Про 0day уязвимость EventLogCrasher (без CVE)

Про 0day уязвимость EventLogCrasher (без CVE). Уязвимость позволяет злоумышленнику удаленно крашить службу Event Log на устройствах в том же Windows-домене (включая контроллеры домена). И пока логи не ведутся злоумышленник потенциально может брутить пароли, атаковать системы ненадежными эксплоитами с риском их покрашить и творить прочую заметную дичь.

🔻Для эксплуатации злоумышленнику необходимо сетевое подключение к целевому устройству и любая валидная учётка (даже с низкими привилегиями)
🔻 Уязвимость затрагивает все версии Windows: от Windows 7 до последней версии Windows 11 и от Server 2008 R2 до Server 2022
🔻 Есть PoC и видео демонстрация
🔻 Microsoft заявили исследователю, что уязвимость недостаточно критична ("didn't meet the requirements for servicing"), не требует срочного исправления и что они исправят её в будущем. 🤷‍♂️ Также сообщили, что это дубль какой-то уязвимости 2022 года, которая также была недостаточно критичной для исправления. Видимо официального исправления ждать пока не приходится. 😐
🔻 Уязвимость подтвердили исследователи из 0patch и выпустили неофициальное исправление
🔻 Похожую уязвимость в прошлом году описывали исследователи из компании Varonis, они назвали её LogCrusher. Она также прошла без CVE и там тоже были проблемы с признанием её критичности со стороны Microsoft.

Пока Microsoft не прояснят ситуацию остаётся либо фиксить это микропатчем от 0patch, либо ловить эксплуатацию SIEM-ом. Например с помощью 🟥 MaxPatrol SIEM. 😉

Февральский Microsoft Patch Tuesday

4 комментария

Февральский Microsoft Patch Tuesday. 105 уязвимостей (это с учётом 32 набежавших с январского).

С признаком эксплуатации вживую, но пока без публичных эксплоитов:

🔻 Memory Corruption - Chromium (CVE-2024-0519). В V8.
🔻 Security Feature Bypass - Windows SmartScreen (CVE-2024-21351). Ещё один обход Mark-of-the-Web.
🔻 Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412). По факту тоже обход Microsoft Defender SmartScreen. Есть видео с демонстрацией и write-up от Trend Micro.

Из остальных можно отметить:

🔹 Elevation of Privilege - Microsoft Exchange (CVE-2024-21410). Возможность атаки NTLM relay.
🔹 Elevation of Privilege - Windows Kernel (CVE-2024-21338, CVE-2024-21345, CVE-2024-21371)
🔹 Remote Code Execution - Microsoft Outlook (CVE-2024-21413). Есть обход Office Protected View.
🔹 Remote Code Execution - Microsoft Outlook (CVE-2024-21378)

🗒 Отчёт Vulristics

🟥 PT относит CVE-2024-21351 и CVE-2024-21412 к трендовым

SSRF/AuthBypass-уязвимость Ivanti Connect Secure, Policy Secure и ZTA (CVE-2024-21893) используются злоумышленниками для установки ранее неизвестного бэкдора под кодовым названием DSLog

2 комментария

SSRF/AuthBypass-уязвимость Ivanti Connect Secure, Policy Secure и ZTA (CVE-2024-21893) используются злоумышленниками для установки ранее неизвестного бэкдора под кодовым названием DSLog. Об этом сообщает Orange Cyberdefense. Бэкдор добавляется в легитимный модуль логирования.

🔻 Бэкдор позволяет выполнять команды от root-а, не возвращает статус/код при попытке соединиться с ним (усложняет обнаружение), использует уникальный ключ аутентификации для каждого скомпрометированного апплаенса.

🔻 По состоянию на 3 февраля Orange Cyberdefense обнаружили 670 скомпрометированных устройств.

В статье описывается работа бэкдора, приводятся IOC-и.

Нарисовал логотип для Vulremi

1 комментарий

Нарисовал логотип для Vulremi. Как по мне, Vulnerability Management процесс лучше всего описывается словами "окучивать" и "пушить".

