Повышение критичности для Elevation of Privilege — Windows Common Log File System Driver (CVE-2023–36424): 3 дня назад на GitHub появился технический анализ и код эксплоита.
Уязвимость из ноябрьского Microsoft Patch Tuesday. На момент выхода уязвимость никто не выделял, только Qualys мельком упомянули. 🤷♂️
👾 Сообщений об эксплуатации вживую пока нет, но теперь видимо ждём.
Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога. По сравнению с первыми впечатлениями добавились Microsoft Word RCE (CVE-2023–28311) с эксплоитом и Windows Pragmatic General Multicast (PGM) RCE (CVE-2023–28250) похожая на QueueJumper RCE в MSMQ. Также добавил много RCE в Windows DNS Server, но что-то определенное по ним сказать сложно.
Critical
00:50 Elevation of Privilege — Windows Common Log File System Driver (CVE-2023–28252)
01:44 Remote Code Execution — Microsoft Word (CVE-2023–28311)
Other
02:18 Remote Code Execution — Microsoft Message Queuing (CVE-2023–21554) (QueueJumper)
03:17 Remote Code Execution — Windows Pragmatic General Multicast (PGM) (CVE-2023–28250)
04:05 Lots of CVEs Remote Code Execution – Microsoft PostScript and PCL6 Class Printer Driver (CVE-2023–24884, CVE-2023–24885, CVE-2023–24886, CVE-2023–24887, CVE-2023–24924, CVE-2023–24925, CVE-2023–24926, CVE-2023–24927, CVE-2023–24928, CVE-2023–24929, CVE-2023–28243)
04:24 Lots of CVEs Remote Code Execution – Windows DNS Server (CVE-2023–28254, CVE-2023–28255, CVE-2023–28256, CVE-2023–28278, CVE-2023–28305, CVE-2023–28306, CVE-2023–28307, CVE-2023–28308)
04:32 Remote Code Execution — DHCP Server Service (CVE-2023–28231)
Video: https://youtu.be/aLt5k18jOwY
Video2 (for Russia): https://vk.com/video-149273431_456239123
Blogpost: https://avleonov.com/2023/04/28/microsoft-patch-tuesday-april-2023-clfs-eop-word-rce-msmq-queuejumper-rce-pcl6-dns-dhcp/
Vulristics report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_april2023_report_with_comments_ext_img.html
Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога.
00:00 EPSS v3
02:54 Поддержка EPSS v3 в Vulristics
05:12 Интеграция Vulristics в Cloud Advisor
Video: https://youtu.be/kWX_64wNxbg
Video2 (for Russia): https://vk.com/video-149273431_456239122
Blogpost: https://avleonov.com/2023/04/24/vulristics-news-epss-v3-support-integration-into-cloud-advisor/
Добавил учёт EPSS в Vulristics. EPSS стал ещё одним источником данных, т.е. команда для анализа набора CVE будет выглядеть так:
$ python3 vulristics.py --report-type "cve_list" --cve-project-name "New Project" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"
Добавление нового источника задача несложная. Сделал по аналогии с NVD. Однако возник вопрос: какое именно значение EPSS использовать. Было 2 варианта:
1. Probability — вероятность наблюдения эксплуатации уязвимости в течение следующих 30 дней ("probability of observing exploitation activity in the next 30 days").
2. Percentile — значение показывающее насколько вероятность наблюдения эксплуатации данной CVE уязвимости больше чем для всех других CVE уязвимостей. Например, вероятность EPSS, равная всего 0,10 (10%), находится примерно на уровне 88-го процентиля, что означает, что 88% всех CVE имеют более низкую оценку ("For example, an EPSS probability of just 0.10 (10%) rests at about the 88th percentile — meaning that 88% of all CVEs are scored lower").
В итоге опытным путем пришел к тому, что Probability слишком малы, а также мало различаются, поэтому лучше использовать Percentile.
Я перегенерил отчет для апрельского MS Patch Tuesday.
1. Старый отчет без EPSS
2. Новый отчет с EPSS
Выглядит довольно неплохо, но со странностями. Так наиболее критичная Elevation of Privilege — Windows Common Log File System Driver (CVE-2023–28252), которая присутствует в CISA KEV почему-то имеет очень низкий EPSS. 🤷♂️ Поэтому результат нейронки это, конечно, хорошо, но здравый смысл терять не нужно. 😉
Первые впечатления от апрельского Microsoft Patch Tuesday. По сравнению с мартовским как-то слабенько. 🙄
1. Elevation of Privilege — Windows Common Log File System Driver (CVE-2023–28252). Пока это самое критичное, т.к. есть признаки эксплуатации вживую. И, соответственно, есть Functional Exploit, но не в паблике пока.
2. Remote Code Execution — Microsoft Message Queuing. Опасно, если включен сервис Message Queuing. По умолчанию выключен.
3. Много CVEшек Remote Code Execution — Microsoft PostScript and PCL6 Class Printer Driver и Remote Code Execution — Windows DNS Server, может из этого что-то и раскрутят.
4. Remote Code Execution — DHCP Server Service (CVE-2023–28231). Тоже непонятно, но “Exploitation More Likely”.
Полный отчет Vulristics. Есть небольшие проблемы с детектом софтов и типов уязвимостей, но не критичные, поправлю. В рамках этого Patch Tuesday планирую добавить поддержку EPSS и оценить разницу в приоритизации. 😉