Архив метки: PatchTuesday

Майский Microsoft Patch Tuesday

2 комментария

Майский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tuesday.

У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):

🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.

Из остальных можно отметить:

🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.

🗒 Vulristics report

Немного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoofing - Proxy Driver"

1 комментарий

Немного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости Spoofing - Proxy DriverНемного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости Spoofing - Proxy Driver

Немного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoofing - Proxy Driver". Складывается ощущение, что есть какой-то виндовый компонент "Proxy Driver", который спуфят (т.е. по определению "один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества"). А если читать статью Sophos, то там единственное, что можно принять за "Proxy Driver" это, собственно, малварь Catalog.exe и есть. И маскировка там если и есть, то только у зловредного сервиса с описанием "Google ADB LoaclSocket [sic] Multi-threading Graphics API".

То есть, либо речь о какой-то другой уязвимости (ну а вдруг, с Microsoft-ом я ничему не удивляюсь 😏), либо о совсем уж криво натянутой на глобус сове. 🦉🌏

Причём, для таких кейсов уже есть отлаженная форма заведения: ADV230001 - Guidance on Microsoft Signed Drivers Being Used Maliciously. Там как раз про зловредные подписанные драйвера и Windows Driver.STL.

Ну или если совсем уж хочется CVE завести, то почему бы не обозначить её как Security Feature Bypass - Windows Driver.STL?

Если же абстрагироваться от неудачного названия (которое всеми воспринимается с покерфейсом 😐, типа так и надо), необновленный Windows Driver.STL revocation list, из-за которого злоумышленник может запускать зловреды, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертом это вполне себе уязвимость, а в случае зафиксированной эксплуатации вживую, вполне себе уязвимость трендовая.

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

1 комментарий

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?

По этой уязвимости один источник - статья в блоге компании Sophos.

🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copyrigth' вместо 'Copyright', 'rigths' вместо 'rights'). 🙄

🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows Driver.STL revocation list) и завели CVE-2024-26234.

🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.

Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Windows, то наверное да. 🤷‍♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defender Antivirus как CVE оформлять. 🤪

Продолжение

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024-21378) с помощью утилиты Ruler работает!

Добавить комментарий

Эксплуатация трендовой RCE уязвимости в Outlook (CVE-2024-21378) с помощью утилиты Ruler работает! В статье на хабре по трендовым уязвимостям марта я писал буквально следующее:

"Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.
Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная задача утилиты — злоупотреблять клиентскими функциями Outlook и получать удаленный шелл.
Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники."

И вот эту функциональность добавили. А коллеги из PT SWARM её протестировали. Работает. 🔥 📐📏
Ждём сообщений об эксплуатации вживую. 😈

В видяшке я балуюсь с нейросеточкой от SUNO AI, которая генерит песню по любому тексту и описанию стиля меньше чем за минуту. 😇 Не обязательно по зарифмованному тексту, вот например абсолютно генеальный трек по рецепту шашлыка в аджике. 😅 Вот ещё песня Винни-Пуха крутая. Или вот "Встань, страх преодолей" в стиле блюз, это я сам генерил. 🙂 В день можно запускать 5 бесплатных генераций. С российских IP сервис иногда не работает. 🤷‍♂️

Как мы предполагали,
И как NetSPI писали,
Они закантрибьютили
В Ruler свой эксплоит.
(RCE в Outlook)

PT SWARM всё проверил –
Pаботает, как надо.
No back connect required!
Для Outlook вектор надежный и простой.

Но ты услышав это не паникуй не плач
Заставь айтишников поставить патч!

Outlook запатчить не такая канитель
Ведь патч февральский, а сейчас апрель.

Пока в вашу инфру не влез злодей…

Первые впечатления от апрельского Microsoft Patch Tuesday

2 комментария

Первые впечатления от апрельского Microsoft Patch Tuesday
Первые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tuesday. Даже не знаю. 🤪 Очень чуднО! 173 уязвимости, из них 23 набежало с прошлого Patch Tuesday.

Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoofing - Proxy Driver (CVE-2024-26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not disclosed any information about the vulnerability". 😅 ZDI ещё утверждает, что вживую эксплуатируется Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988), которая представляет собой обход Mark of the Web (MotW).

Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:

🔸 Remote Code Execution - Microsoft Excel (CVE-2024-26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Execution - RPC (CVE-2024-20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoofing - Outlook for Windows (CVE-2024-20670). ZDI пишет, что это Information Disclosure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Execution - Windows DNS Server (CVE-2024-26221, CVE-2024-26222, CVE-2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231, CVE-2024-26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024-26221.
🔸 Remote Code Execution - Microsoft Defender for IoT (CVE-2024-21322, CVE-2024-21323, CVE-2024-29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.

Есть просто неприлично массовые фиксы:

🔹 Remote Code Execution - Microsoft OLE DB Driver for SQL Server / Microsoft WDAC OLE DB Provider for SQL Server / Microsoft WDAC SQL Server ODBC Driver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Security Feature Bypass - Secure Boot. 23 CVE!

🗒 Отчёт Vulristics

Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoofing - Proxy Driver (CVE-2024-26234) и Spoofing - Outlook for Windows (CVE-2024-20670).

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита

1 комментарий

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита

Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита.

Уязвимость из ноябрьского Microsoft Patch Tuesday. На момент выхода уязвимость никто не выделял, только Qualys мельком упомянули. 🤷‍♂️

👾 Сообщений об эксплуатации вживую пока нет, но теперь видимо ждём.

У февральской RCE уязвимости в Outlook (CVE-2024-21378) повысилась критичность, но об этом не особо пишут

1 комментарий

У февральской RCE уязвимости в Outlook (CVE-2024-21378) повысилась критичность, но об этом не особо пишут

У февральской RCE уязвимости в Outlook (CVE-2024-21378) повысилась критичность, но об этом не особо пишут. 🤷‍♂️ 11 марта вышел write-up от компании NetSPI. Пишут, что эта уязвимость была ими обнаружена в 2023 году. 29 сентября они сообщили о ней в Microsoft (получается MS фиксили её 4,5 месяца). В статье приводится PoC. Кроме того, они обещают добавить эксплуатацию в опенсурсную утилиту Ruler.

"Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная цель утилиты абьюзить client-side функции Outlook и получить удалённый шелл."

Эксплуатация уязвимости немного усложняется тем, что злоумышленник должен иметь валидную пользовательскую учётку Exchange.

Если вы вдруг ещё не устанавливали февральские обновления Microsoft, обязательно займитесь. Тем более, в феврале была ещё одна RCE в Outlook с публичным эксплоитом (CVE-2024-21413).