Архив метки: Microsoft

Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ

Добавить комментарий

Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ. Доступно на VK видео, Rutube и YouTube.

В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать эксплуатироваться в ближайшем будущем? Как построить Vulnerability Management процесс в организации, чтобы снизить риски эксплуатации критичных уязвимостей?

00:00 Представляюсь
01:09 NVD в 2024 году: безудержный рост количества CVE и его причины (CNA организации), кризис обогащения данных
04:25 Как CNA вендор может творить дичь на примере Linux Kernel и Linux Patch Wednesday
06:29 Трендовые уязвимости и как мы их отбираем
08:12 Про проект "В тренде VM": ролики, дайджесты, хабропосты
08:50 Как я анализировал 70 трендовых уязвимостей с помощью Vulristics
11:21 Пример успешного предсказания трендовости
11:50 4 уязвимости 2023 года: почему они здесь?
12:13 Почему нет трендовых уязвимостей в отечественных продуктах?
13:20 32 уязвимости Microsoft
13:51 2 уязвимости Linux
14:34 Остальные группы уязвимостей: фишинг, сетевая безопасность, бэкапы и виртуалки, разработка ПО, совместная работа, CMS
17:01 ТОП-3
17:50 Не уязвимости, но важно (2 кейса)
19:49 Прогнозы на 2025 год
21:10 Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ)
28:36 Вопрос про Vulnerability Management без бюджета
31:18 Вопрос про то, как выделять трендовые уязвимости
33:47 Вопрос про то, как заставить IT оперативно устранять уязвимости
36:20 Вопрос про отчёты о сканировании MaxPatrol VM
37:02 Вопрос про причины лавинообразного увеличения количества CVE (упоминаю BDU:2024-08516 от СайберОК)
38:50 Вопрос про хороший продукт по проблематике 0day

🗒 Полный отчёт Vulristics для трендовых уязвимостей 2024

Понравился доклад? 🗳 Проголосуй за него! 😉

Декабрьский Microsoft Patch Tuesday

Добавить комментарий

Декабрьский Microsoft Patch Tuesday

Декабрьский Microsoft Patch Tuesday. 89 CVE, из которых 18 были добавлены с ноябрьского MSPT. 1 уязвимость с признаками эксплуатации вживую:

🔻 EoP - Windows Common Log File System Driver (CVE-2024-49138). Подробностей по этой уязвимости пока нет.

Строго говоря, была ещё одна уязвимость, которая эксплуатировалась вживую: EoP - Microsoft Partner Network (CVE-2024-49035). Но это уже исправленная уязвимость в веб-сайте Microsoft и я вообще не уверен, что для неё стоило заводить CVE. 🤔

Для остальных уязвимостей пока нет ни признаков эксплуатации вживую, ни эксплоитов (даже приватных).

Можно выделить:

🔹 RCE - Windows LDAP (CVE-2024-49112, CVE-2024-49127)
🔹 RCE - Windows LSASS (CVE-2024-49126)
🔹 RCE - Windows Remote Desktop Services (CVE-2024-49106 и ещё 8 CVE)
🔹 RCE - Microsoft MSMQ (CVE-2024-49122, CVE-2024-49118)
🔹 RCE - Microsoft SharePoint (CVE-2024-49070)

🗒 Полный отчёт Vulristics

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451)

Добавить комментарий

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451)

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451). Уязвимость из ноябрьского Microsoft Patch Tuesday. Для неё сразу были признаки эксплуатации вживую. Уязвимость связана с устаревшей MSHTML платформой, которая до сих пор используется в Windows. Для эксплуатации уязвимости пользователь должен минимально провзаимодействовать со зловредным URL-файлом: щёлкнуть по нему правой кнопкой мыши, удалить его или перенести в другую папку. Открывать вредоносный файл не требуется. В результате злоумышленник получает NTLMv2 хэш пользователя, который может использовать для аутентификации.

👾 По данным компании ClearSky, уязвимость используется для распространения Spark RAT - трояна удаленного доступа с открытым исходным кодом.

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040)

Добавить комментарий

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040)

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040). Уязвимость из ноябрьского Microsoft Patch Tuesday. Некорректно сформулированная политика обработки хедера P2 FROM позволяет злоумышленнику сделать так, чтобы его email-адрес выглядел легитимным для жертвы (например, как адрес коллеги по работе). Что, естественно, значительно повышает эффективность фишинговых атак. 😏🪝 Уязвимости подвержены Exchange Server 2019 и Exchange Server 2016.

Первоначальные исправления для этой уязвимости, опубликованные 12 ноября, были через 2 дня отозваны. Их установка приводила к сбоям. Новые исправления были опубликованы Microsoft только 27 ноября.

👾 Kaspersky уже наблюдали попытки эксплуатации этой уязвимости. Об этом они написали в блогпосте от 26 ноября.

Про уязвимость Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)

Про уязвимость Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039). Уязвимость из ноябрьского Microsoft Patch Tuesday. Для неё сразу были признаки эксплуатации вживую. Для эксплуатации уязвимости, аутентифицированный злоумышленник запускает на целевой системе специальное приложение. Атака может быть произведена из AppContainer - ограниченной среды, в которой приложения получают доступ только к специально предоставленным ресурсам. Однако, с помощью этой уязвимости, злоумышленник может поднять свои права до уровня Medium Integrity и получить возможность выполнять функции RPC, доступные только привилегированным учётным записям.

ESET сообщают, что с помощью этой уязвимости злоумышленники из RomCom исполняли зловредный код вне песочницы Firefox, а затем запускали скрытые PowerShell процессы для скачивания и запуска зловредного ПО с C&C серверов.

👾 На GitHub есть код бэкдора, эксплуатирующего эту уязвимость.

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Добавить комментарий

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

Ноябрьский Microsoft Patch Tuesday

Добавить комментарий

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday. 125 CVE, из которых 35 были добавлены с октябрьского MSPT. 2 уязвимости с признаками эксплуатации вживую:

🔻 Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)
🔻 Spoofing - Windows NTLM (CVE-2024-43451)

Без признаков эксплуатации, но с приватным PoC-ом эксплоита:

🔸 Remote Code Execution - Microsoft Edge (CVE-2024-43595, CVE-2024-43596)
🔸 Authentication Bypass - Azure Functions (CVE-2024-38204)
🔸 Authentication Bypass - Microsoft Dataverse (CVE-2024-38139)
🔸 Spoofing - Microsoft Exchange (CVE-2024-49040)

Из остальных можно выделить:

🔹Remote Code Execution - Windows Kerberos (CVE-2024-43639)
🔹Elevation of Privilege - Windows Win32k (CVE-2024-43636)
🔹Elevation of Privilege - Windows DWM Core Library (CVE-2024-43629)
🔹Elevation of Privilege - Windows NT OS Kernel (CVE-2024-43623)

🗒 Полный отчёт Vulristics