Архив метки: Exchange

Первые впечатления от мартовского Microsoft Patch Tuesday

Добавить комментарий

Первые впечатления от мартовского Microsoft Patch Tuesday
Первые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tues­day. Пока ничего откровенно критичного не просматривается. Всего 80 уязвимостей, включая 20 добавленных между февральским и мартовским MSPT.

С PoC-ом всего одна:

🔻 Infor­ma­tion Dis­clo­sure — runc (CVE-2024–21626). Она позволяет реализовать побег из контейнера. Причём тут Microsoft? Уязвимость исправили в Azure Kuber­netes Ser­vice и CBL-Mariner (внутренний Lin­ux дистрибутив Microsoft).

Для остальных пока нет признаков активной эксплуатации или наличия PoC‑а.

Можно обратить внимание на следующее:

🔸 Ele­va­tion of Priv­i­lege — Win­dows Ker­nel (CVE-2024–21443, CVE-2024–26173, CVE-2024–26176, CVE-2024–26178, CVE-2024–26182). Их частенько доводят до практической эксплуатации в последнее время. Сюда же Ele­va­tion of Priv­i­lege — Win­dows Print Spool­er (CVE-2024–21433).
🔸 Remote Code Exe­cu­tion — Open Man­age­ment Infra­struc­ture (OMI) (CVE-2024–21334). CVSS 9.8 и ZDI пишут, что "она позволит удаленному, неавторизованному злоумышленнику выполнить код на инстансах OMI в Интернете". Возможно их и правда в интернет часто выставляют, требует ресёрча. 🤷‍♂️
🔸 Remote Code Exe­cu­tion — Win­dows Hyper‑V (CVE-2024–21407). Эту "guest-to-host escape" уязвимость подсветили вообще все: Qualys, Ten­able, Rapid7, ZDI.
🔸 Remote Code Exe­cu­tion — Microsoft Exchange (CVE-2024–26198). Уязвимость типа "DLL load­ing". Детали пока неясны, но я не удивлюсь если по ней скоро будет подробный write-up.

🗒 Отчёт Vul­ris­tics

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shad­owserv­er, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shad­owserv­er и Shodan?
09:38 Уязвимость Cis­co ASA (CVE-2020–3259), обнаруженная исследователями Pos­i­tive Tech­nolo­gies 4 года назад, используется шифровальщиком Aki­ra для получения первоначального доступа
11:54 "Oper­a­tion Cronos" против группировки вымогателей Lock­Bit, возможная эксплуатация уязвимости Remote Code Exe­cu­tion — PHP (CVE-2023–3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Lin­ux Patch Wednes­day и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Secu­ri­ty Report".
25:20 RCE в Screen­Con­nect (CVE-2024–1708, CVE-2024–1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению pay­load-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cac­tus украли 1,5 ТБ внутренних данных техногиганта Schnei­der Elec­tric
55:53 Прощание от Mr. X

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США

Добавить комментарий

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и СШАЕсли верить Shadowserver, большая часть Exchange серверов находится в Германии и США

Если верить Shad­owserv­er, большая часть Exchange серверов находится в Германии и США. В Германии их чуть меньше, но вместе с тем Германия абсолютный лидер по числу серверов потенциально уязвимых для активно эксплуатирующейся уязвимости прошлой недели Ele­va­tion of Priv­i­lege — Microsoft Exchange (CVE-2024–21410). 🤔

Тут два варианта: либо дисциплинированные немцы не такие дисциплинированные, когда дело доходит до исправления критичных уязвимостей, либо со статистикой Shad­owserv­er какие-то проблемы.

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

Добавить комментарий

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"

00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Pos­i­tive Tech­nolo­gies
05:22 Новый бэкдор для Ivan­ti Con­nect Secure и анализ апплаенса Ivan­ti
10:42 Февральский Microsoft Patch Tues­day, ошибочный временный взлёт RCE Out­look и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость Event­LogCrash­er в Win­dows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peit­er Zatko (бывший CISO Twit­ter)

У нас новый лидер в февральском Microsoft Patch Tuesday — Elevation of Privilege — Microsoft Exchange (CVE-2024–21410)

Добавить комментарий

У нас новый лидер в февральском Microsoft Patch Tuesday - Elevation of Privilege - Microsoft Exchange (CVE-2024-21410)

У нас новый лидер в февральском Microsoft Patch Tues­day — Ele­va­tion of Priv­i­lege — Microsoft Exchange (CVE-2024–21410). 🚀 Как и в случае с RCE в Out­look, Microsoft изменили описание уязвимости, обозначив эксплуатацию вживую и наличие функционального эксплоита (пока непубличного). Microsoft пишут про использование уязвимости в NTLM relay атаках. Какого-то более подробного исследования этой уязвимости в паблике пока не наблюдается.

Не удивлюсь, если окажется, что эта уязвимость использовалась в атаках совместно с Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) #Moniker­Link. Уж больно синхронно у них статус поменялся и исследователи Check Point в своей статье тоже про NTLM relay атаки писали.

