Архив метки: MonikerLink

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shad­owserv­er, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shad­owserv­er и Shodan?
09:38 Уязвимость Cis­co ASA (CVE-2020–3259), обнаруженная исследователями Pos­i­tive Tech­nolo­gies 4 года назад, используется шифровальщиком Aki­ra для получения первоначального доступа
11:54 "Oper­a­tion Cronos" против группировки вымогателей Lock­Bit, возможная эксплуатация уязвимости Remote Code Exe­cu­tion — PHP (CVE-2023–3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Lin­ux Patch Wednes­day и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Secu­ri­ty Report".
25:20 RCE в Screen­Con­nect (CVE-2024–1708, CVE-2024–1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению pay­load-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cac­tus украли 1,5 ТБ внутренних данных техногиганта Schnei­der Elec­tric
55:53 Прощание от Mr. X

Для уязвимости Remote Code Execution — Microsoft Outlook (CVE-2024–21413) появился PoC на GitHub

Добавить комментарий

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub

Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub. Автор PoC‑а Alexan­der Hage­nah из швейцарской компании SIX Group. В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл. Красиво. 🙂

Ждём возвращения для этой уязвимости галки "эксплуатируется вживую". 🙃

Галя, у нас отмена: Microsoft убрали галку "эксплуатируются вживую" для Remote Code Execution — Microsoft Outlook (CVE-2024–21413)

Добавить комментарий

Галя, у нас отмена: Microsoft убрали галку эксплуатируются вживую для Remote Code Execution - Microsoft Outlook (CVE-2024-21413)Галя, у нас отмена: Microsoft убрали галку эксплуатируются вживую для Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Галя, у нас отмена: Microsoft убрали галку "эксплуатируются вживую" для Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413). 🤡😅 Видимо всё-таки эта галка за ночь переехала к уязвимости Exchange.

Но и у уязвимости Out­look, судя по простоте POC‑а, который был описан в статье CheckPoint‑а, признак эксплуатации вживую вполне возможно скоро опять появится.

У нас новый лидер в февральском Microsoft Patch Tuesday — Elevation of Privilege — Microsoft Exchange (CVE-2024–21410)

Добавить комментарий

У нас новый лидер в февральском Microsoft Patch Tuesday - Elevation of Privilege - Microsoft Exchange (CVE-2024-21410)

У нас новый лидер в февральском Microsoft Patch Tues­day — Ele­va­tion of Priv­i­lege — Microsoft Exchange (CVE-2024–21410). 🚀 Как и в случае с RCE в Out­look, Microsoft изменили описание уязвимости, обозначив эксплуатацию вживую и наличие функционального эксплоита (пока непубличного). Microsoft пишут про использование уязвимости в NTLM relay атаках. Какого-то более подробного исследования этой уязвимости в паблике пока не наблюдается.

Не удивлюсь, если окажется, что эта уязвимость использовалась в атаках совместно с Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) #Moniker­Link. Уж больно синхронно у них статус поменялся и исследователи Check Point в своей статье тоже про NTLM relay атаки писали.

В общем, пока подробностей немного, но понятно, что Exchange нужно оперативно обновлять.

Обновление в февральском Microsoft Patch Tuesday: резкое повышение критичности Remote Code Execution — Microsoft Outlook (CVE-2024–21413)

Добавить комментарий

Обновление в февральском Microsoft Patch Tuesday: резкое повышение критичности Remote Code Execution - Microsoft Outlook (CVE-2024-21413)

Обновление в февральском Microsoft Patch Tues­day: резкое повышение критичности Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413). 🚀 Microsoft признали, что эта уязвимость оказывается эксплуатировалась вживую (упс), а исследователи из Check Point выпустили подробный write-up с PoC-ом. Исследователи Check Point называют уязвимость #Moniker­Link и рекомендуют обновить Out­look ASAP.

Я эту уязвимость в своём обзоре подсветил, но буквально последней в списке. Вот так предполагаем по описанию, что одни уязвимости будут эксплуатироваться в атаках. А потом может оказаться, что реально эксплуатироваться будут совсем другие уязвимости. 🤷‍♂️ Очень сложно предугадать, что за какой-то CVE оказывается ресерчер, который завтра выложит write-up с PoC-ом, а послезавтра начнутся массовые атаки. Поэтому про уязвимости, конечно, читаем, гадаем что выстрелит, но обновления устанавливаем для всего!

upd. Отменили