Архив метки: MotW

Майский Microsoft Patch Tuesday

Добавить комментарий

Майский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch Tuesday

Майский Microsoft Patch Tues­day. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tues­day.

У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):

🔻 Secu­ri­ty Fea­ture Bypass — Win­dows MSHTML Plat­form (CVE-2024–30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Ele­va­tion of Priv­i­lege — Win­dows DWM Core Library (CVE-2024–30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью Qak­Bot.

Из остальных можно отметить:

🔸 Secu­ri­ty Fea­ture Bypass — Win­dows Mark of the Web (CVE-2024–30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Exe­cu­tion — Microsoft Share­Point Serv­er (CVE-2024–30044). Аутентифицированный злоумышленник с правами Site Own­er или выше может выполнить произвольный кода в контексте Share­Point Serv­er посредством загрузки специально созданного файла.
🔸 Ele­va­tion of Priv­i­lege — Win­dows Search Ser­vice (CVE-2024–30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Exe­cu­tion — Microsoft Excel (CVE-2024–30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.

🗒 Vul­ris­tics report

Что известно про уязвимость Security Feature Bypass — SmartScreen Prompt (CVE-2024–29988)?

Добавить комментарий

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Что известно про уязвимость Secu­ri­ty Fea­ture Bypass — SmartScreen Prompt (CVE-2024–29988)? Основная причина, почему её можно выделить в апрельском Microsoft Patch Tues­day — упоминание в блоге ZDI (Zero Day Ini­tia­tive). ZDI считают, что эта уязвимость эксплуатируется в реальных атаках. При том, что Microsoft в настоящее время так НЕ считают. Такая вот странная ситуация. 🤷‍♂️

Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.

Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024–29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (Dark­Casi­no) и Dark­Gate. Также Гирнус утверждает, что уязвимость CVE-2024–29988 тесно связана с Secu­ri­ty Fea­ture Bypass — Inter­net Short­cut Files (CVE-2024–21412), которая попала в список трендовых уязвимостей в феврале.