Архив метки: DWM

Про уязвимость Information Disclosure - Desktop Window Manager (CVE-2026-20805)

Добавить комментарий

Про уязвимость Information Disclosure - Desktop Window Manager (CVE-2026-20805)

Про уязвимость Information Disclosure - Desktop Window Manager (CVE-2026-20805). Desktop Window Manager - это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. Эксплуатация уязвимости, исправленной в рамках январского Microsoft Patch Tuesday, позволяет локальному злоумышленнику раскрыть адрес раздела ("section address") порта ALPC, относящийся к памяти пользовательского режима.

👾 Microsoft отметили, что эта уязвимость эксплуатируется в атаках. Уязвимость была добавлена в CISA KEV 13 января. Подробностей по атакам пока нет, но эксперты Rapid7 предполагают, что утечка адреса памяти могла позволить злоумышленникам обойти ASLR, упрощая создание стабильного эксплоита для повышения привилегий через DWM.

🛠 Публичные PoC-и эксплоитов доступны на GitHub с 14 января.

Январский Microsoft Patch Tuesday

Добавить комментарий

Январский Microsoft Patch Tuesday

Январский Microsoft Patch Tuesday. Всего 114 уязвимостей, в два раза больше, чем в декабре. Есть одна уязвимость с признаком эксплуатации вживую:

🔻 InfDisc - Desktop Window Manager (CVE-2026-20805)

Также есть две уязвимости с публичными эксплоитами:

🔸 RCE - Windows Deployment Services (CVE-2026-0386)
🔸 EoP - Windows Agere Soft Modem Driver (CVE-2023-31096)

Из остальных уязвимостей можно выделить:

🔹 RCE - Microsoft Office (CVE-2026-20952, CVE-2026-20953), Windows NTFS (CVE-2026-20840, CVE-2026-20922)
🔹 EoP - Desktop Windows Manager (CVE-2026-20871), Windows Virtualization-Based Security (VBS) Enclave (CVE-2026-20876)
🔹 SFB - Secure Boot Certificate Expiration (CVE-2026-21265)

Отдельно хотелось бы выделить уязвимость, зарепорченную Positive Technologies:

🟥 EoP - Windows Telephony Service (CVE-2026-20931)

🗒 Полный отчёт Vulristics

Июньский "В тренде VM": уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip

Добавить комментарий

Июньский В тренде VM: уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip

Июньский "В тренде VM": уязвимости в Microsoft Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip. Традиционная ежемесячная подборка. 🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 7 трендовых уязвимости:

🔻 Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)
🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)
🔻 Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)
🔻 Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)
🔻 Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)
🔻 Remote Code Execution - 7-Zip (BDU:2025-01793)

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)

Добавить комментарий

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400). Уязвимость, исправленная в рамках майского Microsoft Patch Tuesday, касается компонента Desktop Window Manager. Это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. В случае успешной эксплуатации злоумышленник может поднять свои привилегии до уровня SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую. Подробностей по атакам пока ещё нет.

Судя по секции Acknowledgements, эксплуатацию этой уязвимости обнаружили исследователи Microsoft Threat Intelligence Center. А они редко делятся подробностями. 🤷‍♂️ Придётся подождать, когда эксплуатацию уязвимости зафиксируют другие исследователи либо когда появится публичный эксплойт. Сейчас на GitHub есть один репозиторий с PoC-ом, но его работоспособность под большим вопросом. 🤔

Предыдущая активно эксплуатируемая EoP уязвимость в DWM Core Library (CVE-2024-30051) была устранена в мае прошлого года.

Трендовые уязвимости мая по версии Positive Technologies

Добавить комментарий

Трендовые уязвимости мая по версии Positive Technologies. Как обычно, в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 RCE в Fluent Bit (CVE-2024-4323)
🔻 RCE в Confluence (CVE-2024-21683)
🔻 RCE в Windows MSHTML Platform / OLE (CVE-2024-30040)
🔻 EoP в Windows DWM Core Library (CVE-2024-30051)

Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday

1 комментарий

Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday

Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday.

💻 DWM (Desktop Window Manager) - это композитный оконный менеджер в Microsoft Windows, начиная с Windows Vista, который позволяет использовать аппаратное ускорение для визуализации графического пользовательского интерфейса Windows.

🦹‍♂️ Злоумышленник, получив первоначальный доступ к уязвимому Windows хосту, может проэксплуатировать данную уязвимость DWM, чтобы поднять свои привилегии до уровня SYSTEM. Это позволит ему закрепиться на хосте и продолжить развитие атаки.

👾 Исследователи из Лаборатории Касперского делятся в своём блоге интересной историей о том, как они нашли информацию об этой уязвимости в таинственном документе на ломаном английском, загруженном на VirusTotal 1 апреля 2024 года. VirusTotal - это бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. В ходе исследования эксперты ЛК подтвердили наличие уязвимости, описанной в документе, сообщили о ней в Microsoft, и, начиная с середины апреля, фиксировали эксплуатацию этой уязвимости банковским трояном QakBot и другими зловредами. Таким образом атаки начали фиксироваться где-то за месяц до выхода патчей Microsoft.

🛡 База уязвимостей БДУ ФСТЭК сообщает о наличии эксплоита в паблике, однако в сплоит-паках и на GitHub он пока не находится.

🟥 Positive Technologies относит уязвимость к трендовым,

Майский Microsoft Patch Tuesday

2 комментария

Майский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tuesday.

У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):

🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.

Из остальных можно отметить:

🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.

🗒 Vulristics report