Архив метки: Microsoft

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Добавить комментарий

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. 2 недели назад я уже писал почему она потенциально опасна. Теперь опасность значительно повысилась:

🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.

🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.

В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.

❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178)

Добавить комментарий

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178)

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178). Уязвимость из августовского Patch Tuesday. Жертва переходит по ссылке злоумышленника, происходит повреждение памяти и выполнение произвольного кода злоумышленника.

Тонкость в том, что жертва должна открывать ссылку в браузере Edge от Microsoft в режиме совместимости с Internet Explorer. Но зачем жертве настраивать браузер в такой режим?

🔻 Жертва может по работе пользоваться каким-то старым веб-приложением, которое работает только в Internet Explorer, поэтому браузер так настроен. Не такая уж редкая ситуация. 😏

🔻Злоумышленник может попытаться убедить жертву включить настройку "Allow sites to be reloaded in Internet Explorer mode (IE mode)" в Edge. 🤷‍♂️

Так или иначе, уязвимость эксплуатируется вживую и для неё уже есть (полу?🤔)публичный эксплоит. Мои коллеги по PT ESC поделились сегодня в канале @ptESCalator как они этот эксплоит нашли и протестировали. 🔍

Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)

Добавить комментарий

Про уязвимость Security Feature Bypass - Windows Mark of the Web Copy2Pwn (CVE-2024-38213)

Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213). Уязвимость вышла в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что MS исправили её раньше, в июне).

Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.

В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.

🔹 К WebDAV шаре можно обращаться через веб-браузер:

http://10.37.129.2/example_webdav_folder/somefile

🔹 А можно через Windows Explorer (как к SMB):

\\10.37.129.2@80\example_webdav_folder

И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷‍♂️ Отсюда название "Copy2Pwn". 😏

Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

1 комментарий

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. Эксплоитов и признаков эксплуатации вживую пока не видно, но описание уязвимости выглядит страшновато. 😱

Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".

🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷‍♂️

Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱

Update

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189)

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189).

Microsoft Project - программа управления проектами. Обеспечивает разработку планов, распределение ресурсов по задачам, отслеживание прогресса и анализ объёмов работ.

Уязвимость исправлена в рамках августовского Patch Tuesday. Зловредный код выполняется при открытии жертвой специального файла Microsoft Office Project, полученного в фишинговом письме или скаченного с сайта злоумышленника.

👾 Для успешной атаки должны быть отключены:

🔹 Политика "Блокировать запуск макросов в файлах Office из Интернет" (по умолчанию включена).
🔹 "VBA Macro Notification Settings".

Предпросмотр файлов в "Preview Pane" не является вектором эксплуатации. 👍

Как видите, для успешной атаки требуется довольно много условий, однако Microsoft сообщает о случаях эксплуатации уязвимости вживую. 🤷‍♂️

Августовский Microsoft Patch Tuesday

4 комментария

Августовский Microsoft Patch Tuesday

Августовский Microsoft Patch Tuesday. 130 CVE, из которых 45 были добавлены с июльского MSPT.

В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂

6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.

🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)

Другие:

🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)

🗒 Полный отчёт Vulristics

Трендовые уязвимости июля по версии Positive Technologies

1 комментарий

Трендовые уязвимости июля по версии Positive Technologies.

Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉

📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)