Архив метки: Microsoft

Закругляю февраль традиционным англоязычным постом и видяшкой

1 комментарий

Закругляю февраль традиционным англоязычным постом и видяшкой. 🙂 Чуть-чуть поговорил про опенсурсные проекты (признаться, не было особо времени ими заниматься, пока одни намётки), про PT-шные активности и, естественно, про уязвимости (трендовые и не очень).

———

February 2024: Vulremi, Vuldetta, PT VM Course relaunch, PT TrendVulns digests, Ivanti, Fortinet, MSPT, Linux PW

Hello everyone! In this episode, I will talk about the February updates of my open source projects, also about projects at my main job at Positive Technologies and interesting vulnerabilities.

My Open Source projects
00:14 Vulremi - a simple vulnerability remediation utility
00:55 Vuldetta - an API for detecting vulnerabilities based on a list of Linux packages

Positive Technologies
01:22 Two new video modules for the relaunch of the Vulnerability Management training course
02:00 Monthly digests of trending vulnerabilities

Vulnerabilities
02:17 RCEs in the Ivanti Connect Secure, Ivanti Policy Secure and Ivanti Neurons for ZTA (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893)
03:47 Arbitrary Code Execution vulnerability in Fortinet FortiOS and FortiProxy (CVE-2024-21762)
04:11 Cisco ASA Information Disclosure vulnerability (CVE-2020-3259) is used by the Akira ransomware
04:55 February Microsoft Patch Tuesday
07:14 February Linux Patch Wednesday

🎞 Video
📘 Blogpost
🎞 VKVideo

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

1 комментарий

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям февраля, к которому я тоже приложил руку. 😇 Всего 8 уязвимостей:

🔻 Наиболее громкими в мировом масштабе были 3 уязвимости Ivanti (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893), которые позволяют полностью скомпрометировать аппаратные и виртуальные апплаенсы. Хорошо, что в России Ivanti это экзотика.
🔻 Уязвимость выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762). По мнению вендора, может активно эксплуатироваться.
🔻 4 уязвимости из февральского Microsoft Patch Tuesday:
- Обход функций безопасности в Windows SmartScreen (CVE-2024-21351) и Internet Shortcut Files (CVE-2024-21412) эксплуатируются в фишинговых атаках.
- Повышение привилегий в Microsoft Exchange (CVE-2024-21410) и выполнение произвольного кода в Microsoft Outlook (CVE-2024-21413) эксплуатируются в NTLM Relay атаках.

➡️ Читайте подробнее

🟥 Пост в канале PT

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023

Добавить комментарий

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023
Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023. Уязвимость позволяет получать привилегии SYSTEM. С сентября 2023 eсть PoC на гитхабе.

Вот как оно бывает. Была ничем не примечательная уязвимость с небольшим CVSS, которую в момент выхода июньского Microsoft Patch Tuesday только Qualys мельком подсветили. А потом бамс - оказывается и уязвимый компонент другой, и уязвимость успешно эксплуатируется. 🤷‍♂️

CheckPoint-ы пишут, что Raspberry Robin использует и Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802), но для неё признак эксплуатации вживую был в сентябрьском MSPT, так что не особо новость. Для этой уязвимости также есть PoC на GitHub.

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)

1 комментарий

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)
Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338). Исследователи из Avast выпустили write-up, в котором утверждают, что уязвимость эксплуатировалась злодеями из Lazarus. Microsoft также выставили признак эксплуатации вживую для этой уязвимости.

В момент публикации февральского Microsoft Patch Tuesday никто не давал специальных рекомендаций обращать внимание именно на эту уязвимость. 🤷‍♂️ Мельком упомянули только Qualys и Tenable. Я тоже не сказать, чтобы выносил в ТОП, но в посте упомянул среди остальных EoP в ядре. 😎 Но вообще такое фиг угадаешь. 🐈‍⬛

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shadowserver, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shadowserver и Shodan?
09:38 Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа
11:54 "Operation Cronos" против группировки вымогателей LockBit, возможная эксплуатация уязвимости Remote Code Execution - PHP (CVE-2023-3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Linux Patch Wednesday и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Security Report".
25:20 RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению payload-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cactus украли 1,5 ТБ внутренних данных техногиганта Schneider Electric
55:53 Прощание от Mr. X

Посмотрел какие CVE упоминаются в вышедшем вчера "Check Point 2024 Cyber Security Report"

1 комментарий

Посмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security ReportПосмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security ReportПосмотрел какие CVE упоминаются в вышедшем вчера Check Point 2024 Cyber Security Report

Посмотрел какие CVE упоминаются в вышедшем вчера "Check Point 2024 Cyber Security Report".

Всего 20 CVE.

🔸 17 с формальным признаком активной эксплуатации и только 3 без признака (в Microsoft Message Queuing).
🔸 Публичные PoC-и есть для всего, кроме RCE в Cisco IOS (CVE-2017-6742), AuthBypass в Cisco ASA (CVE-2023-20269) и DoS в Microsoft Message Queuing (CVE-2023-21769, CVE-2023-28302).

Если убрать те уязвимости, которые упоминались в отчёте Qualys за 2023 год, остаётся 13 "оригинальных" CVE:

🔻 Remote Code Execution - Apache Tomcat (CVE-2023-47246)
🔻 Remote Code Execution - WinRAR (CVE-2023-38831)
🔻 Remote Code Execution - ESXi (CVE-2021-21974)
🔻 Remote Code Execution - NetScaler Application Delivery Controller (CVE-2023-3519)
🔻 Elevation of Privilege - Windows Win32k (CVE-2021-1732)
🔻 Elevation of Privilege - Windows Win32k (CVE-2020-1054)
🔻 Information Disclosure - NetScaler Application Delivery Controller (CVE-2023-4966)
🔻 Memory Corruption - ESXi (CVE-2019-5544)
🔻 Remote Code Execution - Microsoft Message Queuing (CVE-2023-21554)
🔻 Remote Code Execution - Cisco IOS (CVE-2017-6742)
🔻 Authentication Bypass - Cisco ASA (CVE-2023-20269)
🔻 Denial of Service - Microsoft Message Queuing (CVE-2023-21769)
🔻 Denial of Service - Microsoft Message Queuing (CVE-2023-28302)

Выпустил 2 версии отчёта Vulristics с комментариями Check Point:

🗒 Vulristics Check Point 2024 Cyber Security Report (20)
🗒 Vulristics Check Point 2024 Cyber Security Report WITHOUT Qualys (13)

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США

1 комментарий

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и СШАЕсли верить Shadowserver, большая часть Exchange серверов находится в Германии и США

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США. В Германии их чуть меньше, но вместе с тем Германия абсолютный лидер по числу серверов потенциально уязвимых для активно эксплуатирующейся уязвимости прошлой недели Elevation of Privilege - Microsoft Exchange (CVE-2024-21410). 🤔

Тут два варианта: либо дисциплинированные немцы не такие дисциплинированные, когда дело доходит до исправления критичных уязвимостей, либо со статистикой Shadowserver какие-то проблемы.