂

Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday

Добавить комментарий

Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday. Кратко и на русском было здесь.

Давайте глянем что там в августовском Microsoft Patch Tuesday

2 комментария

Давайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch Tuesday

Давайте глянем что там в августовском Microsoft Patch Tuesday. 147 уязвимостей.

Urgent: 1
Critical: 0
High: 36
Medium: 108
Low: 2

Есть супер-экшн:

Remote Code Execution - Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-34713) - Urgent [843]. Это один из вариантов уязвимости "DogWalk". Эксплуатируется при открытии файла, обычно Microsoft Word. Т.е. залетит через фишинг. Тут и функциональный эксплоит (где-то) есть, и признак активной эксплуатации вживую. Похожую уязвимость уже фиксили в мае. То ли не дофиксили, то ли похожую нашли. Эксплоита в паблике пока нет.

Есть критичное:

Elevation of Privilege - Microsoft Exchange (CVE-2022-21980) - во первых на периметре торчит, во вторых атакующий сможет читать все письма на сервере и отправлять. Хорошо, что пока эксплоита нет. Хороший пример, что на EoP-ки тоже можно обращать внимание.

Есть потенциально интересное:

Remote Code Execution - Windows Point-to-Point Protocol (PPP) (CVE-2022-30133) - тут советуют трафик по порту 1723 поискать
Remote Code Execution - Windows Secure Socket Tunneling Protocol (SSTP) (CVE-2022-35766) - тоже не так часто в этом протоколе находят
Remote Code Execution - SMB Client and Server (CVE-2022-35804) - здесь естественно сразу вспоминают про MS17-010
Remote Code Execution - Visual Studio (CVE-2022-35827) - таких 3 и есть Proof-of-Concept Exploit, в таргетированном фишинге на разрабов может сработать?
Elevation of Privilege - Active Directory (CVE-2022-34691) - до System можно поднять права. Нужно, чтобы были запущены Active Directory Certificate Services

Есть стандартное, регулярно встречающееся в MSPT, но до реальной эксплуатации обычно не доходит:

Remote Code Execution - Windows Network File System (CVE-2022-34715)
Elevation of Privilege - Windows Print Spooler (CVE-2022-35793)

Есть курьёзы:

Vulristics внезапно подсветил уязвимость Memory Corruption - Microsoft Edge (CVE-2022-2623), потому что для неё есть публичный эксплоит. Оказалось, что тут ошибка в базах эксплоитов, сразу в двух 0day(.)today и packetstorm. Вместо CVE-2022-26233 по ошибке прописали CVE-2022-2623. И такое тоже бывает и никто это не проверяет. К слову о мнимой всесильности автоматической приоритизации уязвимостей по замусоренным данным.

Denial of Service - Microsoft Outlook (CVE-2022-35742) - вредоносное письмо намертво убивает Outlook, рестарт не помогает

Есть загадочное:

CERT/CC: CVE-2022-34303 Crypto Pro Boot Loader Bypass
CERT/CC: CVE-2022-34301 Eurosoft Boot Loader Bypass
CERT/CC: CVE-2022-34302 New Horizon Data Systems Inc Boot Loader Bypass

Во-первых они пришли по линии американского CERT Coordination Center. Во-вторых, по ним никто ничего не пишет, только Qualys. "security bypass vulnerabilities in a third-party driver affecting Windows Secure Boot". В-третьих, может это конечно совпадение и речь о других софтах, но Crypto Pro это не российский ли КриптоПро? А Eurosoft это не российский ли Еврософт "программное средство в области архитектурного проектирования и дизайна"? В общем, сигнальчик любопытный.

Полный отчет Vulristics: https://avleonov.com/vulristics_reports/ms_patch_tuesday_august2022_report_with_comments_ext_img.html

Майкрософт в последнее время творят дичь, но это не повод не патчить их продукты

1 комментарий

Майкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продукты

Майкрософт в последнее время творят дичь, но это не повод не патчить их продукты. Во всяком случае пока. Ну и точно не повод не смотреть их уязвимости. 🙂 Традиционная видяшка про июльский Patch Tuesday будет, но кому интересно пораньше, выкладываю репорт Vulristics. Теперь всё в первую очередь несу в тележеньку avleonovrus. 😉

Что можно сказать, приоритизация работает корректно. Сверху списка активно эксплуатируемая вживую Elevation of Privilege в Windows CSRSS (CVE-2022-22047), о которой мейнстримные медиа протрубили. Можно сразу получить привилегии SYSTEM. Публичного эксплоита пока не видно.

Дальше менее интересные уязвимости. Remote Code Execution в Remote Procedure Call Runtime (CVE-2022-22038). Тут у Microsoft есть POC эксплоита. Но вряд ли доведут до чего-то рабочего, т.к. Exploitation Less Likely.

Между июньским и июльским Patch Tuesday вышла Memory Corruption в Microsoft Edge (CVE-2022-2294), которая видимо на самом деле RCE и Google пишут, что она вживую эксплуатируется.

Ещё занимательно, что в этом Patch Tuesday больше половины всех уязвимостей это EoP. Также очень много уязвимостей в Azure Site Recovery. И EoP, и RCE, и довольно много с непубличными эксплоитами уровня зрелости POC. По описанию Azure Site Recovery это "Site Recovery is a native disaster recovery as a service (DRaaS)", казалось бы должно патчиться самими Microsoft, но на самом деле там есть установленный на хостах Microsoft Azure Site Recovery suite и как минимум часть уязвимостей это в нем. Tenable про CVE-2022-33675 пишут, что можно поднять привилегии до SYSTEM.