Архив метки: Microsoft

Июньский "В тренде VM": уязвимости ядра Linux, Microsoft Defender и устройств Palo Alto Networks

Добавить комментарий

Июньский В тренде VM: уязвимости ядра Linux, Microsoft Defender и устройств Palo Alto Networks

Июньский "В тренде VM": уязвимости ядра Linux, Microsoft Defender и устройств Palo Alto Networks. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. В прошлом майском выпуске было четыре уязвимости. В этот раз тоже четыре, но с пятью CVE-идентификаторами.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

🔻 EoP - Linux Kernel "Dirty Frag" (CVE-2026-43284, CVE-2026-43500). Цепочка уязвимостей с публичным эксплоитом для получения root-а. Есть признаки эксплуатации вживую.

🔻 EoP - Linux Kernel "Fragnesia" (CVE-2026-46300). Ещё одна уязвимость для получения root-а с публичным эксплоитом.

🔻 EoP - Microsoft Defender "RedSun" (CVE-2026-41091). Уязвимость повышения привилегий до уровня SYSTEM с публичным эксплоитом и признаками эксплуатации вживую. Уделите особое внимание серверным и десктопным Windows-хостам, где Microsoft Defender не отключён, но отсутствует доступ в Интернет для регулярного обновления.

🔻 RCE - PAN-OS (CVE-2026-0300). Уязвимость выполнения произвольного кода с root-привилегиями без аутентификации на файерволах PA-Series и VM-Series. Есть публичный эксплойт и признаки эксплуатации вживую.

🟥 Полный список трендовых уязвимостей смотрите на портале

Что я думаю про отзывы сертификатов GlobalSign, Let's Encrypt и прочих

Добавить комментарий

Что я думаю про отзывы сертификатов GlobalSign, Let's Encrypt и прочих

Что я думаю про отзывы сертификатов GlobalSign, Let's Encrypt и прочих. Вполне ожидаемо, что западные УЦ выполняют указания по первому сигналу своих регуляторов. Почему они так раньше не делали? Видимо наверху пошёл какой-то торг, в рамках которого нам решили наглядно продемонстрировать, что Рунет остаётся зависим от западной инфраструктуры и создать проблемы можно по щелчку пальцев. Как и в случае с Apple: дали сигнал удалить национальный мессенджер из App Store и они тут же его выполнили. Демонстрация зависимости.

Казалось бы, почему бы для сайтов не использовать сертификаты, выпущенные отечественными УЦ (в том числе через Госуслуги)? Но тогда пользователям, которые чуть менее чем все сидят на вражеских ОС и браузерах, будет необходимо совершать некоторые телодвижения (какие именно хорошо расписано на сайте Т‑Банк). А никто ведь не хочет, чтобы пользователю было неудобно. Все хотят, чтобы их сайт/приложеньки по дефолту работали на любых устройствах, даже вражеских. 😏 И даже прежде всего вражеских, т.к. у физиков на руках ничего другого фактически и нет. 🤷‍♂️ Вот и устраивают компании судорожные поиски западных УЦ (типа греческой HARICA), которые согласны будут выдать им сертификат. Очевидно, чем дальше, тем сложнее это будет делать, т.к. западные УЦ под вторичные санкции подставляться не захотят.

Имхо, решение этой проблемы возможно только на стороне конечного пользователя. Среди прочего, необходимо из каждого утюга транслировать тот простой факт, что устройства, ОС, браузеры могут быть откровенно вражескими и пользоваться ими в текущих геополитических условиях, во-первых, максимально нерукопожатно, а во-вторых, непрактично, т.к. их работоспособность в России никто не гарантирует. И тут не только про проверку сертификатов и наличие приложений в сторе. Ничего не мешает Apple, Google, Microsoft как угодно деградировать функциональность контролируемых устройств, а то и полностью брикнуть их. В этой полной зависимости корень зла. Если продолжать толерантно относиться к эплофилии и месседжам в духе "нам этого всего не надо, верните как было" по Первому каналу, проблема будет только усугубляться.

Про уязвимость Elevation of Privilege - Microsoft Defender "RedSun" (CVE-2026-41091)

1 комментарий

Про уязвимость Elevation of Privilege - Microsoft Defender RedSun (CVE-2026-41091)

Про уязвимость Elevation of Privilege - Microsoft Defender "RedSun" (CVE-2026-41091). Microsoft Defender - это встроенное программное обеспечение от компании Microsoft, предназначенное для защиты операционной системы Windows и пользовательских данных от вирусов, вредоносных программ и других киберугроз в режиме реального времени. Неправильное разрешение ссылок перед доступом к файлу ("link following", CWE-59) в Microsoft Defender (конкретно в компоненте Malware Protection Engine) позволяет авторизованному локальному злоумышленнику повысить привилегии до уровня SYSTEM. Это означает, что атакующий получает полный контроль над системой, включая доступ ко всем данным, возможность изменять настройки, устанавливать программное обеспечение, управлять учетными записями пользователей и отключать средства защиты.

