Архив метки: Microsoft

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet

Добавить комментарий

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности

Добавить комментарий

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности

Уязвимость Remote Code Execution - Microsoft Outlook (CVE-2024-21413) добавили в CISA KEV почти через год после появлений достоверных доказательств эксплуатабельности.

🔹Эта уязвимость из февральского Microsoft Patch Tuesday 2024 года (13.02.2024). На следующий день после MSPT на сайте СheckPoint вышел write-up и PoC. Ещё через день Microsoft поставили для уязвимости флаг "Exploited", но по каким-то причинам в тот же день этот флаг убрали. 🤷‍♂️ К 18 февраля на GitHub уже был код эксплоита и демка. "В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл". Каких-то сомнений в эксплуатабельности на тот момент уже не оставалось.
🟥 Естественно, к этому времени уязвимость уже была в трендовых.

🔹 А что CISA KEV? Они добавили эту уязвимость в каталог буквально недавно, 06.02.2025. Практически год спустя! 😏 И без каких-либо объяснений причин такой задержки.

Февральский Microsoft Patch Tuesday

Добавить комментарий

Февральский Microsoft Patch Tuesday

Февральский Microsoft Patch Tuesday. 89 CVE, из которых 33 были добавлены с январского MSPT. 2 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 EoP - Windows Storage (CVE-2025-21391)

Уязвимостей с публичными эксплоитами нет, есть 7 с приватными:

🔸 RCE - Microsoft Edge (CVE-2025-21279, CVE-2025-21283)
🔸 Auth. Bypass - Azure (CVE-2025-21415)
🔸 EoP - Windows Setup Files Cleanup (CVE-2025-21419)
🔸 Spoofing - Windows NTLM (CVE-2025-21377)
🔸 Spoofing - Microsoft Edge (CVE-2025-21267, CVE-2025-21253)

Среди остальных можно выделить:

🔹 RCE - Windows LDAP (CVE-2025-21376), Microsoft Excel (CVE-2025-21381, CVE-2025-21387), Microsoft SharePoint Server (CVE-2025-21400), DHCP Client Service (CVE-2025-21379)
🔹 EoP - Windows Core Messaging (CVE-2025-21184, CVE-2025-21358, CVE-2025-21414), Windows Installer (CVE-2025-21373)

🗒 Полный отчёт Vulristics

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)

Добавить комментарий

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)

Про уязвимости Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Эти три уязвимости из январского Microsoft Patch Tuesday. У них одинаковое описание. Все они были найдены в компоненте, используемом для связи между хостовой ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard (MDAG).

Эксплуатация уязвимостей позволяет получить привилегии System. Microsoft отдельно отмечают, что речь идёт именно о локальном повышении привилегий на хостовой системе, а не о побеге из гостевой системы в хостовую.

👾 Есть признаки эксплуатации уязвимости в реальных атаках. Публичных эксплоитов пока нет.

Единственная разница в описании уязвимостей, в том, что CVE-2025-21333 вызвана Heap-based Buffer Overflow, а CVE-2025-21334 и CVE-2025-21335 - Use After Free.

Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)

Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468). Уязвимость из октябрьского Microsoft Patch Tuesday 2024 года. Microsoft Configuration Manager (ConfigMgr) используется для управления большими группами компьютеров: удаленного контроля, патчинга, развертывания ОС, установки ПО, и т.д.

Согласно описанию Microsoft, уязвимость позволяла неаутентифицированному злоумышленнику выполнять команды на уровне сервера или БД через специальные запросы к Management Point.

Эксперты Synacktiv раскрыли подробности через 100 дней после октябрьского MSPT - 16 января. Проблема была в сервисе MP_Location, который небезопасно обрабатывал клиентские сообщения. Это позволило реализовывать SQL-инъекции и выполнять произвольные запросы к БД с максимальными правами. В том числе выполнять команды на сервере через xp_cmdshell. 🤷‍♂️

Публичные эксплоиты доступны на GitHub. Сообщений об эксплуатации вживую пока не было.

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям

Добавить комментарий

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям. Записал выпуск специально для подписчиков Телеграм-канала @avleonovrus «Управление Уявзимостями и прочее». 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Приветствие
🔻 00:28 Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)
🔻 01:30 Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)
🔻 02:37 Remote Code Execution - Apache Struts (CVE-2024-53677)
🔻 03:31 Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)
🔻 04:44 Трендовые уязвимости 2024 года

👾 08:10 Маскот канала 😅

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298)

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298). Уязвимость из январского Microsoft Patch Tuesday. OLE (Object Linking and Embedding) - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Наглядный пример использования этой технологии - открытие таблицы Excel в документе Word.

В чём суть этой уязвимости? Код злоумышленника выполняется на хосте жертвы при открытии специального RTF-документа или при открытии специального email-сообщения в почтовом клиенте Microsoft Outlook (в том числе и в preview-режиме). Во втором случае от жертвы не требуется никаких действий кроме клика по сообщению. 🤷‍♂️ Microsoft рекомендуют настроить просмотр сообщений в Outlook только в plain text.

20 января на GitHub появился PoC эксплоита, демонстрирующий Memory Corruption при открытии RTF-документа. Теперь ждём и RCE-эксплойт для Outlook. 😉

Сообщений об атаках пока не было.

Устраните уязвимость в приоритетном порядке!