"Загадка Дыры": Remote Code Execution - Internet Explorer (CVE-2012-4792). Вчера в CISA KEV добавили старую уязвимость "CDwnBindInfo" из 2012 года: пользователь открывает в MS Internet Explorer 6–8 зловредный вебсайт и злоумышленник получает RCE на его хосте. Уязвимость активно эксплуатировалась с конца 2012 года как 0day в watering hole атаках на организации США. В частности, зловредный код размещали на взломанном сайте Council on Foreign Relations (CFR).
Почему уязвимость добавили в CISA KEV только сейчас?
🔹 Обнаружили новые атаки с использованием этой уязвимости на legacy системы, для которых выпускали патчи (Win XP/Vista/7, WinServer 2003/2008)? 🤪 Вряд ли.
🔹 Для проформы: увидели уязвимость с подтверждёнными инцидентами, а в CISA KEV её нет, вот и добавили? Вероятнее, но почему только её? 🧐
🔹 В аудитах нашли уязвимые легаси-системы и не было формального предлога для их срочного обновления? Странновато. 🤷♂️
По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor.
🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.
🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.
🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.
Что сказать? Фейл эпичнейший.
🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.
🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.
🔻 По данным Check Point, злоумышленники используют в атаках специальные ".url" файлы, иконка которых похожа на иконку pdf документа. Если пользователь кликает на файл и игнорирует 2 малоинформативных warning-а, то в устаревшем браузере Internet Explorer, встроенном в Windows, запускается зловредное HTA приложение. 😱 Почему именно в IE? Вcё из-за обработки префикса "mhtml:" в ".url" файле. Июльское обновление это блочит. 👍
🔻 Check Point находили образцы таких ".url" файлов аж от января 2023 года. По данным Trend Micro, уязвимость эксплуатируется APT группой Void Banshee для установки зловреда Atlantida Stealer и сбора паролей, cookies и других чувствительных данных. Void Banshee добавляют вредоносные ".url" файлы в архивы с PDF-книгами и распространяют их через сайты, мессенджеры и фишинговые рассылки.
🔻 Remote Code Execution - Microsoft Exchange "ProxyNotShell" (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082) 🔻 Remote Code Execution - Bitrix Site Manager "PollsVotes" (CVE-2022-27228) 🔻 Elevation of Privilege - Polkit "PwnKit" (CVE-2021-4034)
Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.
---
По пентестам за прошедший год отчёт Вышел у Позитивов. Каждый кто его прочтёт, Увидит, что там всё красиво. 28 проектов, есть что показать. Статистика и результаты. Умеют защищать и умеют ломать - Молодцы ребята! (Молодцы ребята!)
К отчёту они подошли всерьёз. Ознакомьтесь без спешки! Но у меня всегда один вопрос: Где там CVE-шки? (Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать. Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Самый популярный почтовый сервак MS Exchange - лакомая цель любых атак. 3 уязвимости ProxyNotShell - по сути одна Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS. И к тому же отечественная. Импортозамeс! RCE в модуле "Опросы, голосования" - Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник На Linux хост проник И там спокойно сидит, Нет надёжнее стратегии, Чем поднять до root-a привилегии Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Это были результаты за 2023 год. Что за тренды нам текущий год принесёт? Кто подаст надёжный патчиться сигнал? Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.
Июльский Microsoft Patch Tuesday. Всего 175 уязвимостей, из них 33 набежало между июньским и июльским Patch Tuesday.
Есть 2 уязвимости с признаком эксплуатации вживую:
🔻 Spoofing - Windows MSHTML Platform (CVE-2024-38112). Spoofing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd.Подъехали детали. 🔻 Elevation of Privilege - Windows Hyper-V (CVE-2024-38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).
Из остального можно выделить:
🔸 Elevation of Privilege - различные компоненты Windows (CVE-2024-38059, CVE-2024-38066, CVE-2024-38100, CVE-2024-38034, CVE-2024-38079, CVE-2024-38085, CVE-2024-38062, CVE-2024-30079, CVE-2024-38050). EoP-шки в последнее время часто выстреливают. 🔸 Remote Code Execution - Windows Remote Desktop Licensing Service (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077) 🔸 Remote Code Execution - Microsoft Office (CVE-2024-38021) 🔸 Remote Code Execution - Windows Imaging Component (CVE-2024-38060). Достаточно закинуть вредоносный TIFF файл на сервер. 🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-38023, CVE-2024-38024). Требуется аутентификация, но прав "Site Owner" хватит.
Microsoft будут заводить CVEшки для уязвимостей своих облачных сервисов. Казалось бы, ну была уязвимость в какой-то облачной CRM-ке, они её зафиксили сразу для всех, никаких действий со стороны клиентов не требуется. Толку-то на это CVE заводить? 🤔
Но в Microsoft считают, что это требуется для большей прозрачности, а новые правила CNA (CVE Numbering Authorities) требуют заводить уязвимости, которые могут нанести существенный вред, независимо от того требуется ли клиентам совершать какие-то действия для устранения уязвимостей или нет. 🤷♂️ Microsoft обещают помечать такие уязвимости отдельно, как например CVE-2024-35260 "The vulnerability documented by this CVE requires no customer action to resolve". В CVEorg тоже будет специальный tag.
Нужно или не нужно заводить уязвимости облачных сервисов как CVE - вопрос спорный. Но то, что из-за этой практики количество идентификаторов в CVEorg/NVD станет прирастать гораздо быстрее - факт. 🤷♂️
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
