Архив метки: PatchTuesday

Давайте глянем что там в августовском Microsoft Patch Tuesday

Давайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch Tuesday

Давайте глянем что там в августовском Microsoft Patch Tuesday. 147 уязвимостей.

Urgent: 1
Critical: 0
High: 36
Medium: 108
Low: 2

Есть супер-экшн:

Remote Code Execution - Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-34713) - Urgent [843]. Это один из вариантов уязвимости "DogWalk". Эксплуатируется при открытии файла, обычно Microsoft Word. Т.е. залетит через фишинг. Тут и функциональный эксплоит (где-то) есть, и признак активной эксплуатации вживую. Похожую уязвимость уже фиксили в мае. То ли не дофиксили, то ли похожую нашли. Эксплоита в паблике пока нет.

Есть критичное:

Elevation of Privilege - Microsoft Exchange (CVE-2022-21980) - во первых на периметре торчит, во вторых атакующий сможет читать все письма на сервере и отправлять. Хорошо, что пока эксплоита нет. Хороший пример, что на EoP-ки тоже можно обращать внимание.

Есть потенциально интересное:

Remote Code Execution - Windows Point-to-Point Protocol (PPP) (CVE-2022-30133) - тут советуют трафик по порту 1723 поискать
Remote Code Execution - Windows Secure Socket Tunneling Protocol (SSTP) (CVE-2022-35766) - тоже не так часто в этом протоколе находят
Remote Code Execution - SMB Client and Server (CVE-2022-35804) - здесь естественно сразу вспоминают про MS17-010
Remote Code Execution - Visual Studio (CVE-2022-35827) - таких 3 и есть Proof-of-Concept Exploit, в таргетированном фишинге на разрабов может сработать?
Elevation of Privilege - Active Directory (CVE-2022-34691) - до System можно поднять права. Нужно, чтобы были запущены Active Directory Certificate Services

Есть стандартное, регулярно встречающееся в MSPT, но до реальной эксплуатации обычно не доходит:

Remote Code Execution - Windows Network File System (CVE-2022-34715)
Elevation of Privilege - Windows Print Spooler (CVE-2022-35793)

Есть курьёзы:

Vulristics внезапно подсветил уязвимость Memory Corruption - Microsoft Edge (CVE-2022-2623), потому что для неё есть публичный эксплоит. Оказалось, что тут ошибка в базах эксплоитов, сразу в двух 0day(.)today и packetstorm. Вместо CVE-2022-26233 по ошибке прописали CVE-2022-2623. И такое тоже бывает и никто это не проверяет. К слову о мнимой всесильности автоматической приоритизации уязвимостей по замусоренным данным.

Denial of Service - Microsoft Outlook (CVE-2022-35742) - вредоносное письмо намертво убивает Outlook, рестарт не помогает

Есть загадочное:

CERT/CC: CVE-2022-34303 Crypto Pro Boot Loader Bypass
CERT/CC: CVE-2022-34301 Eurosoft Boot Loader Bypass
CERT/CC: CVE-2022-34302 New Horizon Data Systems Inc Boot Loader Bypass

Во-первых они пришли по линии американского CERT Coordination Center. Во-вторых, по ним никто ничего не пишет, только Qualys. "security bypass vulnerabilities in a third-party driver affecting Windows Secure Boot". В-третьих, может это конечно совпадение и речь о других софтах, но Crypto Pro это не российский ли КриптоПро? А Eurosoft это не российский ли Еврософт "программное средство в области архитектурного проектирования и дизайна"? В общем, сигнальчик любопытный.

Полный отчет Vulristics: https://avleonov.com/vulristics_reports/ms_patch_tuesday_august2022_report_with_comments_ext_img.html

Видяшечка про июльский Microsoft Patch Tuesday и про то, что Microsoft творит дичь

Видяшечка про июльский Microsoft Patch Tuesday и про то, что Microsoft творит дичь. В принципе все то же, о чем тут писал. Ну и про репорт майкрософтовский тоже накинул немножко для затравки. 🙂

—-

Hello everyone! Microsoft has been acting weird lately. I mean the recent publication of a propaganda report about evil Russians and how Microsoft is involved in the conflict between countries. It wouldn't be unusual for a US government agency, NSA or CIA to publish such a report. But when a global IT vendor, which, in theory, should be more or less neutral, does this… This is a clear signal. It's not about business anymore.

I'll take a closer look at this report in the next episode of the Vulnerability Management news, but for now let's take a look at Microsoft July Patch Tuesday. Yes, the vendor is behaving strangely, but Microsoft products need to be patched. Right? At least for now. And tracking vulnerabilities is always a good thing. 🙂

01:32 CSRSS Elevation of Privilege (CVE-2022-22047)
04:36 RPC Remote Code Execution (CVE-2022-22038)
05:44 Microsoft Edge Memory Corruption (CVE-2022-2294)
06:55 32 vulnerabilities in Azure Site Recovery

Video: https://youtu.be/HjfxxcqWrH4
Video2 (for Russia): https://vk.com/video-149273431_456239096
Blogpost: https://avleonov.com/2022/07/23/microsoft-patch-tuesday-july-2022-propaganda-report-csrss-eop-rpc-rce-edge-azure-site-recovery/
Full report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_july2022_report_with_comments_ext_img.html

Майкрософт в последнее время творят дичь, но это не повод не патчить их продукты

Майкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продукты

Майкрософт в последнее время творят дичь, но это не повод не патчить их продукты. Во всяком случае пока. Ну и точно не повод не смотреть их уязвимости. 🙂 Традиционная видяшка про июльский Patch Tuesday будет, но кому интересно пораньше, выкладываю репорт Vulristics. Теперь всё в первую очередь несу в тележеньку avleonovrus. 😉

Что можно сказать, приоритизация работает корректно. Сверху списка активно эксплуатируемая вживую Elevation of Privilege в Windows CSRSS (CVE-2022-22047), о которой мейнстримные медиа протрубили. Можно сразу получить привилегии SYSTEM. Публичного эксплоита пока не видно.

Дальше менее интересные уязвимости. Remote Code Execution в Remote Procedure Call Runtime (CVE-2022-22038). Тут у Microsoft есть POC эксплоита. Но вряд ли доведут до чего-то рабочего, т.к. Exploitation Less Likely.

Между июньским и июльским Patch Tuesday вышла Memory Corruption в Microsoft Edge (CVE-2022-2294), которая видимо на самом деле RCE и Google пишут, что она вживую эксплуатируется.

Ещё занимательно, что в этом Patch Tuesday больше половины всех уязвимостей это EoP. Также очень много уязвимостей в Azure Site Recovery. И EoP, и RCE, и довольно много с непубличными эксплоитами уровня зрелости POC. По описанию Azure Site Recovery это "Site Recovery is a native disaster recovery as a service (DRaaS)", казалось бы должно патчиться самими Microsoft, но на самом деле там есть установленный на хостах Microsoft Azure Site Recovery suite и как минимум часть уязвимостей это в нем. Tenable про CVE-2022-33675 пишут, что можно поднять привилегии до SYSTEM.