Архив метки: DarkGate

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress

Добавить комментарий

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺

📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)

Добавить комментарий

Про уязвимость Security Feature Bypass - Windows Mark of the Web Copy2Pwn (CVE-2024-38213)

Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213). Уязвимость вышла в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что MS исправили её раньше, в июне).

Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.

В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.

🔹 К WebDAV шаре можно обращаться через веб-браузер:

http://10.37.129.2/example_webdav_folder/somefile

🔹 А можно через Windows Explorer (как к SMB):

\\10.37.129.2@80\example_webdav_folder

И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷‍♂️ Отсюда название "Copy2Pwn". 😏

Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Добавить комментарий

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)? Основная причина, почему её можно выделить в апрельском Microsoft Patch Tuesday - упоминание в блоге ZDI (Zero Day Initiative). ZDI считают, что эта уязвимость эксплуатируется в реальных атаках. При том, что Microsoft в настоящее время так НЕ считают. Такая вот странная ситуация. 🤷‍♂️

Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.

Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024-29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Также Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412), которая попала в список трендовых уязвимостей в феврале.