В общем, пока подробностей немного, но понятно, что Exchange нужно оперативно обновлять.

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов

Добавить комментарий

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vul­ris­tics, запустил Lin­ux Patch Wednes­day (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tues­day, разобрался с кучей других уязвимостей и даже тему с обучением VM‑у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

Hel­lo every­one! Octo­ber was an inter­est­ing and busy month for me. I start­ed a new job, worked on my open source Vul­ris­tics project, and ana­lyzed vul­ner­a­bil­i­ties using it. Espe­cial­ly Lin­ux vul­ner­a­bil­i­ties as part of my new Lin­ux Patch Wednes­day project. And, of course, ana­lyzed Microsoft Patch Tues­day as well. In addi­tion, at the end of Octo­ber I was a guest lec­tur­er at MIPT/PhysTech uni­ver­si­ty.

00:29 Back to Pos­i­tive Tech­nolo­gies
00:59 Vul­ris­tics NVD Data Source
02:20 Vul­ris­tics Cus­tom Data Source
03:22 Lin­ux Patch Wednes­day Project
04:16 Lin­ux Patch Wednes­day Octo­ber 2023
05:49 Microsoft Patch Tues­day Octo­ber 2023
09:12 Oth­er Vul­ner­a­bil­i­ties Octo­ber 2023
10:14 Mier­com released a report "Vul­ner­a­bil­i­ty Man­age­ment Com­pet­i­tive Assess­ment"
10:54 Vul­ners pre­sent­ed AI Score v2
11:31 My Phys­Tech Lec­ture

🎞 Video
🎞 Video2 (for Rus­sia)
📘 Blog­post

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

3 комментария

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

Выпустил отчёт Vul­ris­tics по октябрьскому Microsoft Patch Tues­day. Что в ТОПе:

1. Mem­o­ry Cor­rup­tion — Microsoft Edge (CVE-2023–5217). Уязвимость в библиотеке lib­vpx, которая отвечает за проигрывание видео в формате VP8. Как и в недавнем случае с lib­webp, аффектит уйму софтов, но в первую очередь браузеры. Публичного эксплоита пока нет, но есть признаки эксплуатации вживую.

2. Ele­va­tion of Priv­i­lege — Skype for Busi­ness (CVE-2023–41763). По факту скорее infor­ma­tion dis­clo­sure. Неаутентифицированный злоумышленник может отправить специальный запрос на уязвимый сервер Skype для бизнеса, что приведёт к раскрытию конфиденциальной информации, которая может быть использована для получения доступа к внутренним сетям. 🤷‍♂️ Есть признаки эксплуатации вживую, публичного эксплоита нет. Для Skype for Busi­ness вышло также и несколько RCE.

3. Infor­ma­tion Dis­clo­sure — Microsoft Word­Pad (CVE-2023–36563). Пользователь открывает зловредный файл, в результате чего злоумышленник может получить NTLM хэши. Или, если у злоумышленника есть доступ к хосту, он сам может запустить зловредное ПО на хосте с тем же результатом. Выглядит опасно. Есть признаки эксплуатации вживую, публичного эксплоита нет.

4. Denial of Ser­vice — HTTP/2 pro­to­col (CVE-2023–44487). Фикс для IIS (HTTP.sys), .NET (Kestrel) и Win­dows против новой эффективной DDoS-атаки "HTTP/2 Rapid Reset". Проблема универсальная, о том, что их атаковали через "HTTP/2 Rapid Reset" сообщали на днях Ama­zon, Cloud­flare и Google, так что признаки эксплуатации вживую присутствуют.

Больше ничего в активной эксплуатации или с публичным эксплоитом пока нет. Можно ещё обратить внимание на:

🔻 20 уязвимостей Microsoft Mes­sage Queu­ing, среди которых есть и RCE.
🔻 Remote Code Exe­cu­tion — Microsoft Exchange (CVE-2023–36778). "Для успешной эксплуатации необходимо, чтобы злоумышленник находился в той же сети, что и хост Exchange Serv­er, и использовал валидные учетные данные пользователя Exchange в удаленной сессии Pow­er­Shell". Не выглядит особенно критичной, хотя "Exploita­tion More Like­ly".
🔻 Ele­va­tion of Priv­i­lege — Win­dows IIS Serv­er (CVE-2023–36434). Достигается через упрощённый брутфорс пароля. 🤷‍♂️
🔻 Пачка Ele­va­tion of Priv­i­lege в Win­dows Win32k и Win­dows Graph­ics Com­po­nent. Успешная эксплуатация уязвимости может позволить злоумышленнику получить привилегии SYSTEM.

upd. 🟥 PT относит уязвимости Infor­ma­tion Dis­clo­sure — Microsoft Word­Pad (CVE-2023–36563) и Denial of Ser­vice — HTTP/2 pro­to­col (CVE-2023–44487) к трендовым.

🗒 Vul­ris­tics report