🛠 Эксплойт для уязвимости был опубликован на GitHub исследователем Nightmare Eclipse 15 апреля вместе с эксплоитами для других уязвимостей компонентов Windows. Позже его аккаунт на GitHub был удалён администрацией, однако распространению эксплоитов это не помешало.

⚙️ Бюллетень безопасности и исправления были выпущены 19 мая вне регулярных Microsoft Patch Tuesday. Уязвимы версии Microsoft Malware Protection Engine от 1.1.26030.3008 до 1.1.26040.8. Системы, на которых отключён Microsoft Defender, не подвержены уязвимости. По умолчанию Microsoft Defender автоматически обновляет компоненты безопасности Windows, антивирусные базы и Microsoft Malware Protection Engine, поэтому обычно от пользователя не требуется дополнительных действий. Malware Protection Engine обновляется ежемесячно или по мере появления новых угроз, а антивирусные базы обновляются несколько раз в день. Проверка обновлений может выполняться автоматически от одного до нескольких раз в сутки при наличии подключения к Интернет. Также доступна ручная проверка обновлений.

👾 По данным Microsoft, уязвимость эксплуатируется в реальных атаках. Уязвимость была добавлена в каталог CISA KEV 20 мая.

💡 Особое внимание следует уделить серверным и десктопным Windows-хостам, где Microsoft Defender не отключён, но отсутствует доступ в Интернет для регулярного обновления.

Майский "В тренде VM": громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader

1 комментарий

Майский В тренде VM: громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader

Майский "В тренде VM": громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Если в прошлом апрельском выпуске была всего одна уязвимость, то в этот раз уже четыре и весьма разноплановых.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

🔻 EoP - Linux Kernel "Copy Fail" (CVE-2026-31431). Уязвимость позволяет получить права root на Linux-хосте.

🔻 RCE - Apache ActiveMQ (CVE-2026-34197). Уязвимость в решении, широко используемом в корпоративных системах и интеграционных платформах.

🔻 Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость в решении Microsoft, широко используемом в корпоративных системах для организации совместной работы, управления документами и построения внутренних порталов.

🔻 RCE - Adobe Reader (CVE-2026-34621). Уязвимость в распространенном решении для просмотра PDF-документов; эксплуатируется в фишинговых атаках.

🟥 Полный список трендовых уязвимостей смотрите на портале

Майский Microsoft Patch Tuesday

Добавить комментарий

Майский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 119 уязвимостей, примерно в 1,5 раза меньше, чем в апреле. Уязвимостей с признаком эксплуатации вживую пока нет. Но есть одна уязвимость с публичным эксплоитом:

🔸 EoP - Windows Kernel (CVE-2026-40369). Подробный write-up и эксплойт по этой уязвимости были опубликованы 14 мая, через 2 дня после майского MSPT. Исследователь описывает эксплуатацию уязвимости так: "Всего один системный вызов (syscall) из любого непривилегированного процесса - включая песочницу рендерера Chrome - позволяет увеличивать значения по произвольным адресам памяти ядра. Без состояний гонки (race conditions). Без спреинга кучи (heap spray). Без специальных токенов. 100% детерминированное повышение привилегий до уровня SYSTEM."

Из остальных можно выделить:

🔹 RСE - Windows DNS Client (CVE-2026-41096). Аналитик ZDI прокомментировал эту уязвимость так: "Этот патч устраняет переполнение буфера в куче (heap-based buffer overflow) в DNS-клиенте, которое провоцируется вредоносным DNS-ответом. Не требуется ни аутентификация, ни взаимодействие с пользователем. А поскольку DNS-клиент запущен практически на каждой машине под управлением Windows, поверхность атаки огромна. Злоумышленник, способный повлиять на DNS-ответы (через MitM-атаку или поддельный DNS-сервер), может получить несанкционированное удаленное выполнение кода (RCE) во всей вашей корпоративной сети."

