Архив метки: Microsoft

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor — операцию по обнаружению атак группировки TA558

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor - операцию по обнаружению атак группировки TA558

В понедельник на сайте Pos­i­tive Tech­nolo­gies вышла большая статья про SteganoAmor — операцию по обнаружению атак группировки TA558. Несмотря на многообразие инструментов и методов атак, которые использовала группировка, в статье упоминается только одна CVE уязвимость. Это старая RCE в Microsoft Office (CVE-2017–11882), которая используется для запуска макросов в RTF-документах. Несмотря на возраст, уязвимость регулярно всплывает в описаниях актуальных атак.

Отсюда вывод для VM-процесса. Не так важно, что какая-то команда обновляется раз в 2 месяца, а не каждый месяц. Важно выделить хосты и софты, которые принципиально не обновляются и не будут обновляться и бороться прежде всего с ними.

Одновременно курьёзный и печальный факт. Уязвимость была обнаружена исследователем из Embe­di. К сожалению, компания не пережила американские санкции и на их сайте, где было выложено оригинальное исследование, теперь онлайн-казино. 🎰🤷‍♂️

Повысилась критичность уязвимости RCE — Windows MSHTML Platform (CVE-2023–35628)

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)

Повысилась критичность уязвимости RCE — Win­dows MSHTML Plat­form (CVE-2023–35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tues­day 2023.

"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Out­look (до просмотра в Pre­view Pane). 🔥"

И вот через 4 месяца Aka­mai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Win­dows File Explor­er. 🤔

А где zero-click RCE в Out­look? Такая эксплуатация возможна вместе с EoP — Microsoft Out­look (CVE-2023–23397):

"This vul­ner­a­bil­i­ty can be trig­gered through Out­look (0‑click using CVE-2023–23397)".

Впрочем, CVE-2023–23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏

По данным из БДУ ФСТЭК уязвимость CVE-2023–35628 эксплуатируется вживую (флаг vul_incident).

Немного продолжу ещё про CVE-2024–26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoofing — Proxy Driver"

Немного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости Spoofing - Proxy DriverНемного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости Spoofing - Proxy Driver

Немного продолжу ещё про CVE-2024–26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoof­ing — Proxy Dri­ver". Складывается ощущение, что есть какой-то виндовый компонент "Proxy Dri­ver", который спуфят (т.е. по определению "один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества"). А если читать статью Sophos, то там единственное, что можно принять за "Proxy Dri­ver" это, собственно, малварь Catalog.exe и есть. И маскировка там если и есть, то только у зловредного сервиса с описанием "Google ADB Loa­clSock­et [sic] Mul­ti-thread­ing Graph­ics API".

То есть, либо речь о какой-то другой уязвимости (ну а вдруг, с Microsoft-ом я ничему не удивляюсь 😏), либо о совсем уж криво натянутой на глобус сове. 🦉🌏

Причём, для таких кейсов уже есть отлаженная форма заведения: ADV230001 — Guid­ance on Microsoft Signed Dri­vers Being Used Mali­cious­ly. Там как раз про зловредные подписанные драйвера и Win­dows Driver.STL.

Ну или если совсем уж хочется CVE завести, то почему бы не обозначить её как Secu­ri­ty Fea­ture Bypass — Win­dows Driver.STL?

Если же абстрагироваться от неудачного названия (которое всеми воспринимается с покерфейсом 😐, типа так и надо), необновленный Win­dows Driver.STL revo­ca­tion list, из-за которого злоумышленник может запускать зловреды, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертом это вполне себе уязвимость, а в случае зафиксированной эксплуатации вживую, вполне себе уязвимость трендовая.

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing — Proxy Driver (CVE-2024–26234): что это за зверь такой?

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

Единственная уязвимость из апрельского Microsoft Patch Tues­day, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoof­ing — Proxy Dri­ver (CVE-2024–26234): что это за зверь такой?

По этой уязвимости один источник — статья в блоге компании Sophos.

🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copy­rigth' вместо 'Copy­right', 'rigths' вместо 'rights'). 🙄

🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Win­dows Hard­ware Com­pat­i­bil­i­ty Pro­gram (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Win­dows Driver.STL revo­ca­tion list) и завели CVE-2024–26234.

🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.

Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Win­dows, то наверное да. 🤷‍♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defend­er Antivirus как CVE оформлять. 🤪

Продолжение

Вышел выпуск новостей SecLab‑а с моей рубрикой по трендовым уязвимостям марта

Вышел выпуск новостей SecLab‑а с моей рубрикой по трендовым уязвимостям марта. 🙂 Пятиминутная рубрика "В тренде VM" начинается с 16:43. 🎞

По сравнению с прошлым месяцем, в рубрике чуть поменьше мемчиков и шутеек, чуть побольше фактологии.

Основным ведущим выпуска в этот раз был Денис Батранков, Александр Антипов пока в отпуске.

Подробности по трендовым уязвимостям марта читайте в дайджесте и на Хабре.

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024–21378) с помощью утилиты Ruler работает!

Эксплуатация трендовой RCE уязвимости в Out­look (CVE-2024–21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Out­look и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как Net­SPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Out­look)

PT SWARM всё проверил –
Pаботает, как надо.
No back con­nect required!
Для Out­look вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Out­look запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей…

Вышла статья на Хабре про трендовые уязвимости марта

Вышла статья на Хабре про трендовые уязвимости марта

Вышла статья на Хабре про трендовые уязвимости марта. В этот раз мы решили немного поменять технологию. Раньше на хабр просто рерайтили тот же дайджест с сайта. Получалось суховато. В этот раз за основу статьи я взял текст, который готовил для новостного видео SecLab‑а (должно выйти на следующей неделе) и скомбинировал его с более формальным описанием из дайджеста. Вроде так получилось гораздо живее.

Вся кухня сейчас выглядит вот так:

1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab‑а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Ana­lyt­ics.
4️⃣ Собираю итоговый текст для Хабра.

В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