🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824) 🔻 Elevation of Privilege - Windows Process Activation (CVE-2025-21204) 🔻 Spoofing - Windows NTLM (CVE-2025-24054) 🔻 Remote Code Execution - Erlang/OTP (CVE-2025-32433)
Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054). Эта уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Было известно только то, что уязвимость эксплуатируется через взаимодействие жертвы со зловредным файлом.
Через месяц, 16 апреля в блоге Check Point вышел пост с техническими деталями. Там сообщается, что для эксплуатации этой уязвимости используются зловредные файлы…
✋ Минуточку, а ведь в мартовском MSPT была трендовая уязвимость CVE-2025-24071, связанная с такими файлами. 🤔 Выясняется, что это ТА ЖЕ САМАЯ уязвимость. 🤪 CheckPoint сообщают: "Microsoft had initially assigned the vulnerability the CVE identifier CVE-2025-24071, but it has since been updated to CVE-2025-24054". Бардак. 🤷♂️ Так что по технике переадресую к прошлому посту.
👾 Начиная с 19 марта, Check Point отследили около 11 кампаний направленных на сбор NTLMv2-SSP хешей, эксплуатирующих эту уязвимость.
Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁
Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451). Уязвимость из ноябрьского Microsoft Patch Tuesday. Для неё сразу были признаки эксплуатации вживую. Уязвимость связана с устаревшей MSHTML платформой, которая до сих пор используется в Windows. Для эксплуатации уязвимости пользователь должен минимально провзаимодействовать со зловредным URL-файлом: щёлкнуть по нему правой кнопкой мыши, удалить его или перенести в другую папку. Открывать вредоносный файл не требуется. В результате злоумышленник получает NTLMv2 хэш пользователя, который может использовать для аутентификации.
👾 По данным компании ClearSky, уязвимость используется для распространения Spark RAT - трояна удаленного доступа с открытым исходным кодом.
Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.
---
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.
Education 00:09 BMSTU online cyber security course 00:33 Positive Technologies online Vulnerability Management course 00:52 Bahasa Indonesia
Russian Podcasts 01:20 Прожектор по ИБ ("Information Security Spotlight") podcast 01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies
Patch Tuesday 02:54 September Microsoft Patch Tuesday 03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352) 04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed" 04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761) 05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802) 05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)
Other Vulnerabilities 06:54 Bitrix CMS RCE (BDU:2023-05857) 07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012) 08:09 Qualys TOP 20 vulnerabilities
Vulnerability Management Market 09:06 Forrester and GigaOm VM Market reports 09:49 R-Vision VM
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.