Архив метки: Outlook

Июньский Microsoft Patch Tuesday

Добавить комментарий

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tues­day. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tues­day. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.

Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.

В профильных СМИ обращают внимание на эти 2:

🔸 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (MSMQ) (CVE-2024–30080). У этой уязвимости большой CVSS Score — 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Win­dows серверов с включенным MSMQ. Очень похоже на прошлогоднюю Queue­Jumper (CVE-2023–21554).
🔸 Denial of Ser­vice — DNSSEC (CVE-2023–50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷‍♂️ Какой-то супер-критичности не вижу, но для MS Patch Tues­day такое редкость, видимо поэтому все пишут.

На что ещё можно обратить внимание:

🔸 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2024–30091), Win­dows Ker­nel (CVE-2024–30088, CVE-2024–30099) и Win­dows Cloud Files Mini Fil­ter Dri­ver (CVE-2024–30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Con­cept эксплоиты.
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30101). Это уязвимость Microsoft Out­look. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Out­look, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Pre­view Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race con­di­tion.
🔸 Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–30103). Панель предварительного просмотра (Pre­view Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷‍♂️
🔸 Remote Code Exe­cu­tion — Win­dows Wi-Fi Dri­ver (CVE-2024–30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Pre­view Pane) НЕ является вектором атаки.

🗒 Отчёт Vul­ris­tics по июньскому Microsoft Patch Tues­day

Повысилась критичность уязвимости RCE — Windows MSHTML Platform (CVE-2023–35628)

Добавить комментарий

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)

Повысилась критичность уязвимости RCE — Win­dows MSHTML Plat­form (CVE-2023–35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tues­day 2023.

"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Out­look (до просмотра в Pre­view Pane). 🔥"

И вот через 4 месяца Aka­mai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Win­dows File Explor­er. 🤔

А где zero-click RCE в Out­look? Такая эксплуатация возможна вместе с EoP — Microsoft Out­look (CVE-2023–23397):

"This vul­ner­a­bil­i­ty can be trig­gered through Out­look (0‑click using CVE-2023–23397)".

Впрочем, CVE-2023–23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏

По данным из БДУ ФСТЭК уязвимость CVE-2023–35628 эксплуатируется вживую (флаг vul_incident).

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024–21378) с помощью утилиты Ruler работает!

Добавить комментарий

Эксплуатация трендовой RCE уязвимости в Out­look (CVE-2024–21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Out­look и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как Net­SPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Out­look)

PT SWARM всё проверил –
Pаботает, как надо.
No back con­nect required!
Для Out­look вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Out­look запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей…

Первые впечатления от апрельского Microsoft Patch Tuesday

Добавить комментарий

Первые впечатления от апрельского Microsoft Patch Tuesday
Первые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tues­day. Даже не знаю. 🤪 Очень чуднО! 173 уязвимости, из них 23 набежало с прошлого Patch Tues­day.

Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoof­ing — Proxy Dri­ver (CVE-2024–26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not dis­closed any infor­ma­tion about the vul­ner­a­bil­i­ty". 😅 ZDI ещё утверждает, что вживую эксплуатируется Secu­ri­ty Fea­ture Bypass — SmartScreen Prompt (CVE-2024–29988), которая представляет собой обход Mark of the Web (MotW).

Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:

🔸 Remote Code Exe­cu­tion — Microsoft Excel (CVE-2024–26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Exe­cu­tion — RPC (CVE-2024–20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoof­ing — Out­look for Win­dows (CVE-2024–20670). ZDI пишет, что это Infor­ma­tion Dis­clo­sure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Exe­cu­tion — Win­dows DNS Serv­er (CVE-2024–26221, CVE-2024–26222, CVE-2024–26223, CVE-2024–26224, CVE-2024–26227, CVE-2024–26231, CVE-2024–26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024–26221.
🔸 Remote Code Exe­cu­tion — Microsoft Defend­er for IoT (CVE-2024–21322, CVE-2024–21323, CVE-2024–29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.

Есть просто неприлично массовые фиксы:

🔹 Remote Code Exe­cu­tion — Microsoft OLE DB Dri­ver for SQL Serv­er / Microsoft WDAC OLE DB Provider for SQL Serv­er / Microsoft WDAC SQL Serv­er ODBC Dri­ver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Secu­ri­ty Fea­ture Bypass — Secure Boot. 23 CVE!

🗒 Отчёт Vul­ris­tics

Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoof­ing — Proxy Dri­ver (CVE-2024–26234) и Spoof­ing — Out­look for Win­dows (CVE-2024–20670).

У февральской RCE уязвимости в Outlook (CVE-2024–21378) повысилась критичность, но об этом не особо пишут

Добавить комментарий

У февральской RCE уязвимости в Outlook (CVE-2024-21378) повысилась критичность, но об этом не особо пишут

У февральской RCE уязвимости в Out­look (CVE-2024–21378) повысилась критичность, но об этом не особо пишут. 🤷‍♂️ 11 марта вышел write-up от компании Net­SPI. Пишут, что эта уязвимость была ими обнаружена в 2023 году. 29 сентября они сообщили о ней в Microsoft (получается MS фиксили её 4,5 месяца). В статье приводится PoC. Кроме того, они обещают добавить эксплуатацию в опенсурсную утилиту Ruler.

"Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная цель утилиты абьюзить client-side функции Out­look и получить удалённый шелл."

Эксплуатация уязвимости немного усложняется тем, что злоумышленник должен иметь валидную пользовательскую учётку Exchange.

Если вы вдруг ещё не устанавливали февральские обновления Microsoft, обязательно займитесь. Тем более, в феврале была ещё одна RCE в Out­look с публичным эксплоитом (CVE-2024–21413).

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shad­owserv­er, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shad­owserv­er и Shodan?
09:38 Уязвимость Cis­co ASA (CVE-2020–3259), обнаруженная исследователями Pos­i­tive Tech­nolo­gies 4 года назад, используется шифровальщиком Aki­ra для получения первоначального доступа
11:54 "Oper­a­tion Cronos" против группировки вымогателей Lock­Bit, возможная эксплуатация уязвимости Remote Code Exe­cu­tion — PHP (CVE-2023–3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Lin­ux Patch Wednes­day и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Secu­ri­ty Report".
25:20 RCE в Screen­Con­nect (CVE-2024–1708, CVE-2024–1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению pay­load-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cac­tus украли 1,5 ТБ внутренних данных техногиганта Schnei­der Elec­tric
55:53 Прощание от Mr. X

Для уязвимости Remote Code Execution — Microsoft Outlook (CVE-2024–21413) появился PoC на GitHub

Добавить комментарий

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub

Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub. Автор PoC‑а Alexan­der Hage­nah из швейцарской компании SIX Group. В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл. Красиво. 🙂

Ждём возвращения для этой уязвимости галки "эксплуатируется вживую". 🙃