Архив метки: MSHTML

Июльский Microsoft Patch Tuesday

Июльский Microsoft Patch Tuesday

Июльский Microsoft Patch Tuesday. Всего 175 уязвимостей, из них 33 набежало между июньским и июльским Patch Tuesday.

Есть 2 уязвимости с признаком эксплуатации вживую:

🔻 Spoofing - Windows MSHTML Platform (CVE-2024-38112). Spoofing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd. Подъехали детали.
🔻 Elevation of Privilege - Windows Hyper-V (CVE-2024-38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).

Из остального можно выделить:

🔸 Elevation of Privilege - различные компоненты Windows (CVE-2024-38059, CVE-2024-38066, CVE-2024-38100, CVE-2024-38034, CVE-2024-38079, CVE-2024-38085, CVE-2024-38062, CVE-2024-30079, CVE-2024-38050). EoP-шки в последнее время часто выстреливают.
🔸 Remote Code Execution - Windows Remote Desktop Licensing Service (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077)
🔸 Remote Code Execution - Microsoft Office (CVE-2024-38021)
🔸 Remote Code Execution - Windows Imaging Component (CVE-2024-38060). Достаточно закинуть вредоносный TIFF файл на сервер.
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-38023, CVE-2024-38024). Требуется аутентификация, но прав "Site Owner" хватит.

🗒 Отчёт Vulristics по июльскому Microsoft Patch Tuesday

Vulristics показывает эксплоит для Spoofing - RADIUS Protocol (CVE-2024-3596) на GitHub, но на самом деле это просто утилита для детектирования.

Трендовые уязвимости мая по версии Positive Technologies

Трендовые уязвимости мая по версии Positive Technologies. Как обычно, в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 RCE в Fluent Bit (CVE-2024-4323)
🔻 RCE в Confluence (CVE-2024-21683)
🔻 RCE в Windows MSHTML Platform / OLE (CVE-2024-30040)
🔻 EoP в Windows DWM Core Library (CVE-2024-30051)

Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday

Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday

Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday. Согласно описанию на сайте Microsoft, уязвимость представляет собой обход некоторых функций безопасности OLE в Microsoft 365 и Microsoft Office, в результате чего злоумышленник может выполнить произвольный код в контексте пользователя. Однако, несмотря на упоминание Microsoft 365 / Microsoft Office, это уязвимость не в этих продуктах, а именно в компоненте Windows.

Что такое OLE? Object Linking and Embedding - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии - открытие таблицы Excel в документе Word.

Какие именно функции безопасности OLE обходятся не очень понятно. Известно только то, что они "защищают пользователей от уязвимых элементов управления COM/OLE". Однако, судя по названию уязвимости, они как-то связаны с MSHTML - браузерным движком для Microsoft Internet Explorer. Microsoft давно отказались от браузера Internet Explorer, но MSHTML ещё используется в Windows как программный компонент.

Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office / Microsoft 365, на уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер. А что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости? В описании Microsoft есть противоречие. В одном месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: "проманипулировать со специально созданным файлом, но не обязательно кликать или открывать вредоносный файл". Видимо такая неоднозначность результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически.

Пока нет публичного PoC-а, независимого исследования данной уязвимости или сообщений о конкретных атаках, сказать что-то более определенное сложно. Поэтому ждём подробности и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется вживую.

🟥 Positive Technologies относит уязвимость к трендовым.

Майский Microsoft Patch Tuesday

Майский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tuesday.

У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):

🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.

Из остальных можно отметить:

🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.

🗒 Vulristics report

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tuesday 2023.

"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в Preview Pane). 🔥"

И вот через 4 месяца Akamai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Windows File Explorer. 🤔

А где zero-click RCE в Outlook? Такая эксплуатация возможна вместе с EoP - Microsoft Outlook (CVE-2023-23397):

"This vulnerability can be triggered through Outlook (0-click using CVE-2023-23397)".

Впрочем, CVE-2023-23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏

По данным из БДУ ФСТЭК уязвимость CVE-2023-35628 эксплуатируется вживую (флаг vul_incident).

Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday

Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂

------

Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.

Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table

TOP
04:09 Remote Code Execution – Microsoft Office (CVE-2023-36884)
05:06 Security Feature Bypass – Windows SmartScreen (CVE-2023-32049)
05:48 Security Feature Bypass – Microsoft Outlook (CVE-2023-35311)
06:37 Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874)
07:16 Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)

Other RCEs
08:10 Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350)
09:01 Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
09:44 Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367)
10:24 Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
10:57 Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
11:42 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report