Архив метки: CLFS

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям

Добавить комментарий

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям. Записал выпуск специально для подписчиков Телеграм-канала @avleonovrus «Управление Уявзимостями и прочее». 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Приветствие
🔻 00:28 Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)
🔻 01:30 Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)
🔻 02:37 Remote Code Execution - Apache Struts (CVE-2024-53677)
🔻 03:31 Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)
🔻 04:44 Трендовые уязвимости 2024 года

👾 08:10 Маскот канала 😅

Повысилась критичность уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)

Добавить комментарий

Повысилась критичность уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)

Повысилась критичность уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138). Только я написал, что ничего не было слышно про эту уязвимость в течение месяца с момента публикации в декабрьском Microsoft Patch Tuesday, как 15 января для неё появился публичный эксплойт от Alessandro Iandoli из HN Security. 🙂 На GitHub-е доступен исходный код и видео с демонстрацией работы эксплоита: локальный атакующий запускает exe-файл в PowerShell и через секунду становится "nt authority/system". Исследователь протестировал работоспособность эксплоита на Windows 11 23h2. Он также обещает опубликовать блог-пост с подробным анализом уязвимости.

Что стало известно об уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138) из декабрьского Microsoft Patch Tuesday за прошедший месяц?

Добавить комментарий

Что стало известно об уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138) из декабрьского Microsoft Patch Tuesday за прошедший месяц?

Что стало известно об уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138) из декабрьского Microsoft Patch Tuesday за прошедший месяц? Да практически ничего. 🙄 Уязвимость в стандартном компоненте Windows, доступном во всех версиях, начиная с Windows Server 2003 R2. Описание у неё типично для EoP в Windows: в случае успешной эксплуатации локальный злоумышленник может получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow.

Microsoft сразу выставили признак эксплуатации вживую, однако не предоставили информации о том, где эксплуатировалась уязвимость и насколько масштабными были атаки.

Уязвимость зарепортила команда Advanced Research Team компании CrowdStrike. Но ни от них, ни от других исследователей пока нет технических подробностей. 🤷‍♂️ Тем более эксплоитов.

Так что устанавливаем декабрьские обновления безопасности Microsoft и ждём новостей! 😉

Update

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита

1 комментарий

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита.

Уязвимость из ноябрьского Microsoft Patch Tuesday. На момент выхода уязвимость никто не выделял, только Qualys мельком упомянули. 🤷‍♂️

👾 Сообщений об эксплуатации вживую пока нет, но теперь видимо ждём.

Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога

Добавить комментарий

Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога. По сравнению с первыми впечатлениями добавились Microsoft Word RCE (CVE-2023-28311) с эксплоитом и Windows Pragmatic General Multicast (PGM) RCE (CVE-2023-28250) похожая на QueueJumper RCE в MSMQ. Также добавил много RCE в Windows DNS Server, но что-то определенное по ним сказать сложно.

Critical
00:50 Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252)
01:44 Remote Code Execution - Microsoft Word (CVE-2023-28311)

Other
02:18 Remote Code Execution - Microsoft Message Queuing (CVE-2023-21554) (QueueJumper)
03:17 Remote Code Execution - Windows Pragmatic General Multicast (PGM) (CVE-2023-28250)
04:05 Lots of CVEs Remote Code Execution – Microsoft PostScript and PCL6 Class Printer Driver (CVE-2023-24884, CVE-2023-24885, CVE-2023-24886, CVE-2023-24887, CVE-2023-24924, CVE-2023-24925, CVE-2023-24926, CVE-2023-24927, CVE-2023-24928, CVE-2023-24929, CVE-2023-28243)
04:24 Lots of CVEs Remote Code Execution – Windows DNS Server (CVE-2023-28254, CVE-2023-28255, CVE-2023-28256, CVE-2023-28278, CVE-2023-28305, CVE-2023-28306, CVE-2023-28307, CVE-2023-28308)
04:32 Remote Code Execution - DHCP Server Service (CVE-2023-28231)

Video: https://youtu.be/aLt5k18jOwY
Video2 (for Russia): https://vk.com/video-149273431_456239123
Blogpost: https://avleonov.com/2023/04/28/microsoft-patch-tuesday-april-2023-clfs-eop-word-rce-msmq-queuejumper-rce-pcl6-dns-dhcp/
Vulristics report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_april2023_report_with_comments_ext_img.html

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога

Добавить комментарий

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога.

00:00 EPSS v3
02:54 Поддержка EPSS v3 в Vulristics
05:12 Интеграция Vulristics в Cloud Advisor

Video: https://youtu.be/kWX_64wNxbg
Video2 (for Russia): https://vk.com/video-149273431_456239122
Blogpost: https://avleonov.com/2023/04/24/vulristics-news-epss-v3-support-integration-into-cloud-advisor/

Добавил учёт EPSS в Vulristics

3 комментария

Добавил учёт EPSS в VulristicsДобавил учёт EPSS в Vulristics

Добавил учёт EPSS в Vulristics. EPSS стал ещё одним источником данных, т.е. команда для анализа набора CVE будет выглядеть так: 

$ python3 vulristics.py --report-type "cve_list" --cve-project-name "New Project" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"

Добавление нового источника задача несложная. Сделал по аналогии с NVD. Однако возник вопрос: какое именно значение EPSS использовать. Было 2 варианта:

1. Probability - вероятность наблюдения эксплуатации уязвимости в течение следующих 30 дней ("probability of observing exploitation activity in the next 30 days").

2. Percentile - значение показывающее насколько вероятность наблюдения эксплуатации данной CVE уязвимости больше чем для всех других CVE уязвимостей. Например, вероятность EPSS, равная всего 0,10 (10%), находится примерно на уровне 88-го процентиля, что означает, что 88% всех CVE имеют более низкую оценку ("For example, an EPSS probability of just 0.10 (10%) rests at about the 88th percentile — meaning that 88% of all CVEs are scored lower").

В итоге опытным путем пришел к тому, что Probability слишком малы, а также мало различаются, поэтому лучше использовать Percentile.

Я перегенерил отчет для апрельского MS Patch Tuesday.

1. Старый отчет без EPSS
2. Новый отчет с EPSS

Выглядит довольно неплохо, но со странностями. Так наиболее критичная Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252), которая присутствует в CISA KEV почему-то имеет очень низкий EPSS. 🤷‍♂️ Поэтому результат нейронки это, конечно, хорошо, но здравый смысл терять не нужно. 😉