Архив метки: Microsoft

Трендовые уязвимости мая по версии Positive Technologies

Трендовые уязвимости мая по версии Positive Technologies. Как обычно, в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 RCE в Fluent Bit (CVE-2024-4323)
🔻 RCE в Confluence (CVE-2024-21683)
🔻 RCE в Windows MSHTML Platform / OLE (CVE-2024-30040)
🔻 EoP в Windows DWM Core Library (CVE-2024-30051)

Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом

Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом

Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом. CVSS 9.8. 6 июня разработчики PHP выпустили обновление для устранения RCE-уязвимости, которая связана с функцией преобразования кодировки Best-Fit в операционной системе Windows. Уязвимость позволяет неаутентифицированному злоумышленнику, выполняющему argument injection атаку, обойти защиту от старой активно эксплуатируемой RCE-уязвимости CVE-2012-1823 с помощью определенных последовательностей символов и выполнить произвольный код. Эксплоиты для уязвимости уже доступны на GitHub. Shadowserver Foundation отмечает активные сканирования, направленные на обнаружения уязвимых хостов. 👾

Уязвимость затрагивает все версии PHP, установленные в операционной системе Windows.

🔻 PHP 8.3 8.3.8
🔻 PHP 8.2 8.2.20
🔻 PHP 8.1 8.1.29 Версии PHP 8.0, PHP 7 и PHP 5 также уязвимы, но они уже в End-of-Life и не поддерживаются. 🤷‍♂️ Отдельно подчеркивается, что все инсталляции XAMPP также уязвимы по умолчанию. XAMPP - это популярная кроссплатформенная сборка локального веб-сервера, содержащая Apache, MariaDB, PHP, Perl и большое количество дополнительных библиотек. В случае, если обновление до актуальной версии PHP невозможно, исследователи из компании DEVCORE предлагают конфигурации для противодействия эксплуатации уязвимости. Однако эти рекомендации касаются инсталляций на Windows с определенными языковыми локалями (Traditional Chinese, Simplified Chinese, Japanese), для которых эксплуатация уязвимости была подтверждена. На других локалях из-за широкого спектра сценариев использования PHP в настоящее время невозможно полностью перечислить и исключить все потенциальные сценарии эксплуатации уязвимости. Поэтому пользователям рекомендуется провести комплексную оценку активов, проверить сценарии использования PHP и обновить PHP до последней версии.

Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday

Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday

Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday.

💻 DWM (Desktop Window Manager) - это композитный оконный менеджер в Microsoft Windows, начиная с Windows Vista, который позволяет использовать аппаратное ускорение для визуализации графического пользовательского интерфейса Windows..

🦹‍♂️ Злоумышленник, получив первоначальный доступ к уязвимому Windows хосту, может проэксплуатировать данную уязвимость DWM, чтобы поднять свои привилегии до уровня SYSTEM. Это позволит ему закрепиться на хосте и продолжить развитие атаки.

👾 Исследователи из Лаборатории Касперского делятся в своём блоге интересной историей о том, как они нашли информацию об этой уязвимости в таинственном документе на ломаном английском, загруженном на VirusTotal 1 апреля 2024 года. VirusTotal - это бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. В ходе исследования эксперты ЛК подтвердили наличие уязвимости, описанной в документе, сообщили о ней в Microsoft, и, начиная с середины апреля, фиксировали эксплуатацию этой уязвимости банковским трояном QakBot и другими зловредами. Таким образом атаки начали фиксироваться где-то за месяц до выхода патчей Microsoft.

🛡 База уязвимостей БДУ ФСТЭК сообщает о наличии эксплоита в паблике, однако в сплоит-паках и на GitHub он пока не находится.

🟥 Positive Technologies относит уязвимость к трендовым,

Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday

Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday

Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday. Согласно описанию на сайте Microsoft, уязвимость представляет собой обход некоторых функций безопасности OLE в Microsoft 365 и Microsoft Office, в результате чего злоумышленник может выполнить произвольный код в контексте пользователя. Однако, несмотря на упоминание Microsoft 365 / Microsoft Office, это уязвимость не в этих продуктах, а именно в компоненте Windows.

Что такое OLE? Object Linking and Embedding - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии - открытие таблицы Excel в документе Word.

Какие именно функции безопасности OLE обходятся не очень понятно. Известно только то, что они "защищают пользователей от уязвимых элементов управления COM/OLE". Однако, судя по названию уязвимости, они как-то связаны с MSHTML - браузерным движком для Microsoft Internet Explorer. Microsoft давно отказались от браузера Internet Explorer, но MSHTML ещё используется в Windows как программный компонент.

Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office / Microsoft 365, на уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер. А что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости? В описании Microsoft есть противоречие. В одном месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: "проманипулировать со специально созданным файлом, но не обязательно кликать или открывать вредоносный файл". Видимо такая неоднозначность результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически.

Пока нет публичного PoC-а, независимого исследования данной уязвимости или сообщений о конкретных атаках, сказать что-то более определенное сложно. Поэтому ждём подробности и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется вживую.

🟥 Positive Technologies относит уязвимость к трендовым.

Коллеги по PT ESC обнаружили раннее неизвестный кейлоггер для Microsoft Exchange OWA

Коллеги по PT ESC обнаружили раннее неизвестный кейлоггер для Microsoft Exchange OWA

Коллеги по PT ESC обнаружили раннее неизвестный кейлоггер для Microsoft Exchange OWA. Встроенный код собирает логины/пароли, которые вводят пользователи для доступа в веб-интерфейс Exchange, и сохраняет их в специальный файл. Доступ к этому файлу открыт извне. Вот так просто злоумышленники собирают учётки для получения конфиденциальной информации и дальнейшего развития атаки. 🙂

👾 Установка зловреда производится через эксплуатацию старой уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

🏛️ Всего обнаружили 30 жертв, среди которых правительственные структуры, банки, IT-компании, учебные учреждения.

🌍 Атакованные страны: Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания, Ливан и другие. 

🕵️‍♂️ Определить факт компрометации можно по характерной строчке в файле logon.aspx.

Вышел выпуск новостей SecLab-а с моей рубрикой по трендовым уязвимостям апреля

Вышел выпуск новостей SecLab-а с моей рубрикой по трендовым уязвимостям апреля. 🙂 Рубрика "В тренде VM" начинается с 14:31. 🎞

Подробности по трендовым уязвимостям апреля читайте в дайджесте и на Хабре.

Майский Microsoft Patch Tuesday

Майский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tuesday.

У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):

🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.

Из остальных можно отметить:

🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.

🗒 Vulristics report