Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday.
💻 DWM (Desktop Window Manager) - это композитный оконный менеджер в Microsoft Windows, начиная с Windows Vista, который позволяет использовать аппаратное ускорение для визуализации графического пользовательского интерфейса Windows..
🦹♂️ Злоумышленник, получив первоначальный доступ к уязвимому Windows хосту, может проэксплуатировать данную уязвимость DWM, чтобы поднять свои привилегии до уровня SYSTEM. Это позволит ему закрепиться на хосте и продолжить развитие атаки.
👾 Исследователи из Лаборатории Касперского делятся в своём блоге интересной историей о том, как они нашли информацию об этой уязвимости в таинственном документе на ломаном английском, загруженном на VirusTotal 1 апреля 2024 года. VirusTotal - это бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. В ходе исследования эксперты ЛК подтвердили наличие уязвимости, описанной в документе, сообщили о ней в Microsoft, и, начиная с середины апреля, фиксировали эксплуатацию этой уязвимости банковским трояном QakBot и другими зловредами. Таким образом атаки начали фиксироваться где-то за месяц до выхода патчей Microsoft.
🛡 База уязвимостей БДУ ФСТЭК сообщает о наличии эксплоита в паблике, однако в сплоит-паках и на GitHub он пока не находится.
🟥 Positive Technologies относит уязвимость к трендовым,
Майский Microsoft Patch Tuesday. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tuesday.
У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):
🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг. 🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.
Из остальных можно отметить:
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный). 🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла. 🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую. 🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.
После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.
Из занимательного:
🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏 🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈
Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.
———
November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review
Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.
Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.
New Vulristics Features 00:32 Vulristics JSON input and output 02:37 CPE-based vulnerable product names detection 04:16 CWE-based vulnerability type detection
3 Months of Vulnerabilities 07:03 Linux Patch Wednesday 11:22 Microsoft Patch Tuesdays 13:59 Other Vulnerabilities
16:14 About the results of 2023 18:45 What about 2024?
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
