Архив рубрики: Темы

CVE без NIST и MITRE?

CVE без NIST и MITRE?

CVE без NIST и MITRE? Кучно пошли новости о проблемах с поддержанием баз CVE уязвимостей от NIST и MITRE:

🔻 NIST может уволить 500 сотрудников. 👋
🔻 ~100к уязвимостей опубликованных до 1 января 2018 в NIST NVD перевили в статус "deffered" ("отложенный") и перестали обновлять. 🤷‍♂️
🔻 MITRE CVE Program может потерять финансирование. 💸

Процитирую свой прошлогодний пост на 25 лет CVE: "Вместо единой нейтральной базы пришли к стремительно растущему недоанализированному огороженному западному мусорному полигону."

Похоже американская система управления настолько деграднула, что и с поддержанием этого мусорного полигона не справляется. 🤷‍♂️

Что будет дальше?

🔹 80% - зальют проблему деньгами и клоунада продолжится. 🤡

🔹 20% - американские CVE-богадельни в NIST и MITRE схлопнутся и CVE Program уйдёт в свободное плавание (всё и так держится на одних CNA-организациях). 🛳️

В целом, довольно пофиг на них. Имхо, нас в России должно волновать не это.

Некорректная постановка задачи и нереалистичные ожидания со стороны клиентов приводят к ущербному Vulnerability Management процессу

Некорректная постановка задачи и нереалистичные ожидания со стороны клиентов приводят к ущербному Vulnerability Management процессу

Некорректная постановка задачи и нереалистичные ожидания со стороны клиентов приводят к ущербному Vulnerability Management процессу. Как сейчас выглядит типичное внедрение VM-процесса в организации? Клиент приходит к VM-вендору и хочет получить от него решение, которое сможет сходу детектировать 100% уязвимостей на 100% активах в его инфраструктуре со 100% достоверностью. 💊 Причём независимо от того какой треш, угар и чад кутежа творится в инфраструктуре клиента. 🤷‍♂️ Ну, не менять же инфру ради какого-то там VM-процесса, правда? 😏

И тут бы VM-вендору сказать, что нет, так не получится… Но кушать все хотят. И обычно VM-вендор делает вид, что такая постановка задачи ему вполне ок. 👌 А клиент делает вид, что у него теперь есть работающий VM-процесс, всё детектится и устраняется. 👨‍💻 Стороны держат покер-фейс, а неудобную тему качества детектирования стараются не замечать. 😐

В результате часть инфраструктуры остаётся в "слепых пятнах". И там, естественно, самое адище. 😈

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday. Всего 153 уязвимости, в 2 раза больше, чем в марте. Из них 32 были добавлены между мартовским и апрельским MSPT. Есть 3 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Common Log File System Driver (CVE-2025-29824). Атакующий может получить привилегии SYSTEM. Подробностей пока нет.
🔻 SFB - Microsoft Edge (CVE-2025-2783). Побег из песочницы, есть PoC эксплоита.
🔻 RCE - Microsoft Edge (CVE-2025-24201). Изначально её заводили как уязвимость в WebKit для ОС от Apple. 🤷‍♂️

Также Microsoft исправляли уязвимости с эксплоитами в Kubernetes (CVE-2025-1974, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-24513)

Из остальных можно отметить:

🔹 RCE - LDAP (CVE-2025-26670, CVE-2025-26663), TCP/IP (CVE-2025-26686), Microsoft Office (CVE-2025-29794, CVE-2025-29793), RDS (CVE-2025-27480, CVE-2025-27482), Hyper-V (CVE-2025-27491)
🔹 SFB - Kerberos (CVE-2025-29809)

🗒 Полный отчёт Vulristics

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)?

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)?

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)? Сегодня будет апрельский MSPT. Самое время посмотреть, а есть ли какие-то обновления по уязвимостям из мартовского MSPT, для которых были признаки эксплуатации вживую.

Публичных эксплоитов для этих уязвимостей пока не появилось. 🤷‍♂️

Первые две уязвимости аналогичны по вектору эксплуатации, различаются только типом уязвимой файловой системы:

🔻 Remote Code Execution - Windows Fast FAT File System Driver (CVE-2025-24985). Целочисленное переполнение или циклический переход (Integer Overflow or Wraparound, CWE-190) в драйвере Fast FAT ОС Windows позволяет неавторизованному злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD).

🔻 Remote Code Execution - Windows NTFS (CVE-2025-24993). Переполнение буфера в куче (Heap-based Buffer Overflow, CWE-122) в файловой системе Windows NTFS позволяет несанкционированному злоумышленнику выполнить код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD).

