Выпустил отчет по октябрьскому Microsoft Patch Tuesday. В календарные сроки уложился. 😅
На самом деле не особо интересный месяц. По #ProxyNotShell Remote Code Execution – Microsoft Exchange (CVE-2022-41040, CVE-2022-41082) все ещё ждем патчей. Общевиндовая Elevation of Privilege - Windows COM+ Event System Service (CVE-2022-41033) вроде активно эксплуатируется, но пока не ясно кем и как именно. Остальное всё такое себе, средненькое. Подробнее в блогпосте.
Вот это важная тема. Патчить там пока нечего, но скиньте своим SOC-оводам, что бы детекты и черные списки настроили.
Upd. Ответ от Microsoft и указание CVE: CVE-2022-41040 Microsoft Exchange Server Server-Side Request Forgery (SSRF) и CVE-2022-41082 PowerShell RCE
Сегодня пролетала новость о том, что в Windows 11 22H2 добавили фичу, которая ругается на ввод пароля от системной учетки пользователя в "неположенных" местах: в текстовых редакторах, формах вебсайтов и прочем. Преподносится это как защита от фишинга "Enhanced phishing protection". Я ещё подумал, что прикольно они кейлоггер в систему встроили. И со смехом предположил, что они наверное весь пользовательский input в облако забирают для анализа. 😁 Нельзя же локально хранить последние N введенных символов и искать в них пароль! Только в облаке! 😏 А потом заглянул в официальный блогопост и увидел, что они это презентуют в составе "Microsoft Defender Smartscreen", который согласно Википедии "is a cloud-based anti-phishing and anti-malware component". 🤩
Записал традиционный расширенный вариант отчета по сентябрьскому Microsoft Patch Tuesday. Кратко и на русском было здесь.
—-
Hello everyone! Let’s take a look at Microsoft’s September Patch Tuesday. This time it is quite compact. There were 63 CVEs released on Patch Tuesday day. If we add the vulnerabilities released between August and September Patch Tuesdays (as usual, they were in Microsoft Edge), the final number is 90. Much less than usual.
00:30 Proof-of-Concept Exploits (CVE-2022-33679, CVE-2022-38007, CVE-2022-34729)
02:29 Exploitation in the wild: CLFS Driver EoP (CVE-2022-37969), Microsoft Edge Security Feature Bypass (CVE-2022-2856, CVE-2022-3075)
03:54 IP packet causes RCE: Windows TCP/IP RCE (CVE-2022-34718), IKE RCE (CVE-2022-34721, CVE-2022-34722)
05:39 Windows DNS Server DoS (CVE-2022-34724)
06:30 Spectre-BHB (CVE-2022-23960)
Video: https://youtu.be/KB6LN5h9VwM
Video2 (for Russia): https://vk.com/video-149273431_456239101
Blogpost: https://avleonov.com/2022/09/24/microsoft-patch-tuesday-september-2022-clfs-driver-eop-ip-packet-causes-rce-windows-dns-server-dos-spectre-bhb/
Full report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_september2022_report_with_comments_ext_img.html
Давайте посмотрим на сентябрьский Microsoft Patch Tuesday. В этот раз компактненько. Всего 63 уязвимости. С учетом уязвимостей вышедших между августовским и сентябрьским Patch Tuesday (как обычно, в Microsoft Edge), получается 90. Весьма и весьма немного.
1. Уязвимостей с публичными эксплоитами пока нет. Есть 3 уязвимости для которых существует Proof-of-Concept Exploit по данным из CVSS
Elevation of Privilege - Kerberos (CVE-2022-33679)
Elevation of Privilege - Azure Guest Configuration and Azure Arc-enabled servers (CVE-2022-38007)
Elevation of Privilege - Windows GDI (CVE-2022-34729)
Но вероятность, что это докрутят до боевого состояния невысока.
2. Есть 3 уязвимости с признаком эксплуатации вживую
Elevation of Privilege - Windows Common Log File System Driver (CVE-2022-37969). Можно поднять права до SYSTEM. Затрагивает массу версий Windows, есть патчи даже под EOL операционки. Кроме этой уязвимости был пучок виндовых EoP-шек без признаков эксплуатации, например Elevation of Privilege - Windows Kernel (CVE-2022-37956, CVE-2022-37957, CVE-2022-37964)
Security Feature Bypass - Microsoft Edge (CVE-2022-2856, CVE-2022-3075). Уязвимости Edge это по факту уязвимости Chromium. Обратная сторона использования одного и того же движка. Уязвимости Chrome аффектят также Edge, Opera, Brave, Vivaldi и прочее.
3. RCE от посланного IP пакета 😱
Remote Code Execution - Windows TCP/IP (CVE-2022-34718). "An unauthorized attacker can use it to execute arbitrary code on the attacked Windows computer with the IPSec service enabled by sending a specially crafted IPv6 packet to it. This vulnerability can only be exploited against systems with Internet Protocol Security (IPsec) enabled." IPsec и IPv6 зло, лол. 🙂 Но если серьезно, то скверно, что такое вообще бывает.
И это ещё не все, есть ещё Remote Code Execution - Windows Internet Key Exchange (IKE) Protocol Extensions (CVE-2022-34721, CVE-2022-34722). "An unauthenticated attacker could send a specially crafted IP packet to a target machine that is running Windows and has IPSec enabled, which could enable a remote code execution exploitation."
4. Denial of Service - Windows DNS Server (CVE-2022-34724). С одной стороны только DoS, с другой стороны работу компании можно неплохо так парализовать.
5. Memory Corruption - ARM processor (CVE-2022-23960). Фикс для очередного Spectre, на этот раз Spectre-BHB. Про практическую эксплуатабельность видимо говорить не приходится, так же как и в случае остальных уязвимостей типа Spectre, но практически все обзорщики на эту уязвимость внимание обратили.
Полный отчет Vulristics: https://avleonov.com/vulristics_reports/ms_patch_tuesday_september2022_report_with_comments_ext_img.html
Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday. Кратко и на русском было здесь.
Microsoft продолжают чудачить. Принесли новую уязвимость. Проигрывание музыкального клипа Janet Jackson - Rhythm Nation (1989) ломает некоторые жесткие диски в некоторых ноутбуках ~ 2005-го года выпуска. Причем не только если клип проигрывается на самом устройстве, но и просто на соседнем устройстве. Есть в этом клипе какие-то частоты, которые с чем-то там в жестком диске резонируют. 😄 Звучит как лютый бред, но вот CVE-шка есть, CVE-2022-38392:
"A certain 5400 RPM OEM hard drive, as shipped with laptop PCs in approximately 2005, allows physically proximate attackers to cause a denial of service (device malfunction and system crash) via a resonant-frequency attack with the audio signal from the Rhythm Nation music video."
Заведена по посту в майкрософтовском блоге. Пишут, что неназванный "major computer manufacturer" зафиксил уязвимость добавлением кастомного аудио-фильтра:
"The manufacturer worked around the problem by adding a custom filter in the audio pipeline that detected and removed the offending frequencies during audio playback."
На самом деле демонстирует отсутствие какого-либо входного барьера при заведении CVE. CVE Numbering Authorities могут завести практически что угодно, с каким-угодно обоснованием, вплоть до совсем анекдотических.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.