Архив метки: Microsoft

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing — Proxy Driver (CVE-2024–26234): что это за зверь такой?

Добавить комментарий

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

Единственная уязвимость из апрельского Microsoft Patch Tues­day, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoof­ing — Proxy Dri­ver (CVE-2024–26234): что это за зверь такой?

По этой уязвимости один источник — статья в блоге компании Sophos.

🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copy­rigth' вместо 'Copy­right', 'rigths' вместо 'rights'). 🙄

🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Win­dows Hard­ware Com­pat­i­bil­i­ty Pro­gram (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Win­dows Driver.STL revo­ca­tion list) и завели CVE-2024–26234.

🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.

Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Win­dows, то наверное да. 🤷‍♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defend­er Antivirus как CVE оформлять. 🤪

Продолжение

Вышел выпуск новостей SecLab‑а с моей рубрикой по трендовым уязвимостям марта

Добавить комментарий

Вышел выпуск новостей SecLab‑а с моей рубрикой по трендовым уязвимостям марта. 🙂 Пятиминутная рубрика "В тренде VM" начинается с 16:43. 🎞

По сравнению с прошлым месяцем, в рубрике чуть поменьше мемчиков и шутеек, чуть побольше фактологии.

Основным ведущим выпуска в этот раз был Денис Батранков, Александр Антипов пока в отпуске.

Подробности по трендовым уязвимостям марта читайте в дайджесте и на Хабре.

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024–21378) с помощью утилиты Ruler работает!

Добавить комментарий

Эксплуатация трендовой RCE уязвимости в Out­look (CVE-2024–21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Out­look и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как Net­SPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Out­look)

PT SWARM всё проверил –
Pаботает, как надо.
No back con­nect required!
Для Out­look вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Out­look запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей…

Вышла статья на Хабре про трендовые уязвимости марта

Добавить комментарий

Вышла статья на Хабре про трендовые уязвимости марта

Вышла статья на Хабре про трендовые уязвимости марта. В этот раз мы решили немного поменять технологию. Раньше на хабр просто рерайтили тот же дайджест с сайта. Получалось суховато. В этот раз за основу статьи я взял текст, который готовил для новостного видео SecLab‑а (должно выйти на следующей неделе) и скомбинировал его с более формальным описанием из дайджеста. Вроде так получилось гораздо живее.

Вся кухня сейчас выглядит вот так:

1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab‑а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Ana­lyt­ics.
4️⃣ Собираю итоговый текст для Хабра.

В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉

Первые впечатления от апрельского Microsoft Patch Tuesday

Добавить комментарий

Первые впечатления от апрельского Microsoft Patch Tuesday
Первые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tues­day. Даже не знаю. 🤪 Очень чуднО! 173 уязвимости, из них 23 набежало с прошлого Patch Tues­day.

Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoof­ing — Proxy Dri­ver (CVE-2024–26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not dis­closed any infor­ma­tion about the vul­ner­a­bil­i­ty". 😅 ZDI ещё утверждает, что вживую эксплуатируется Secu­ri­ty Fea­ture Bypass — SmartScreen Prompt (CVE-2024–29988), которая представляет собой обход Mark of the Web (MotW).

Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:

🔸 Remote Code Exe­cu­tion — Microsoft Excel (CVE-2024–26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Exe­cu­tion — RPC (CVE-2024–20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoof­ing — Out­look for Win­dows (CVE-2024–20670). ZDI пишет, что это Infor­ma­tion Dis­clo­sure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Exe­cu­tion — Win­dows DNS Serv­er (CVE-2024–26221, CVE-2024–26222, CVE-2024–26223, CVE-2024–26224, CVE-2024–26227, CVE-2024–26231, CVE-2024–26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024–26221.
🔸 Remote Code Exe­cu­tion — Microsoft Defend­er for IoT (CVE-2024–21322, CVE-2024–21323, CVE-2024–29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.

Есть просто неприлично массовые фиксы:

🔹 Remote Code Exe­cu­tion — Microsoft OLE DB Dri­ver for SQL Serv­er / Microsoft WDAC OLE DB Provider for SQL Serv­er / Microsoft WDAC SQL Serv­er ODBC Dri­ver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Secu­ri­ty Fea­ture Bypass — Secure Boot. 23 CVE!

🗒 Отчёт Vul­ris­tics

Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoof­ing — Proxy Dri­ver (CVE-2024–26234) и Spoof­ing — Out­look for Win­dows (CVE-2024–20670).

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

Добавить комментарий

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

На сайте Pos­i­tive Tech­nolo­gies вышел дайджест по трендовым уязвимостям марта. Для наглядности я также сгенерил отчёт Vul­ris­tics по ним. Всего 5 уязвимостей.

🔻 По 3 уязвимостям есть эксплоиты и подтвержденные признаки эксплуатации вживую: Auth­By­passTeam­C­i­ty (CVE-2024–27198), RCEFor­ti­Clien­tEMS (CVE-2023–48788), EoPWin­dows Ker­nel (CVE-2024–21338).

🔻 Ещё по 2 уязвимостям признаков эксплуатации вживую пока нет, но есть эксплоиты: EoPWin­dows CLFS Dri­ver (CVE-2023–36424), RCEMicrosoft Out­look (CVE-2024–21378).

Будет ещё видео-версия с мемасиками в новостном выпуске секлаба. Снимали в конце марта, ждём на следующей неделе. И будет ещё пост на хабре по контенту из этой видяшки. 😇

🟥 Пост в канале PT

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов

Добавить комментарий

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов.

🔹 Почему так много уязвимостей Astra Lin­ux? Upd 0704. В основном это результат собственного ресёрча.
🔹 Для EMIAS OS уязвимости Lin­ux Ker­nel, но даже без ссылки на бюллетень. Откуда именно уязвимость непонятно.
🔹 Откуда уязвимости Win­dows? Их Microsoft выпускали не как CVE-шки, а как ADVi­sories. Потом для них могут добавлять CVE, которые не пробрасываются в БДУ. 🤷‍♂️
🔹 Для уязвимостей Debian Lin­ux аналогично. Они заводятся по бюллетеням DSA без ссылки на CVE на момент публикации. Затем ссылка добавляется, но в БДУ она не пробрасывается. 🤷‍♂️
🔹 Почему много уязвимостей Open Source продуктов? Потому что они заводятся по эксплойтам, в описании которых нет ссылки на CVE.
🔹 Некоторые виндоры не любят заводить CVE идентификаторы. Например, SAP часто выпускают только непубличные SAP Notes.