Архив метки: Outlook

Повысилась критичность уязвимости RCE — Windows MSHTML Platform (CVE-2023–35628)

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)

Повысилась критичность уязвимости RCE — Win­dows MSHTML Plat­form (CVE-2023–35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tues­day 2023.

"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Out­look (до просмотра в Pre­view Pane). 🔥"

И вот через 4 месяца Aka­mai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Win­dows File Explor­er. 🤔

А где zero-click RCE в Out­look? Такая эксплуатация возможна вместе с EoP — Microsoft Out­look (CVE-2023–23397):

"This vul­ner­a­bil­i­ty can be trig­gered through Out­look (0‑click using CVE-2023–23397)".

Впрочем, CVE-2023–23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏

По данным из БДУ ФСТЭК уязвимость CVE-2023–35628 эксплуатируется вживую (флаг vul_incident).

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024–21378) с помощью утилиты Ruler работает!

Эксплуатация трендовой RCE уязвимости в Out­look (CVE-2024–21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Out­look и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как Net­SPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Out­look)

PT SWARM всё проверил –
Pаботает, как надо.
No back con­nect required!
Для Out­look вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Out­look запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей…

Первые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tuesday
Первые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tues­day. Даже не знаю. 🤪 Очень чуднО! 173 уязвимости, из них 23 набежало с прошлого Patch Tues­day.

Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoof­ing — Proxy Dri­ver (CVE-2024–26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not dis­closed any infor­ma­tion about the vul­ner­a­bil­i­ty". 😅 ZDI ещё утверждает, что вживую эксплуатируется Secu­ri­ty Fea­ture Bypass — SmartScreen Prompt (CVE-2024–29988), которая представляет собой обход Mark of the Web (MotW).

Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:

🔸 Remote Code Exe­cu­tion — Microsoft Excel (CVE-2024–26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Exe­cu­tion — RPC (CVE-2024–20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoof­ing — Out­look for Win­dows (CVE-2024–20670). ZDI пишет, что это Infor­ma­tion Dis­clo­sure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Exe­cu­tion — Win­dows DNS Serv­er (CVE-2024–26221, CVE-2024–26222, CVE-2024–26223, CVE-2024–26224, CVE-2024–26227, CVE-2024–26231, CVE-2024–26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024–26221.
🔸 Remote Code Exe­cu­tion — Microsoft Defend­er for IoT (CVE-2024–21322, CVE-2024–21323, CVE-2024–29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.

Есть просто неприлично массовые фиксы:

🔹 Remote Code Exe­cu­tion — Microsoft OLE DB Dri­ver for SQL Serv­er / Microsoft WDAC OLE DB Provider for SQL Serv­er / Microsoft WDAC SQL Serv­er ODBC Dri­ver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Secu­ri­ty Fea­ture Bypass — Secure Boot. 23 CVE!

🗒 Отчёт Vul­ris­tics

Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoof­ing — Proxy Dri­ver (CVE-2024–26234) и Spoof­ing — Out­look for Win­dows (CVE-2024–20670).

У февральской RCE уязвимости в Outlook (CVE-2024–21378) повысилась критичность, но об этом не особо пишут

У февральской RCE уязвимости в Outlook (CVE-2024-21378) повысилась критичность, но об этом не особо пишут

У февральской RCE уязвимости в Out­look (CVE-2024–21378) повысилась критичность, но об этом не особо пишут. 🤷‍♂️ 11 марта вышел write-up от компании Net­SPI. Пишут, что эта уязвимость была ими обнаружена в 2023 году. 29 сентября они сообщили о ней в Microsoft (получается MS фиксили её 4,5 месяца). В статье приводится PoC. Кроме того, они обещают добавить эксплуатацию в опенсурсную утилиту Ruler.

"Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная цель утилиты абьюзить client-side функции Out­look и получить удалённый шелл."

Эксплуатация уязвимости немного усложняется тем, что злоумышленник должен иметь валидную пользовательскую учётку Exchange.

Если вы вдруг ещё не устанавливали февральские обновления Microsoft, обязательно займитесь. Тем более, в феврале была ещё одна RCE в Out­look с публичным эксплоитом (CVE-2024–21413).

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shad­owserv­er, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shad­owserv­er и Shodan?
09:38 Уязвимость Cis­co ASA (CVE-2020–3259), обнаруженная исследователями Pos­i­tive Tech­nolo­gies 4 года назад, используется шифровальщиком Aki­ra для получения первоначального доступа
11:54 "Oper­a­tion Cronos" против группировки вымогателей Lock­Bit, возможная эксплуатация уязвимости Remote Code Exe­cu­tion — PHP (CVE-2023–3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Lin­ux Patch Wednes­day и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Secu­ri­ty Report".
25:20 RCE в Screen­Con­nect (CVE-2024–1708, CVE-2024–1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению pay­load-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cac­tus украли 1,5 ТБ внутренних данных техногиганта Schnei­der Elec­tric
55:53 Прощание от Mr. X

Для уязвимости Remote Code Execution — Microsoft Outlook (CVE-2024–21413) появился PoC на GitHub

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub

Для уязвимости Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–21413) появился PoC на GitHub. Автор PoC‑а Alexan­der Hage­nah из швейцарской компании SIX Group. В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл. Красиво. 🙂

Ждём возвращения для этой уязвимости галки "эксплуатируется вживую". 🙃

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"

00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Pos­i­tive Tech­nolo­gies
05:22 Новый бэкдор для Ivan­ti Con­nect Secure и анализ апплаенса Ivan­ti
10:42 Февральский Microsoft Patch Tues­day, ошибочный временный взлёт RCE Out­look и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость Event­LogCrash­er в Win­dows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peit­er Zatko (бывший CISO Twit­ter)