Архив метки: PatchTuesday

Июльский Microsoft Patch Tuesday

Добавить комментарий

Июльский Microsoft Patch Tuesday

Июльский Microsoft Patch Tues­day. Всего 175 уязвимостей, из них 33 набежало между июньским и июльским Patch Tues­day.

Есть 2 уязвимости с признаком эксплуатации вживую:

🔻 Spoof­ing — Win­dows MSHTML Plat­form (CVE-2024–38112). Spoof­ing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd. Подъехали детали.
🔻 Ele­va­tion of Priv­i­lege — Win­dows Hyper‑V (CVE-2024–38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).

Из остального можно выделить:

🔸 Ele­va­tion of Priv­i­lege — различные компоненты Win­dows (CVE-2024–38059, CVE-2024–38066, CVE-2024–38100, CVE-2024–38034, CVE-2024–38079, CVE-2024–38085, CVE-2024–38062, CVE-2024–30079, CVE-2024–38050). EoP-шки в последнее время часто выстреливают.
🔸 Remote Code Exe­cu­tion — Win­dows Remote Desk­top Licens­ing Ser­vice (CVE-2024–38074, CVE-2024–38076, CVE-2024–38077)
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–38021)
🔸 Remote Code Exe­cu­tion — Win­dows Imag­ing Com­po­nent (CVE-2024–38060). Достаточно закинуть вредоносный TIFF файл на сервер.
🔸 Remote Code Exe­cu­tion — Microsoft Share­Point Serv­er (CVE-2024–38023, CVE-2024–38024). Требуется аутентификация, но прав "Site Own­er" хватит.

🗒 Отчёт Vul­ris­tics по июльскому Microsoft Patch Tues­day

Vul­ris­tics показывает эксплоит для Spoof­ing — RADIUS Pro­to­col (CVE-2024–3596) на GitHub, но на самом деле это просто утилита для детектирования.

Июньский Microsoft Patch Tuesday

Добавить комментарий

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tues­day. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tues­day. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.

Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.

В профильных СМИ обращают внимание на эти 2:

🔸 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (MSMQ) (CVE-2024–30080). У этой уязвимости большой CVSS Score — 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Win­dows серверов с включенным MSMQ. Очень похоже на прошлогоднюю Queue­Jumper (CVE-2023–21554).
🔸 Denial of Ser­vice — DNSSEC (CVE-2023–50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷‍♂️ Какой-то супер-критичности не вижу, но для MS Patch Tues­day такое редкость, видимо поэтому все пишут.

На что ещё можно обратить внимание:

🔸 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2024–30091), Win­dows Ker­nel (CVE-2024–30088, CVE-2024–30099) и Win­dows Cloud Files Mini Fil­ter Dri­ver (CVE-2024–30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Con­cept эксплоиты.
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30101). Это уязвимость Microsoft Out­look. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Out­look, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Pre­view Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race con­di­tion.
🔸 Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–30103). Панель предварительного просмотра (Pre­view Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷‍♂️
🔸 Remote Code Exe­cu­tion — Win­dows Wi-Fi Dri­ver (CVE-2024–30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Pre­view Pane) НЕ является вектором атаки.

🗒 Отчёт Vul­ris­tics по июньскому Microsoft Patch Tues­day

Майский Microsoft Patch Tuesday

Добавить комментарий

Майский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch Tuesday

Майский Microsoft Patch Tues­day. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tues­day.

У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):

🔻 Secu­ri­ty Fea­ture Bypass — Win­dows MSHTML Plat­form (CVE-2024–30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Ele­va­tion of Priv­i­lege — Win­dows DWM Core Library (CVE-2024–30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью Qak­Bot.

Из остальных можно отметить:

🔸 Secu­ri­ty Fea­ture Bypass — Win­dows Mark of the Web (CVE-2024–30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Exe­cu­tion — Microsoft Share­Point Serv­er (CVE-2024–30044). Аутентифицированный злоумышленник с правами Site Own­er или выше может выполнить произвольный кода в контексте Share­Point Serv­er посредством загрузки специально созданного файла.
🔸 Ele­va­tion of Priv­i­lege — Win­dows Search Ser­vice (CVE-2024–30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Exe­cu­tion — Microsoft Excel (CVE-2024–30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.