🔸 Окучивать - развивать знания об IT-инфраструктуре организации, запиливать интеграции, охватывать активы процессом детектирования уязвимостей, договариваться с ответственными за активы об исправлении уязвимостей (регулярном и экстренном). Эту часть на логотипе символизирует тяпка или мотыга.

🔸 Пушить - добиваться того, чтобы договоренности по исправлению уязвимостей исполнялись. Казалось бы это должно происходить автоматически, но на практике это наиболее стрессовая и выматывающая часть работы, без которой всё остальное бессмысленно. Эту часть на логотипе символизирует пушилка из телешоу International Gladiators (1995-1996). 🙂 Ровно как в шоу: мягко, но решительно пушим оппонента пока он не начнет выполнять договоренности… И так при каждой новой попытке оппонента выйти из договоренностей. 🤷‍♂️

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM

Добавить комментарий

Завтра в 15:00 пройдёт вебинар по API MaxPatrol VM. Зарегался, буду смотреть. Я так-то базово умею пользоваться, даже пост по выгрузке данных по PDQL-запросу делал. Но наверняка коллеги расскажут что-нибудь новое и интересное. 🙂🍿

Стоит ли использовать в вашей организации пиратское VM-решение?

Добавить комментарий

Стоит ли использовать в вашей организации пиратское VM-решение? На аргументах про этичность и законность останавливаться не буду (см. 146, 272, 273 УК РФ и штрафы для юрлиц). 🙂 По технике:

🔻 Как вы можете гарантировать, что в скаченную откуда-то сборку не внесли НДВ? Троян, майнер, криптолокер с отложенным запуском. Это вполне естественный способ монетизации для релиз-команды. И чем вы оправдаетесь в случае инцидента?
🔻 В развернутое VM-решение будут забивать учётки для сканирования. Оно будет заходить на таргет-хосты и выполнять произвольные команды (как правило, с привилегиями рута/админа). Вы точно хотите "ZVER-сборку" туда пускать?
🔻 Если у вас правила детектирования уязвимостей не обновляются, то вы сможете определить с помощью такого решения только старый ли таргет-хост как гуано мамонта или нет. Полезность сомнительная. 🙂

А главное нафига рисковать, если можно официально запросить у вендора триалку и тестить сколько потребуется с поддержкой и прочим. 😉

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)

1 комментарий

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109). Злоумышленник может выполнить несанкционированный код или команды с помощью специальных запросов к API. Есть пруфы получения root-ового shell-а.

🔻 5 февраля эти две CVE с идентичным описанием появляются в NVD. CVSS 10/10. Все подпрыгнули. Смущала только ссылка на старый бюллетень вендора от 10 октября прошлого года и схожесть со старой CVE-2023-34992 с точностью до версий и опечатки "via via".
🔻 В тот же день Fortinet сообщают, что произошла ошибка и эти уязвимости дубликаты CVE-2023-34992. "В данном случае из-за проблемы с API, которую мы в настоящее время изучаем, произошло не редактирование [старой уязвимости], а создание двух новых CVE, дубликатов исходного CVE-2023-34992". 🤷‍♂️ Все выдыхают и ждут отзывы этих новых CVE-шек.
🔻 7 февраля исследователь Zach Hanley из Horizon3 сообщает, что уязвимости есть и это он их нашёл. Это байпасы фикса оригинальной CVE-2023-34992. Пруфает перепиской с Fortinet и скриншотом root-ового shell-а. 😈
🔻 Вскоре после этого Fortinet выпускают ещё одно заявление, что да, новые уязвимость есть и это действительно байпассы. А в предыдущем сообщении они неверно выразились ("misstated"). 🤡🤦‍♂️

На вчерашнем Прожекторе по ИБ выяснили, что инсталляции FortiSIEM в России хоть и редко, но встречались. И даже в окологосах. Если у вас FortiSIEM ещё используется, то обязательно обновитесь (а лучше импортозаместитесь).

Александр В. Леонов

Управление Уязвимостями и прочее