Архив рубрики: Уязвимость

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189)

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189).

Microsoft Project - программа управления проектами. Обеспечивает разработку планов, распределение ресурсов по задачам, отслеживание прогресса и анализ объёмов работ.

Уязвимость исправлена в рамках августовского Patch Tuesday. Зловредный код выполняется при открытии жертвой специального файла Microsoft Office Project, полученного в фишинговом письме или скаченного с сайта злоумышленника.

👾 Для успешной атаки должны быть отключены:

🔹 Политика "Блокировать запуск макросов в файлах Office из Интернет" (по умолчанию включена).
🔹 "VBA Macro Notification Settings".

Предпросмотр файлов в "Preview Pane" не является вектором эксплуатации. 👍

Как видите, для успешной атаки требуется довольно много условий, однако Microsoft сообщает о случаях эксплуатации уязвимости вживую. 🤷‍♂️

Августовский Microsoft Patch Tuesday

4 комментария

Августовский Microsoft Patch Tuesday

Августовский Microsoft Patch Tuesday. 130 CVE, из которых 45 были добавлены с июльского MSPT.

В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂

6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.

🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)

Другие:

🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)

🗒 Полный отчёт Vulristics

Про конкуренцию и тестирование

Добавить комментарий

Про конкуренцию и тестирование

Про конкуренцию и тестирование. Частенько натыкаюсь на размышления, что в России слишком много каких-то IT/ИБ продуктов (например, Linux-дистрибутивов или NGFW) и нужно их подсократить.

Имхо, конкуренция внутри страны - всегда благо. Но нужно регуляторно контролировать, что и как может называться. 🙂

🔹 Отечественная ОС у вас? 👍 А кто апстримы? Пакеты сами собираете? А как быстро уязвимости апстримов фиксите? У нас тут тестовые эксплоиты есть, прогоним? 🙂 А где ваши бюллетени безопасности? А как вы проверяете, что от апстрима бэкдор не придёт? А у нас тут Challenge Projects, проверите бэкдоры в них? 😎

🔹 NGFW у вас? 👍 А что детектить умеет? А какую нагрузку держит? А у нас есть тестовый трафик с атаками, прогоним? 😉

🔹 Сканер уязвимостей у вас? 👍 У нас тут есть стенды с известными уязвимостями, просканим? 😏

Для конкретных задач, где конкуренцию нужно усилить, неплохо бы и конкурсы проводить с финансированием достаточным "для поддержки штанов".

DARPA раздала 14 миллионов долларов семи полуфиналистам AI Cyber ​​Challenge (AIxCC)

2 комментария

DARPA раздала 14 миллионов долларов семи полуфиналистам AI Cyber ​​Challenge (AIxCC)

DARPA раздала 14 миллионов долларов семи полуфиналистам AI Cyber ​​Challenge (AIxCC). Каждой команде по $2 млн.

Целью конкурса является поиск автоматических систем принятия решения (Cyber Reasoning Systems), позволяющих успешно находить и устранять уязвимости в ПО с открытым исходным кодом. Организаторы получили около 40 таких систем.

🔹 Каждую систему протестировали на идентичном наборе проектов (Challenge Projects), созданных на основе критичного опенсурсного ПО: Jenkins, ядро ​​Linux, Nginx, SQLite3 и Apache Tika.

🔹 Challenge Projects содержали синтетические уязвимости, которые нужно было найти и исправить.

🔹 Работу систем проверяли в соответствии с общедоступным алгоритмом оценки.

Финал AIxCC пройдет в августе 2025 года. Будут оценивать насколько конкурсанты смогут усовершенствовать свои технологии.

🥇🥈🥉 3 победителя получат 4, 3 и 1.5 млн. долларов соответственно.

В партнёрах (коллабораторах) конкурса Anthropic, Google, Microsoft и OpenAl.

Трендовые уязвимости июля по версии Positive Technologies

1 комментарий

Трендовые уязвимости июля по версии Positive Technologies.

Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉

📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service MadLicense (CVE-2024-38077)

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.

Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷‍♂️

9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.

Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷‍♂️ В интранетах их должно быть без счёта.

❗️ Выглядит как долгоиграющая трендовая история.

Исследователи обещают нам ещё BadLicense и DeadLicense. 😉

Что известно про уязвимость 0.0.0.0_Day?

Добавить комментарий

Что известно про уязвимость 0.0.0.0_Day?

Что известно про уязвимость 0.0.0.0_Day? Оригинальный пост вышел 7 августа в блоге компании Oligo Security. Это израильская компания, которая наделала шуму в прошлом году с исследованием ShellTorch. В этот раз снова про локальные сервисы, доступные снаружи.

Когда жертва заходит на зловредный веб-сайт, этот сайт JS-ом может взаимодействовать с веб-сервисами на localhost жертвы, используя адрес 0.0.0.0_. Финт работает с Chromium, Firefox и Safari в MacOS и Linux. Это не круто, браузеры запросы к localhost должны блокировать.

Ну допустим сайт взаимодействует с какими-то сервисами на localhost (если они есть), и что? Ну, если сервис плохо написан, то это весьма потенциально может привести к RCE. 🤷‍♂️ Для демонстрации исследователи взяли уязвимость в AI фреймворке Ray (ShadowRay), которая эксплуатируется вживую, и показали, что 0.0.0.0_Day может быть вектором для атаки на локальный Ray-сервер. 🤔

❌ В общем, потенциал для трендовости у 0.0.0.0_Day пока не просматривается.