Архив метки: Microsoft

Мартовский Microsoft Patch Tuesday

Добавить комментарий

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. 77 CVE, из которых 20 были добавлены в течение месяца. В этот раз целых 7 уязвимостей с признаками эксплуатации вживую:

🔻 RCE - Windows Fast FAT File System Driver (CVE-2025-24985)
🔻 RCE - Windows NTFS (CVE-2025-24993)
🔻 SFB - Microsoft Management Console (CVE-2025-26633)
🔻 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24983)
🔻 InfDisc - Windows NTFS (CVE-2025-24991, CVE-2025-24984)
🔻 AuthBypass - Power Pages (CVE-2025-24989) - в веб-сервисе Microsoft, можно игнорить

Уязвимостей с публичными эксплоитами нет, есть ещё 2 с приватными:

🔸 RCE - Bing (CVE-2025-21355) - в веб-сервисe Microsoft, можно игнорить
🔸 SFB - Windows Kernel (CVE-2025-21247)

Среди остальных можно выделить:

🔹 RCE - Windows Remote Desktop Client (CVE-2025-26645) and Services (CVE-2025-24035, CVE-2025-24045), MS Office (CVE-2025-26630), WSL2 (CVE-2025-24084)
🔹 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24044)

🗒 Полный отчёт Vulristics

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391)

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391). Уязвимость из февральского Microsoft Patch Tuesday. Windows Storage - это стандартный компонент, отвечающий за хранение данных на компьютере. В случае успешной эксплуатации, злоумышленник получает возможность удалять произвольные файлы. И, согласно исследованию ZDI, злоумышленник может использовать эту возможность для повышения своих прав в системе.

Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418). Уязвимость из февральского Microsoft Patch Tuesday. AFD.sys - это системный драйвер Windows, критически важный для процессов сетевого взаимодействия. Он предоставляет низкоуровневую функциональность для WinSock API, позволяя приложениям взаимодействовать с сетевыми сокетами.

Для эксплуатации уязвимости аутентифицированному атакующему необходимо запустить специально созданную программу, которая в конечном итоге выполняет код с привилегиями SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.

По описанию эта уязвимость очень похожа на прошлогоднюю уязвимость CVE-2024-38193, которая активно эксплуатировалась злоумышленниками из группировки Lazarus.

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet

Добавить комментарий

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности

Добавить комментарий

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности.

🔹Эта уязвимость из февральского Microsoft Patch Tuesday 2024 года (13.02.2024). На следующий день после MSPT на сайте СheckPoint вышел write-up и PoC. Ещё через день Microsoft поставили для уязвимости флаг "Exploited", но по каким-то причинам в тот же день этот флаг убрали. 🤷‍♂️ К 18 февраля на GitHub уже был код эксплоита и демка. "В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл". Каких-то сомнений в эксплуатабельности на тот момент уже не оставалось.
🟥 Естественно, к этому времени уязвимость уже была в трендовых.

🔹 А что CISA KEV? Они добавили эту уязвимость в каталог буквально недавно, 06.02.2025. Практически год спустя! 😏 И без каких-либо объяснений причин такой задержки.

Февральский Microsoft Patch Tuesday

Добавить комментарий

Февральский Microsoft Patch Tuesday

Февральский Microsoft Patch Tuesday. 89 CVE, из которых 33 были добавлены с январского MSPT. 2 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 EoP - Windows Storage (CVE-2025-21391)

Уязвимостей с публичными эксплоитами нет, есть 7 с приватными:

🔸 RCE - Microsoft Edge (CVE-2025-21279, CVE-2025-21283)
🔸 Auth. Bypass - Azure (CVE-2025-21415)
🔸 EoP - Windows Setup Files Cleanup (CVE-2025-21419)
🔸 Spoofing - Windows NTLM (CVE-2025-21377)
🔸 Spoofing - Microsoft Edge (CVE-2025-21267, CVE-2025-21253)

Среди остальных можно выделить:

🔹 RCE - Windows LDAP (CVE-2025-21376), Microsoft Excel (CVE-2025-21381, CVE-2025-21387), Microsoft SharePoint Server (CVE-2025-21400), DHCP Client Service (CVE-2025-21379)
🔹 EoP - Windows Core Messaging (CVE-2025-21184, CVE-2025-21358, CVE-2025-21414), Windows Installer (CVE-2025-21373)

🗒 Полный отчёт Vulristics

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)

Добавить комментарий

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Эти три уязвимости из январского Microsoft Patch Tuesday. У них одинаковое описание. Все они были найдены в компоненте, используемом для связи между хостовой ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard (MDAG).

Эксплуатация уязвимостей позволяет получить привилегии System. Microsoft отдельно отмечают, что речь идёт именно о локальном повышении привилегий на хостовой системе, а не о побеге из гостевой системы в хостовую.

👾 Есть признаки эксплуатации уязвимости в реальных атаках. Публичных эксплоитов пока нет.

Единственная разница в описании уязвимостей, в том, что CVE-2025-21333 вызвана Heap-based Buffer Overflow, а CVE-2025-21334 и CVE-2025-21335 - Use After Free.