Архив метки: Microsoft

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178)

Добавить комментарий

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178)

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178). Уязвимость из августовского Patch Tuesday. Жертва переходит по ссылке злоумышленника, происходит повреждение памяти и выполнение произвольного кода злоумышленника.

Тонкость в том, что жертва должна открывать ссылку в браузере Edge от Microsoft в режиме совместимости с Internet Explorer. Но зачем жертве настраивать браузер в такой режим?

🔻 Жертва может по работе пользоваться каким-то старым веб-приложением, которое работает только в Internet Explorer, поэтому браузер так настроен. Не такая уж редкая ситуация. 😏

🔻Злоумышленник может попытаться убедить жертву включить настройку "Allow sites to be reloaded in Internet Explorer mode (IE mode)" в Edge. 🤷‍♂️

Так или иначе, уязвимость эксплуатируется вживую и для неё уже есть (полу?🤔)публичный эксплоит. Мои коллеги по PT ESC поделились сегодня в канале @ptESCalator как они этот эксплоит нашли и протестировали. 🔍

Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)

Добавить комментарий

Про уязвимость Security Feature Bypass - Windows Mark of the Web Copy2Pwn (CVE-2024-38213)

Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213). Уязвимость вышла в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что MS исправили её раньше, в июне).

Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.

В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.

🔹 К WebDAV шаре можно обращаться через веб-браузер:

http://10.37.129.2/example_webdav_folder/somefile

🔹 А можно через Windows Explorer (как к SMB):

\\10.37.129.2@80\example_webdav_folder

И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷‍♂️ Отсюда название "Copy2Pwn". 😏

Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

1 комментарий

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. Эксплоитов и признаков эксплуатации вживую пока не видно, но описание уязвимости выглядит страшновато. 😱

Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".

🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷‍♂️

Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱

Update

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189)

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189).

Microsoft Project - программа управления проектами. Обеспечивает разработку планов, распределение ресурсов по задачам, отслеживание прогресса и анализ объёмов работ.

Уязвимость исправлена в рамках августовского Patch Tuesday. Зловредный код выполняется при открытии жертвой специального файла Microsoft Office Project, полученного в фишинговом письме или скаченного с сайта злоумышленника.

👾 Для успешной атаки должны быть отключены:

🔹 Политика "Блокировать запуск макросов в файлах Office из Интернет" (по умолчанию включена).
🔹 "VBA Macro Notification Settings".

Предпросмотр файлов в "Preview Pane" не является вектором эксплуатации. 👍

Как видите, для успешной атаки требуется довольно много условий, однако Microsoft сообщает о случаях эксплуатации уязвимости вживую. 🤷‍♂️

Августовский Microsoft Patch Tuesday

4 комментария

Августовский Microsoft Patch Tuesday

Августовский Microsoft Patch Tuesday. 130 CVE, из которых 45 были добавлены с июльского MSPT.

В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂

6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.

🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)

Другие:

🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)

🗒 Полный отчёт Vulristics

Трендовые уязвимости июля по версии Positive Technologies

1 комментарий

Трендовые уязвимости июля по версии Positive Technologies.

Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉

📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service MadLicense (CVE-2024-38077)

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.

Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷‍♂️

9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.

Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷‍♂️ В интранетах их должно быть без счёта.

❗️ Выглядит как долгоиграющая трендовая история.

Исследователи обещают нам ещё BadLicense и DeadLicense. 😉