Архив метки: PatchTuesday

Выпустил-таки блогопост и видяшечку по февральскому Microsoft Patch Tuesday до конца праздников

Выпустил-таки блогопост и видяшечку по февральскому Microsoft Patch Tuesday до конца праздников. По сравнению с первоначальным вариантом добавились перспективные уязвимости Microsoft Edge, Microsoft Publisher и Word.

февральскому Microsoft Patch Tuesday

Обновил Vulristics-отчет по февральскому Microsoft Patch Tuesday. Пофиксил детекты софтов и типов уязвимостей, добавил комментарии из обзоров Tenable, Qualys, Rapid7, ZDI, KrebsOnSecurity. Блогопостом и вядяшкой вероятнее всего займусь уже под конец праздников.

С днём защитника Отечества всех!

Февральский Microsoft Patch Tuesday

Февральский Microsoft Patch Tuesday

Февральский Microsoft Patch Tuesday. Общее впечатление теперь буду сразу выдавать, с пылу с жару, а причесанный блогопост/видяшку с задержкой.

1. Наиболее критичным выглядит RCE - Windows Graphics Component (CVE-2023-21823). Причем ZDI отметили эту уязвимость как EoP и не стали в свой обзор добавлять. Видимо MS поменяли тип уязвимости перед релизом. Будем надеяться, что EDR-ы оперативно начнут блокировать эксплуатацию.
2. EoP - Windows Common Log File System Driver (CVE-2023-23376) с признаком активной эксплуатации.
3. Пачка RCE для Exchange (CVE-2023-21529, CVE-2023-21706, CVE-2023-21707, CVE-2023-21710). Но пока без признаков эксплуатации.
4. Из курьезного Inf. Disclosure в устройствах дополненной реальности HoloLens 1 (CVE-2019-15126), старая уязвимость Broadcom с кучей эксплоитов.

Выкладываю сырой Vulristics-отчет. Там есть проблемы с детектами софтов, но вроде не критично, пофикшу позже.

Выпустил эпизод по январскому Microsoft Patch Tuesday

Выпустил эпизод по январскому Microsoft Patch Tuesday

Выпустил эпизод по январскому Microsoft Patch Tuesday.

Есть интересные EoP с активной эксплуатацией вживую и даже публичным PoC-ом на GitHub. Но это все же не RCE, поэтому не ужас-ужас.

Есть подозрительные уязвимости для Exchange, которые тоже вроде как не RCE, но с Exchange уже на воду начинаешь дуть. Мало ли, вдруг опять с определением типа ошиблись и вскроется какой-то ProxyAbsolutelyNotShell. Лучше заранее обновиться.

Зато есть прям много RCE во всяких сетевых протоколах. Дойдет ли до реальной эксплуатации? Фиг знает, обычно не доходит.

Ну и наконец окончательное превращение в тыкву Windows 7, Windows 8.1, Windows Server 2008/2008R2. Лишний повод попушить админов, если оно вдруг всё-таки где-то осталось. Хотя если оно где-то и осталось, то наверняка не просто так.

И снова уязвимость, которую не подсветил вообще никто из VM-вендоров, но для которой внезапно появляется два публичных PoC-а на гитхабе от известного исследователя (Filip Dragovic, #Wh04m1001)

И снова уязвимость, которую не подсветил вообще никто из VM-вендоров, но для которой внезапно появляется два публичных PoC-а на гитхабе от известного исследователя (Filip Dragovic, #Wh04m1001)И снова уязвимость, которую не подсветил вообще никто из VM-вендоров, но для которой внезапно появляется два публичных PoC-а на гитхабе от известного исследователя (Filip Dragovic, #Wh04m1001)

И снова уязвимость, которую не подсветил вообще никто из VM-вендоров, но для которой внезапно появляется два публичных PoC-а на гитхабе от известного исследователя (Filip Dragovic, #Wh04m1001). Elevation of Privilege - Windows Backup Service (CVE-2023-21752). Первый PoC любой файл может удалить, второй запускает shell с поднятыми привилегиями.

А то, что VM-вендоры подсвечивают как правило так и остается неэксплуатабельным. 🤷‍♂️

Выпустил эпизод про декабрьский Microsoft Patch Tuesday,

Выпустил эпизод про декабрьский Microsoft Patch Tuesday, Там про фейл со SPNEGO, а собственно декабрьское не особо интересное. В топе по критичности обход “Mark of the Web” и очередные RCE в Edge/Chromium. Остальное весьма потенциальное, но патчить всё рано надо.

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее
Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее. Авторка этого отчета DEBRA M. FEZZA REED 🧡🌻 (She/Her) обиделась на меня, потому что я указал на ее ошибки публично, а не в личном сообщении в одной американской соцсеточке для профессионального общения. ¯\_(ツ)_/¯

> почему вы сочли необходимым пойти сразу на публичное осмеяние, а не обратиться ко мне напрямую, в профессиональной манере, чтобы исправить эту ошибку?

Честно говоря, у меня не было мотивации делать это после того, как Qualys ушла с российского рынка и оборвала все связи. Я даже не посмотрел, кто автор этого поста. И чего так серьезно-то? Это была просто невинная шутка с моей стороны, потому что описание получилось забавное.

> Я очень много работала, чтобы создать профессиональную репутацию, основанную на добросовестности, прозрачности, ответственности и подотчетности. Восприятие — это все, и действия имеют последствия. Вопреки вашему намерению, я не интерпретирую ваш пост как "невинную шутку".

Хорошо, продолжайте обвинять меня в своей ошибке. Видимо я помешал вам перечитать пост перед его публикацией. Видимо это моя вина, что с 8 ноября 2022 года больше никто не читал этот пост (ни в Qualys, ни во вне) и не указал вам на эти ошибки. Во всем виноват рандомный парень из России, который не написал вам в личку. Как непрофессионально с моей стороны. 🙂

PS: на QSC меня теперь вряд ли когда-нибудь пригласят. 😅