🗒 Vul­ris­tics report

Немного продолжу ещё про CVE-2024–26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoofing — Proxy Driver"

Добавить комментарий

Немного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости Spoofing - Proxy DriverНемного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости Spoofing - Proxy Driver

Немного продолжу ещё про CVE-2024–26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoof­ing — Proxy Dri­ver". Складывается ощущение, что есть какой-то виндовый компонент "Proxy Dri­ver", который спуфят (т.е. по определению "один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества"). А если читать статью Sophos, то там единственное, что можно принять за "Proxy Dri­ver" это, собственно, малварь Catalog.exe и есть. И маскировка там если и есть, то только у зловредного сервиса с описанием "Google ADB Loa­clSock­et [sic] Mul­ti-thread­ing Graph­ics API".

То есть, либо речь о какой-то другой уязвимости (ну а вдруг, с Microsoft-ом я ничему не удивляюсь 😏), либо о совсем уж криво натянутой на глобус сове. 🦉🌏

Причём, для таких кейсов уже есть отлаженная форма заведения: ADV230001 — Guid­ance on Microsoft Signed Dri­vers Being Used Mali­cious­ly. Там как раз про зловредные подписанные драйвера и Win­dows Driver.STL.

Ну или если совсем уж хочется CVE завести, то почему бы не обозначить её как Secu­ri­ty Fea­ture Bypass — Win­dows Driver.STL?

Если же абстрагироваться от неудачного названия (которое всеми воспринимается с покерфейсом 😐, типа так и надо), необновленный Win­dows Driver.STL revo­ca­tion list, из-за которого злоумышленник может запускать зловреды, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертом это вполне себе уязвимость, а в случае зафиксированной эксплуатации вживую, вполне себе уязвимость трендовая.

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing — Proxy Driver (CVE-2024–26234): что это за зверь такой?

Добавить комментарий

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

Единственная уязвимость из апрельского Microsoft Patch Tues­day, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoof­ing — Proxy Dri­ver (CVE-2024–26234): что это за зверь такой?

По этой уязвимости один источник — статья в блоге компании Sophos.

🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copy­rigth' вместо 'Copy­right', 'rigths' вместо 'rights'). 🙄

🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Win­dows Hard­ware Com­pat­i­bil­i­ty Pro­gram (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Win­dows Driver.STL revo­ca­tion list) и завели CVE-2024–26234.

🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.

Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Win­dows, то наверное да. 🤷‍♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defend­er Antivirus как CVE оформлять. 🤪

Продолжение

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024–21378) с помощью утилиты Ruler работает!

Добавить комментарий

Эксплуатация трендовой RCE уязвимости в Out­look (CVE-2024–21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Out­look и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как Net­SPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Out­look)

PT SWARM всё проверил –
Pаботает, как надо.
No back con­nect required!
Для Out­look вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Out­look запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей…

Первые впечатления от апрельского Microsoft Patch Tuesday

Добавить комментарий

Первые впечатления от апрельского Microsoft Patch Tuesday
Первые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tues­day. Даже не знаю. 🤪 Очень чуднО! 173 уязвимости, из них 23 набежало с прошлого Patch Tues­day.

Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoof­ing — Proxy Dri­ver (CVE-2024–26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not dis­closed any infor­ma­tion about the vul­ner­a­bil­i­ty". 😅 ZDI ещё утверждает, что вживую эксплуатируется Secu­ri­ty Fea­ture Bypass — SmartScreen Prompt (CVE-2024–29988), которая представляет собой обход Mark of the Web (MotW).

Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:

🔸 Remote Code Exe­cu­tion — Microsoft Excel (CVE-2024–26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Exe­cu­tion — RPC (CVE-2024–20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoof­ing — Out­look for Win­dows (CVE-2024–20670). ZDI пишет, что это Infor­ma­tion Dis­clo­sure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Exe­cu­tion — Win­dows DNS Serv­er (CVE-2024–26221, CVE-2024–26222, CVE-2024–26223, CVE-2024–26224, CVE-2024–26227, CVE-2024–26231, CVE-2024–26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024–26221.
🔸 Remote Code Exe­cu­tion — Microsoft Defend­er for IoT (CVE-2024–21322, CVE-2024–21323, CVE-2024–29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.

Есть просто неприлично массовые фиксы:

🔹 Remote Code Exe­cu­tion — Microsoft OLE DB Dri­ver for SQL Serv­er / Microsoft WDAC OLE DB Provider for SQL Serv­er / Microsoft WDAC SQL Serv­er ODBC Dri­ver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Secu­ri­ty Fea­ture Bypass — Secure Boot. 23 CVE!

🗒 Отчёт Vul­ris­tics

Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoof­ing — Proxy Dri­ver (CVE-2024–26234) и Spoof­ing — Out­look for Win­dows (CVE-2024–20670).