🔹 RСE - Windows Netlogon (CVE-2026-41089). Уязвимость позволяет неавторизованному удаленному атакующему выполнить произвольный код на контроллере домена путем отправки специально сформированного сетевого запроса. Для эксплуатации не требуются учетные данные или взаимодействие с пользователем, что классифицирует эту уязвимость как wormable. Компрометация контроллера домена означает полную компрометацию всего домена организации. Аналитик Rapid7 в своём комментарии добавил: "Не требуется никаких привилегий или взаимодействия с пользователем, а сложность атаки (attack complexity) оценивается как низкая. Это указывает на то, что создание надежного эксплоита вряд ли вызовет особые трудности у любого, кто знаком с конкретным механизмом работы уязвимости. Microsoft оценивает вероятность эксплуатации как "менее вероятную" (less likely), однако, поскольку эти оценки публикуются без сопутствующих объяснений, неясно, насколько защитники могут на них полагаться. Каждый, кто помнит активно обсуждавшуюся в 2020 году уязвимость CVE-2020-1472 (также известную как ZeroLogon), заметит, что CVE-2026-41089 позволяет атакующему гораздо быстрее и проще скомпрометировать контроллер домена. Патчи уже доступны для всех версий Windows Server, начиная с 2012."

🔹 RСE - Windows TCP/IP (CVE-2026-40415). Комментарий аналитика ZDI: "Эта уязвимость в стеке TCP/IP вызвана ошибкой использования памяти после освобождения (use-after-free, UAF) и может позволить удаленному неавторизованному злоумышленнику выполнить код без какого-либо взаимодействия с пользователем. Это делает её еще одной wormable уязвимостью. Однако вероятность её реальной эксплуатации гораздо ниже. Целевая система должна находиться в условиях длительной нехватки оперативной памяти (memory pressure), что встречается довольно редко."

🔹 RСE - Microsoft Word (CVE-2026-40361, CVE-2026-40364, CVE-2026-40366, CVE-2026-40367). Злоумышленник может эксплуатировать эти уязвимости с помощью социальной инженерии, отправив вредоносный файл намеченной жертве. Успешная эксплуатация предоставит атакующему права на выполнение кода. Исследователи Microsoft отмечают, что область предварительного просмотра (Preview Pane) является вектором атаки для каждой из этих уязвимостей

🔹 RСE - Microsoft Office (CVE-2026-40363, CVE-2026-42831). Уязвимость, связанная с переполнением буфера в куче (heap-based buffer overflow) в Microsoft Office, может позволить неавторизованному злоумышленнику удаленно выполнить произвольный код.

🔹 RСE - Windows GDI (CVE-2026-35421). Уязвимость, связанная с переполнением буфера в куче (heap-based buffer overflow) в компоненте Windows GDI, может позволить неавторизованному злоумышленнику удаленно выполнить произвольный код.

🔹 RСE - Microsoft Dynamics 365 On-Premises (CVE-2026-42898). Комментарий аналитика ZDI: "Уязвимость позволяет любому аутентифицированному пользователю выполнять код с изменением области действия (scope change). Это означает, что в процессе эксплуатации атака может выйти за рамки уязвимого компонента и затронуть другие ресурсы. Изменения области действия (scope changes) встречаются довольно редко, поэтому, если вы используете Dynamics 365 On-Premises, обязательно протестируйте и разверните этот патч как можно скорее."

🔹 EoP - Windows Kernel (CVE-2026-33841, CVE-2026-35420, CVE-2026-40369). Уязвимости CVE-2026-33841 и CVE-2026-40369 получили оценку "Эксплуатация более вероятна" (Exploitation More Likely). Локальный атакующий может использовать их для повышения своих привилегий до уровня SYSTEM. В случае с CVE-2026-33841, он может повысить привилегии до Medium/High integrity level

🗒 Полный отчёт Vulristics

Про уязвимость Spoofing - Microsoft SharePoint Server (CVE-2026-32201)

Добавить комментарий

Про уязвимость Spoofing - Microsoft SharePoint Server (CVE-2026-32201)

Про уязвимость Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость из апрельского Microsoft Patch Tuesday. Описание, которое дали эксперты Microsoft, максимально неконкретное: "Некорректная проверка входных данных в Microsoft Office SharePoint позволяет неавторизованному атакующему выполнить спуфинг по сети. Атакующий, успешно проэксплуатировавший эту уязвимость, может просматривать некоторую чувствительную информацию (конфиденциальность), вносить изменения в раскрытую информацию (целостность), но не может ограничить доступ к ресурсу (доступность)." Спуфинг - это атака, при которой злоумышленник подделывает данные, адрес, идентификатор или доверенный источник, чтобы выдать себя за легитимного пользователя, сервис или систему.

Что же скрывается за этим описанием на самом деле? В апрельском обзоре на MSPT эксперт ZDI заметил, что уязвимости такого рода в SharePoint часто связаны с XSS-атаками.

🛠 23 апреля на GitHub был опубликован эксплойт, автор которого утверждает, что уязвимость сводится к следующему: "Неаутентифицированный атакующий может отправить специально сформированный HTTP-запрос для внедрения вредоносного JavaScript-кода (reflected XSS), который будет выполнен в контексте безопасности сайта SharePoint."

