Архив рубрики: Уязвимость

Фальшивая reCAPTCHA

Фальшивая reCAPTCHA

Фальшивая reCAPTCHA. Наверное самый интересный пример эксплуатации человеческой уязвимости за последний месяц. Этот финт работает по двум причинам:

🔹 Разнообразные сервисы капчи приучили людей делать самые странные вещи: нажимать на картинки с определенным содержимым, перенабирать слова, решать какие-то головоломки. Многие люди даже не задумываются когда видят очередное окно "докажи, что не робот" и безропотно делают то, что от них просят. 🤷‍♂️

🔹 Веб-сайты имеют возможность записывать произвольный текст в буфер обмена посетителя сайта. 😏

Фальшивая капча призывает пользователя запустить окно Run в Windows (Win + R), затем вставить в это окно зловредную команду из буфера обмена (Ctrl + V) и запустить команду (Enter). Очень примитивно, но работает! 🤩 Таким образом злоумышленники обманом заставляют жертв запускать зловредные PowerShell скрипты и HTA приложения. 👾

John Hammond воссоздал код такой "капчи". Вы можете использовать его в антифишинговом обучении.

Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)

Про Security Feature Bypass - Windows Mark of the Web LNK Stomping (CVE-2024-38217)

Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday 10 сентября. Уязвимость зарепортил исследователь Joe Desimone из Elastic Security. 6 августа вышел его блог-пост "Демонтаж Smart App Control", в котором, среди прочего сообщалось о методе обхода Mark of the Web под названием "LNK Stomping". Ряд источников связывают уязвимость CVE-2024-38217 и этот метод.

В чём суть. Злоумышленник создаёт LNK-файл с нестандартными целевыми путями или внутренними структурами. Например, добавляет точку или пробел к пути до целевого исполняемого файла. При клике на такой LNK-файл explorer.exe автоматически приводит его форматирование к каноническому виду, что приводит к удалению метки MotW до выполнения проверок безопасности. 🤷‍♂️ В блог-посте есть ссылка на PoC эксплоита.

Сообщается о наличии семплов на VirusTotal (самый старый от 2018 года), эксплуатирующих данную уязвимость.

Посмотрел Forrester Wave по ASM-у за Q3 2024

Посмотрел Forrester Wave по ASM-у за Q3 2024

Посмотрел Forrester Wave по ASM-у за Q3 2024. Репринт выложили Trend Micro. Под ASM-ом Forrester понимают то, что исторически развивалось из EASM или из CAASM. "Attack surface management […] дает вам представление о том, что подвержено атаке, а также о том, отслеживается ли это и принимаются ли надлежащие меры по защите." В качестве цели заявляется предоставление полной инвентаризации киберактивов. Т.е. это уже типа взгляда на Asset Management со стороны ИБ (как Qualys CSAM)? 🤔

В лидерах CrowdStrike, Palo Alto Networks и Trend Micro. А традиционные вендоры с экспертизой по детектированию уязвимостей либо в Strong Perfomers (Qualys, Tenable), либо вообще в Contenders (Rapid7).

Имхо, так получилось из-за того, что при оценке акцент делался именно на CAASM, а не на EASM. Например, нет ничего про собственно детектирование уязвимостей на периметре. И критерии довольно обтекаемые, типа "Cyber asset inventory: asset contextualization" или "Srategy: Vision". 😉

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS. 26 сентября исследователь Simone Margaritelli (evilsocket) раскрыл 4 уязвимости в сервере печати CUPS для Linux систем (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) в компонентах cups-browsed, libcupsfilters, libppd и cups-filters.

Цепочка уязвимостей позволяет удаленному неаутентифицированному злоумышленнику незаметно заменять существующие IPP URL-ы принтеров на вредоносные, посылая специальные пакеты на 631/UDP. Затем при инициировании задания печати происходит RCE. Возможна массовая эксплуатация в локальных сетях через mDNS или DNS-SD.

В бюллетене OpenPrinting/cups-browsed есть PoC эксплоита.

Сколько потенциально уязвимых хостов доступно из Интернет?
🔻 Оценка Qualys и Rapid7 - 75000.
А в Рунете?
🔻 Оценка СайберОК - 5000

Патчей пока нет. 🤷‍♂️ Ждём, режем сетевые доступы и отключаем cups-browsed, где не нужен.

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями

В следующую среду буду участвовать в эфире Безопасной среды Кода ИБ на тему построения процесса управления уязвимостями

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями. Также в качестве экспертов там будут Евгений Мельников из МегаФона и Игорь Смирнов из Alpha Systems (у меня был вчера пост про их VM-решение).

Вынесенные на обсуждение вопросы повторяют вопросы из моего недавнего интервью CISOCLUB (что, естественно, просто совпадение 😉), так что должно быть много хардкорного и болезненного про управление активами, качество детектирования, приоритизацию уязвимостей, отслеживание тасков на устранение уязвимостей и т.д.

Регистрируйтесь на сайте Код ИБ и до встречи в среду 2 октября в 12:00.

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014). Чтобы не выглядело, что эта уязвимость может эксплуатироваться абсолютно универсально.

🔹 Для атаки злоумышленнику требуется доступ к GUI Windows. Естественно, окошко ведь нужно увидеть и "поймать". Вот прям мышкой. Задачу упрощает утилита SetOpLock, которое не даёт окошку закрываться.

🔹 Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причём актуальный Edge или IE не подойдёт, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge или IE не должны быть установлены в качестве браузера по умолчанию.

🔹 Не для каждого MSI файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014)

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014)

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014). Уязвимость была исправлена 10 сентября в рамках сентябрьского Microsoft Patch Tuesday. Её обнаружил Michael Baer из SEC Consult. 12 сентября вышел их блог-пост с деталями эксплуатации.

MSI файлы - стандартный способ установки, восстановления (repair) и удаления программ в Windows. Установка требует высоких привилегий. А функцию восстановления может запускать и низкопривилегированный пользователь. При том, что сама функция может выполняться в контексте NT AUTHORITY\SYSTEM. 🤔

Злоумышленник запускает MSI файл уже установленного приложения, выбирает режим repair и взаимодействует со всплывающим окном консоли, запущенным от SYSTEM. Через несколько шагов он получает интерактивную консоль с правами SYSTEM.

Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI установщик выполняет действие с повышенными привилегиями, т.е. до появления окна консоли. Это блокирует атаку.