Архив метки: LNKStomping

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)

Про Security Feature Bypass - Windows Mark of the Web LNK Stomping (CVE-2024-38217)

Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday 10 сентября. Уязвимость зарепортил исследователь Joe Desimone из Elastic Security. 6 августа вышел его блог-пост "Демонтаж Smart App Control", в котором, среди прочего сообщалось о методе обхода Mark of the Web под названием "LNK Stomping". Ряд источников связывают уязвимость CVE-2024-38217 и этот метод.

В чём суть. Злоумышленник создаёт LNK-файл с нестандартными целевыми путями или внутренними структурами. Например, добавляет точку или пробел к пути до целевого исполняемого файла. При клике на такой LNK-файл explorer.exe автоматически приводит его форматирование к каноническому виду, что приводит к удалению метки MotW до выполнения проверок безопасности. 🤷‍♂️ В блог-посте есть ссылка на PoC эксплоита.

Сообщается о наличии семплов на VirusTotal (самый старый от 2018 года), эксплуатирующих данную уязвимость.