Иными словами, атакующий отправляет специально сформированный запрос на сервер SharePoint, из-за чего SharePoint формирует вредоносную ссылку от имени доверенного источника. Атакующий передаёт эту ссылку пользователю. Когда пользователь открывает такую ссылку, внедрённый вредоносный JavaScript выполняется в контексте SharePoint, что может использоваться для кражи данных из текущей сессии, перехвата токенов аутентификации, а также выполнения действий от имени пользователя через его активную сессию.

👾 Эксперты Microsoft отметили уязвимость как эксплуатируемую вживую в день публикации апрельского Microsoft Patch Tuesday, 14 апреля. Уязвимость была добавлена в CISA KEV. В тот же день исследователи из компании Defused сообщили о скоординированной разведывательной активности, нацеленной на уязвимые серверы SharePoint, которая осуществлялась с четырех IP-адресов в период с 1 по 11 апреля.

⚙️ Обновления доступны для Microsoft SharePoint Server 2016, 2019 и Subscription Edition.

На прошлой неделе Дмитрий Черняков выложил на сайте АЛТЭКС-СОФТ интересную новость о возобновлении выпуска Windows-версий сканера уязвимостей RedCheck

1 комментарий

На прошлой неделе Дмитрий Черняков выложил на сайте АЛТЭКС-СОФТ интересную новость о возобновлении выпуска Windows-версий сканера уязвимостей RedCheck

На прошлой неделе Дмитрий Черняков выложил на сайте АЛТЭКС-СОФТ интересную новость о возобновлении выпуска Windows-версий сканера уязвимостей RedCheck. Суть там в следующем: АЛТЭКС-СОФТ более трёх лет вкладывали все ресурсы в развитие Linux-версии RedCheck из опасения не вписаться в тренды импортозамещения. Приоритетом было не добавление новой функциональности, а миграция архитектуры продукта. Сначала продукт перевели на СУБД PostgreSQL. Затем на Linux, выбрав Astra Linux в качестве базового дистрибутива. В итоге в декабре 2023 года АЛТЭКС-СОФТ выпустили стабильную Linux-версию RedCheck 2.7.0 и стали выпускать новые версии (примерно раз в полгода) только под Linux. Казалось бы, успех: проект миграции на российскую ОС успешно выполнен, и дальше можно развивать только Linux-версию? А вот и нет.

Отследив активации лицензий и версии сканеров, в компании оценили, какие версии реально используют пользователи. Оказалось, что большинство до сих пор работает со старой Windows-версией. Причины могут быть разные: нехватка Linux-специалистов, боязнь нового, доступность "серого" ПО Microsoft или всё вместе. В итоге в АЛТЭКС-СОФТ признали: они переоценили темпы перехода на отечественные ОС, и Windows в России по-прежнему широко используется.

Было принято решение возобновить выпуск современной Windows-версии и перейти к кроссплатформенной кодовой базе. АЛТЭКС-СОФТ планируют это сделать с версии 2.14, которая выйдет осенью. Разработка потребует времени и ресурсов и повлияет на текущие планы, часть задач будет пересмотрена по срокам. Код для Linux-версии изначально создавался кроссплатформенным, тратить время на его перенос не потребуется. Придётся потратить время только на сборку и отладку под компонентную зависимость Windows. Есть основания полагать, что АЛТЭКС-СОФТ смогут это сделать достаточно быстро. Выходу RedCheck VM это повредить не должно, т.к. это технически независимый продукт, и над ним работает другая команда.

Из-за значительного технологического разрыва между версиями 2.6 и 2.14 бесшовное обновление Windows-версии будет невозможно. Придётся переходить либо через чистую установку с переносом хостов и групп через CSV, либо через поэтапную миграцию с промежуточными Linux-версиями с сохранением всех данных и конфигураций.

Чему может научить эта история?

🔹 Прежде чем принимать важные решения по изменению архитектуры, необходимо удостовериться, что конкретно ваши клиенты к этому готовы. Архитектурные изменения, вполне принимаемые и даже ожидаемые в Enterprise-сегменте, могут не приниматься сегментом SMB. Нужно знать своего клиента.

🔹 Как видим, половинчатая позиция государства по части импортозамещения ОС создаёт проблемы разработчикам отечественного ПО. Непонятно, насколько это импортозамещение всерьёз. Если всерьёз, то необходимо усиление регуляторного давления на бизнес (не только гос. сектор), чтобы использование продукции Microsoft было максимально неудобным, дорогим, рискованным, нерукопожатным. Ну, это если действительно есть заинтересованность в импортозамещении ОС. А если её нет, то не стоит удивляться, что российские бизнесы продолжат сидеть на ПО Microsoft (в надежде, что когда-нибудь всё будет как раньше 😏) и всю риторику по импортозамещению пропускать мимо ушей.