Архив метки: Microsoft

Про уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)

Про уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)

Про уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706). Обе уязвимости из майского Microsoft Patch Tuesday и для них сразу были признаки эксплуатации вживую. Common Log File System (CLFS) - это служба ведения журналов общего назначения, которая может использоваться программными клиентами, работающими в пользовательском режиме или режиме ядра.

Последствия эксплуатации этих уязвимостей идентичны: злоумышленник может получить привилегии SYSTEM. Идентичны и CVSS векторы (Base Score 7.8).

В чём различия? Тип ошибки: для CVE-2025-32701 это CWE-416: Use After Free, а для CVE-2025-32706 это CWE-20: Improper Input Validation. За информацию по CVE-2025-32701 благодарят MSTIC, а в случае CVE-2025-32706 - Google TIG и CrowdStrike ART.

Публичных эксплоитов пока нет. 🤷‍♂️ Подробностей по эксплуатации тоже. Но вполне вероятно, что уязвимости используют шифровальщики, как и EoP в CLFS (CVE-2025-29824) из апрельского MSPT. 😉

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400). Уязвимость, исправленная в рамках майского Microsoft Patch Tuesday, касается компонента Desktop Window Manager. Это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. В случае успешной эксплуатации злоумышленник может поднять свои привилегии до уровня SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую. Подробностей по атакам пока ещё нет.

Судя по секции Acknowledgements, эксплуатацию этой уязвимости обнаружили исследователи Microsoft Threat Intelligence Center. А они редко делятся подробностями. 🤷‍♂️ Придётся подождать, когда эксплуатацию уязвимости зафиксируют другие исследователи либо когда появится публичный эксплойт. Сейчас на GitHub есть один репозиторий с PoC-ом, но его работоспособность под большим вопросом. 🤔

Предыдущая активно эксплуатируемая EoP уязвимость в DWM Core Library (CVE-2024-30051) была устранена в мае прошлого года.

Про обновление third-party приложений через платформу оркестрации Windows Update

Про обновление third-party приложений через платформу оркестрации Windows Update

Про обновление third-party приложений через платформу оркестрации Windows Update. Все мы знаем, что системные обновления Windows накатываются удобным и централизованным образом. А вот с обновлением прикладного ПО под Windows от разных вендоров - тут кто во что горазд. 🤪 Приложение могут самообновляться в фоне, могут показывать разнообразные нотификации. Могут ничего не показывать, оставляя отслеживание обновлений пользователям (или админам/VM-щикам организации). 😏

Microsoft решили поменять ситуацию, предложив разработчикам ПО инструмент, через который они могут описывать обновления своих продуктов и требования по их установке: скрипты для скачивания и установки, скрипт для завершения процессов перед установкой, необходимость перезагрузки и т.п. Такие обновления будут предлагаться пользователям к установке так же как и системные обновления Windows.

Концепция выглядит интересно. Другим вендорам ОС, в том числе отечественным, стоит присмотреться. 😉

Майский выпуск "В тренде VM": уязвимости в Microsoft Windows и фреймворке Erlang/OTP

Майский выпуск В тренде VM: уязвимости в Microsoft Windows и фреймворке Erlang/OTP

Майский выпуск "В тренде VM": уязвимости в Microsoft Windows и фреймворке Erlang/OTP. Традиционная ежемесячная подборка. 🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 4 трендовые уязвимости:

🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)
🔻 Elevation of Privilege - Windows Process Activation (CVE-2025-21204)
🔻 Spoofing - Windows NTLM (CVE-2025-24054)
🔻 Remote Code Execution - Erlang/OTP (CVE-2025-32433)

Майский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 93 уязвимости ~ в 1.5 раза меньше, чем в апреле. Из них 22 были добавлены между апрельским и майским MSPT. Есть 5 уязвимостей с признаками эксплуатации вживую:

🔻 EoP - Microsoft DWM Core Library (CVE-2025-30400)
🔻 EoP - Windows CLFS Driver (CVE-2025-32701, CVE-2025-32706)
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-32709)
🔻 Memory Corruption - Scripting Engine (CVE-2025-30397). RCE при клике на зловредную ссылку. Для эксплуатации требуется опция "Allow sites to be reloaded in Internet Explorer".

Уязвимостей с публичными эксплоитами пока нет.

Из остальных можно выделить:

🔹 RCE - Remote Desktop Client (CVE-2025-29966, CVE-2025-29967), Office (CVE-2025-30377, CVE-2025-30386), Graphics Component (CVE-2025-30388), Visual Studio (CVE-2025-32702)
🔹 EoP - Kernel Streaming (CVE-2025-24063), CLFS Driver (CVE-2025-30385)

🗒 Полный отчёт Vulristics

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824). Уязвимость из апрельского Microsoft Patch Tuesday. Уязвимость позволяет злоумышленнику, работающему под учетной записью обычного пользователя, повысить свои привилегии до уровня SYSTEM.

🔻 Согласно Microsoft, уязвимость использовалась в атаках на организации в США, Венесуэле, Испании и Саудовской Аравии. Эксплойт был встроен в малварь PipeMagic, используемую группировкой Storm-2460 для распространения шифровальщиков.

🔻 7 мая исследователи Symantec сообщили технические подробности по ещё одному эксплоиту для этой уязвимости от группировки Balloonfly (использующей шифровальщик Play). Эксплойт применялся до 8 апреля в атаке на организацию из США.

👾 А есть ли публичные эксплоиты? БДУ ФСТЭК считает, что да. NVD тоже приводит "ссылки на эксплоиты", но там скрипты для детекта и митигации. 🤷‍♂️ В сплоитпаках и на GitHub пока пусто.

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education. Курс рассчитан на ИБ-специалистов (SOC/CERT/CSIRT) и сетевых администраторов. В подготовке курса участвовали мои коллеги из PT ESC-а и отдела экспертизы PT NAD.

Нагрузка 5-7 часов в неделю: видеолекции с теорией, практика на облачном стенде, онлайн-созвоны с экспертами.

Обещают научить:

🔹 ключевым подходам и инструментам для анализа трафика
🔹 расследованию инцидентов на основе трафика

Для прохождения курса желательно иметь опыт работы с Wireshark и понимать архитектуру Microsoft Active Directory. 😉

⏰ Поток стартует 26 мая, курс продлится 6 недель
➡️ Регистрация и информация по стоимости на сайте

Мне тоже хотелось бы пройти, попробую вписаться. 😇