Архив метки: MotW

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet

Добавить комментарий

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411)

Добавить комментарий

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411)

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411). 7-Zip - популярный бесплатный архиватор с открытым исходным кодом. Он широко используется в организациях в качестве стандартного средства для работы с архивами.

Уязвимость заключается в обходе механизма Mark-of-the-Web.

🔹 Если вы в Windows скачаете подозрительный исполняемый файл и запустите его, то функция SmartScreen Microsoft Defender-а отработает и заблокирует запуск файла из ненадёжного источника.

🔹 А если вы скачаете 7z архив, содержащий вложенный 7z архив со зловредом, то сможете в три дабл-клика запустить исполняемый файл и SmartScreen не сработает. 🤷‍♂️ Причина в том, что 7-Zip до версии 24.09, вышедшей 30 ноября 2024 года, некорректно проставлял метку Mark-of-the-Web на распакованные файлы. На GitHub есть пример эксплоита.

Признаков эксплуатации уязвимости вживую пока нет. Но, скорее всего, они появятся, так как это простой способ повысить эффективность фишинговых атак. Обновите 7-Zip!

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Добавить комментарий

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)

Добавить комментарий

Про Security Feature Bypass - Windows Mark of the Web LNK Stomping (CVE-2024-38217)

Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday 10 сентября. Уязвимость зарепортил исследователь Joe Desimone из Elastic Security. 6 августа вышел его блог-пост "Демонтаж Smart App Control", в котором, среди прочего сообщалось о методе обхода Mark of the Web под названием "LNK Stomping". Ряд источников связывают уязвимость CVE-2024-38217 и этот метод.

В чём суть. Злоумышленник создаёт LNK-файл с нестандартными целевыми путями или внутренними структурами. Например, добавляет точку или пробел к пути до целевого исполняемого файла. При клике на такой LNK-файл explorer.exe автоматически приводит его форматирование к каноническому виду, что приводит к удалению метки MotW до выполнения проверок безопасности. 🤷‍♂️ В блог-посте есть ссылка на PoC эксплоита.

Сообщается о наличии семплов на VirusTotal (самый старый от 2018 года), эксплуатирующих данную уязвимость.

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress

Добавить комментарий

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺

📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)

Добавить комментарий

Про уязвимость Security Feature Bypass - Windows Mark of the Web Copy2Pwn (CVE-2024-38213)

Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213). Уязвимость вышла в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что MS исправили её раньше, в июне).

Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.

В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.

🔹 К WebDAV шаре можно обращаться через веб-браузер:

http://10.37.129.2/example_webdav_folder/somefile

🔹 А можно через Windows Explorer (как к SMB):

\\10.37.129.2@80\example_webdav_folder

И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷‍♂️ Отсюда название "Copy2Pwn". 😏

Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.

Майский Microsoft Patch Tuesday

2 комментария

Майский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tuesday.

У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):

🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.

Из остальных можно отметить:

🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.

🗒 Vulristics report