Ещё одна уязвимость также требует открытия зловредного файла:

🔻 Security Feature Bypass - Microsoft Management Console "EvilTwin" (CVE-2025-26633). Консоль управления Майкрософт (MMC) - компонент ОС Windows, который используется для создания, сохранения и открытия консолей администрирования для управления оборудованием, программным обеспечением и сетевыми компонентами Windows. MMC позволяет сохранять коллекцию настроек в виде файлов MSC. Для эксплуатации уязвимости злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC файл, что, согласно ZDI, приведёт к выполнению кода в контексте текущего пользователя. Для эксплуатации уязвимости злоумышленники могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы. Исследователи Trend Micro связывают случаи эксплуатации уязвимости вживую с деятельностью группировки EncryptHub (также известной как Water Gamayun и Larva-208).

И, наконец, классическая уязвимость повышения привилегий:

🔻 Elevation of Privilege - Windows Win32 Kernel Subsystem (CVE-2025-24983). Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации уязвимости злоумышленнику необходимо выиграть "race condition". Уязвимость была обнаружена исследователями ESET. Они нашли эксплойт для CVE-2025-24983 на системах, скомпрометированных с использованием бэкдора PipeMagic.

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live. Всё верно, традиционный ежегодный эфир по VM-у на AM Live раздвоился. ✌️

11:00
- Как выстроить процесс управления уязвимостями. Здесь будут представители Positive Technologies. SolidLab VMS, Security Vision, Vulns io VM, Kaspersky, R-Vision, RedCheck. Крепкий состав из основных игроков российского VM-рынка. 🛡 Модерировать будет Иван Шубин. От PT участвует Павел Попов.

15:00 - Лучшие практики Vulnerability Management. Здесь будут представители Инфосистемы Джет, Angara ASM, RebrandyCo, ScanFactory, BIZONE. Огненная смесь из EASM-вендоров, пентестреров и VM-консалтеров. 🔥 И я там тоже буду в качестве независимого эксперта. 😇 Модерировать будет Лев Палей.

Имхо, следует смотреть оба эфира. В первом ожидаю традиционную тонкую борьбу нарративов, отражающую текущие особенности предложений VM-игроков. 😏 Во втором - срыв покровов относительно реалий VM-а в российских организациях. 😉

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). Бюллетень безопасности вендора вышел 4 марта. Все эти уязвимости зарепортили эксперты из Microsoft Threat Intelligence Center. Для всех трёх уязвимостей были признаки эксплуатации вживую и они были добавлены в CISA KEV.

По мнению исследователя Кевина Бомонта, эти уязвимости образуют цепочку уязвимостей, названную "ESXicape". Эксплуатируя её, злоумышленник, имеющий возможность запускать код на виртуальной машине, "может повысить уровень доступа к гипервизору ESX". Потенциально это позволяет скомпрометировать всю виртуализованную инфраструктуру организации.

Уязвимости касаются VMX процесса (Virtual Machine Executable), который выполняется в VMkernel и отвечает за обработку ввода-вывода на устройствах, не критичных к производительности. VMX также отвечает за взаимодействие с пользовательскими интерфейсами, менеджерами снапшотов и удаленной консолью.

🔻Уязвимость состояния гонки TOCTOU (Time-of-Check Time-of-Use) в VMware ESXi и Workstation (CVE-2025-22224), приводящая к записи за пределами допустимого диапазона ("out-of-bounds write"). Злоумышленник с локальными административными привилегиями на виртуальной машине может выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).

🔻Уязвимость произвольной записи в память (Arbitrary Write) в VMware ESXi (CVE-2025-22225). Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведёт к побегу из "песочницы".

🔻Уязвимость разглашения информации (Information Disclosure) в VMware ESXi, Workstation и Fusion (CVE-2025-22226). Причина уязвимости чтение за пределами допустимого диапазона (out-of-bounds read) в HGFS. VMware HGFS (Host-Guest File System) - это функция, которая позволяет использовать общие папки между хостовой и гостевой операционными системами в виртуальной машине VMware. Злоумышленник с административными привилегиями на виртуальной машине может извлекать содержимое памяти процесса VMX.

Обновитесь до следующих безопасных версий:

🔹 VMware ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300
🔹 VMware ESXi 7.0: ESXi70U3s-24585291
🔹 VMware ESXi 6.7: ESXi670-202503001
🔹 VMware Workstation 17.x: 17.6.3
🔹 VMware Fusion 13.x: 13.6.3

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились в компьютере. Уязвимость этого драйвера, исправленная в рамках июньского Microsoft Patch Tuesday 2024 года, позволяет атакующему получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow (CWE-122).

🔻 Приватный эксплойт был представлен на конкурсе TyphoonPWN 2024 30 мая 2024 года. Его использовали в составе цепочки эксплоитов для осуществления побега из виртуальной машины под управлением VMware workstation (Guest-to-Host-Escape).

🔻 19 декабря 2024 года техническое описание и код эксплоита были опубликованы на сайте SSD Secure Disclosure.

🔻 3 марта в блоге Positive Technologies вышел пост, в котором рассматриваются корни уязвимости и техники эксплуатации.