Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451). Уязвимость из ноябрьского Microsoft Patch Tuesday. Для неё сразу были признаки эксплуатации вживую. Уязвимость связана с устаревшей MSHTML платформой, которая до сих пор используется в Windows. Для эксплуатации уязвимости пользователь должен минимально провзаимодействовать со зловредным URL-файлом: щёлкнуть по нему правой кнопкой мыши, удалить его или перенести в другую папку. Открывать вредоносный файл не требуется. В результате злоумышленник получает NTLMv2 хэш пользователя, который может использовать для аутентификации.
👾 По данным компании ClearSky, уязвимость используется для распространения Spark RAT - трояна удаленного доступа с открытым исходным кодом.
Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.
---
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.
Education 00:09 BMSTU online cyber security course 00:33 Positive Technologies online Vulnerability Management course 00:52 Bahasa Indonesia
Russian Podcasts 01:20 Прожектор по ИБ ("Information Security Spotlight") podcast 01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies
Patch Tuesday 02:54 September Microsoft Patch Tuesday 03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352) 04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed" 04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761) 05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802) 05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)
Other Vulnerabilities 06:54 Bitrix CMS RCE (BDU:2023-05857) 07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012) 08:09 Qualys TOP 20 vulnerabilities
Vulnerability Management Market 09:06 Forrester and GigaOm VM Market reports 09:49 R-Vision VM
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
