Архив метки: Microsoft

Ноябрьский "В тренде VM": уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux

Добавить комментарий

Ноябрьский В тренде VM: уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux

Ноябрьский "В тренде VM": уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux. Традиционная ежемесячная подборка. После нескольких месяцев относительного затишья снова большой выпуск. 🔥

🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT

Всего девять уязвимостей:

🔻 RCE - Windows Server Update Services (WSUS) (CVE-2025-59287)
🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704)
🔻 RCE - Windows LNK File (CVE-2025-9491)
🔻 EoP - Windows Remote Access Connection Manager (CVE-2025-59230)
🔻 EoP - Windows Agere Modem Driver (CVE-2025-24990)
🔻 RCE - Redis "RediShell" (CVE-2025-49844)
🔻 RCE - XWiki Platform (CVE-2025-24893)
🔻 XSS - Zimbra Collaboration (CVE-2025-27915)
🔻 EoP - Linux Kernel (CVE-2025-38001)

🟥 Портал трендовых уязвимостей

Ноябрьский Microsoft Patch Tuesday

Добавить комментарий

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday. Всего 65 уязвимостей. Я не буду сравнивать с октябрьским отчётом, т.к. пока решил выпускать отчёты только по уязвимостям, опубликованным в день MSPT. Дело в том, что Microsoft начали массово заводить на официальном сайте уязвимости Linux-продуктов, которые засоряют "расширенные" MSPT отчёты. 🤷‍♂️

Есть одна уязвимость с признаком эксплуатации вживую:

🔻 EoP - Windows Kernel (CVE-2025-62215)

Уязвимостей с публичными эксплоитами пока нет. Из остальных уязвимостей можно выделить:

🔹 RCE - GDI+ (CVE-2025-60724), Microsoft Office (CVE-2025-62199), Microsoft Office (CVE-2025-62205, CVE-2025-62216), Agentic AI and Visual Studio Code (CVE-2025-62222), Visual Studio (CVE-2025-62214)
🔹 EoP - Windows Client-Side Caching (CVE-2025-60705), Windows Ancillary Function Driver for WinSock (CVE-2025-60719, CVE-2025-62213, CVE-2025-62217), Microsoft SQL Server (CVE-2025-59499)

🗒 Полный отчёт Vulristics

Про уязвимость Remote Code Execution - Microsoft SharePoint "ToolShell" (CVE-2025-49704)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft SharePoint ToolShell (CVE-2025-49704)

Про уязвимость Remote Code Execution - Microsoft SharePoint "ToolShell" (CVE-2025-49704). Уязвимость из июльского Microsoft Patch Tuesday. SharePoint - это веб-приложение от Microsoft, предназначенное для развертывания корпоративных интранет-порталов, управления документами и совместной работы. Десериализация недоверенных данных в классе DataSetSurrogateSelector приводит к выполнению кода в контексте процесса веб-сервера SharePoint. Уязвимость требует аутентификации, которую можно получить, например, через эксплуатацию CVE-2025-49706 (цепочка "ToolShell").

🔬 Цепочка "ToolShell" была продемонстрирована командой Viettel Cyber Security на конкурсе Pwn2Own Berlin 15-17 мая 2025 года (приз $100 000).

👾 Признаки эксплуатации фиксируются с 7 июля. Уязвимость в CISA KEV с 22 июля.

🛠 Публичные эксплоиты доступны на GitHub с 21 июля.

➡️ Развитием цепочки уязвимостей "ToolShell" являются CVE-2025-53770 и CVE-2025-53771.

Про уязвимость Elevation of Privilege - Windows Remote Access Connection Manager (CVE-2025-59230)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Remote Access Connection Manager (CVE-2025-59230)

Про уязвимость Elevation of Privilege - Windows Remote Access Connection Manager (CVE-2025-59230). Уязвимость из октябрьского Microsoft Patch Tuesday. Служба удалённого доступа Windows (Windows Remote Access Connection Manager, RasMan) - это базовая служба Windows, которая управляет подключениями по коммутируемой линии (dial-up) и виртуальным частным сетям (VPN), обеспечивая безопасное соединение компьютера с удалёнными сетями. Ошибка контроля доступа в службе RasMan может позволить аутентифицированному злоумышленнику повысить привилегии до уровня SYSTEM.

👾 Microsoft изначально, 14 октября, сообщали о признаках эксплуатации уязвимости в реальных атаках. 22 октября уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.

🛠 Публичных эксплоитов пока не наблюдается.

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491). Уязвимость в механизме обработки ярлыков Microsoft Windows (.LNK) позволяет скрывать зловредные аргументы командной строки в поле Target пробельными символами, что делает визуальную проверку .LNK файла стандартными средствами невозможной. Запуск такого файла приводит к выполнению произвольного кода.

🔻 Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. 🤷‍♂️ 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.

👾 18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.

🛠 Метод модификации .LNK файлов описан в отчёте Trend Micro.

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287)

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287). WSUS - легаси компонент Windows Server, который позволяет IT-администраторам управлять загрузкой и установкой обновлений продуктов Microsoft на компьютерах в локальной сети. Суть уязвимости: неаутентифицированный удалённый злоумышленник может запустить код с привилегиями SYSTEM на Windows-сервере с включенной WSUS Server Role (по умолчанию она выключена), отправив на него специально подготовленные POST-запросы. Это возможно из-за ошибки десериализации недоверенных данных.

⚙️ Первоначально исправления вышли 14 октября в рамках октябрьского Microsoft Patch Tuesday.

🛠 С 18 октября на GitHub доступен публичный эксплойт.

⚙️ 24 октября Microsoft выпустили дополнительные исправления для полного устранения уязвимости (требуют перезагрузки сервера).

👾 24 октября уязвимость добавили в CISA KEV, есть сообщения о зафиксированных попытках эксплуатации уязвимости.

Октябрьский Microsoft Patch Tuesday

Добавить комментарий

Октябрьский Microsoft Patch Tuesday

Октябрьский Microsoft Patch Tuesday. Всего 213 уязвимостей, в два раза больше, чем в сентябре. Из них 41 уязвимость была добавлена между сентябрьским и октябрьским MSPT. Есть четыре уязвимости с признаком эксплуатации вживую:

🔻 SFB - IGEL OS (CVE-2025-47827) - есть публичный эксплойт
🔻 EoP - Windows Agere Modem Driver (CVE-2025-24990)
🔻 EoP - Windows Remote Access Connection Manager (CVE-2025-59230)
🔻 MemCor - Chromium (CVE-2025-10585)

Ещё одна уязвимость с публичным PoC эксплоитом:

🔸 RCE - Unity Runtime (CVE-2025-59489)

Из остальных уязвимостей без публичных эксплоитов и признаков эксплуатации можно выделить:

🔹 RCE - WSUS (CVE-2025-59287), Microsoft Office (CVE-2025-59227, CVE-2025-59234)
🔹 EoP - Windows Agere Modem Driver (CVE-2025-24052), Windows Cloud Files Mini Filter Driver (CVE-2025-55680)

🗒 Полный отчёт Vulristics