Архив метки: PatchTuesday

Первые впечатления от мартовского Microsoft Patch Tuesday

1 комментарий

Первые впечатления от мартовского Microsoft Patch Tuesday
Первые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tuesday. Пока ничего откровенно критичного не просматривается. Всего 80 уязвимостей, включая 20 добавленных между февральским и мартовским MSPT.

С PoC-ом всего одна:

🔻 Information Disclosure - runc (CVE-2024-21626). Она позволяет реализовать побег из контейнера. Причём тут Microsoft? Уязвимость исправили в Azure Kubernetes Service и CBL-Mariner (внутренний Linux дистрибутив Microsoft).

Для остальных пока нет признаков активной эксплуатации или наличия PoC-а.

Можно обратить внимание на следующее:

🔸 Elevation of Privilege - Windows Kernel (CVE-2024-21443, CVE-2024-26173, CVE-2024-26176, CVE-2024-26178, CVE-2024-26182). Их частенько доводят до практической эксплуатации в последнее время. Сюда же Elevation of Privilege - Windows Print Spooler (CVE-2024-21433).
🔸 Remote Code Execution - Open Management Infrastructure (OMI) (CVE-2024-21334). CVSS 9.8 и ZDI пишут, что "она позволит удаленному, неавторизованному злоумышленнику выполнить код на инстансах OMI в Интернете". Возможно их и правда в интернет часто выставляют, требует ресёрча. 🤷‍♂️
🔸 Remote Code Execution - Windows Hyper-V (CVE-2024-21407). Эту "guest-to-host escape" уязвимость подсветили вообще все: Qualys, Tenable, Rapid7, ZDI.
🔸 Remote Code Execution - Microsoft Exchange (CVE-2024-26198). Уязвимость типа "DLL loading". Детали пока неясны, но я не удивлюсь если по ней скоро будет подробный write-up.

🗒 Отчёт Vulristics

Закругляю февраль традиционным англоязычным постом и видяшкой

1 комментарий

Закругляю февраль традиционным англоязычным постом и видяшкой. 🙂 Чуть-чуть поговорил про опенсурсные проекты (признаться, не было особо времени ими заниматься, пока одни намётки), про PT-шные активности и, естественно, про уязвимости (трендовые и не очень).

———

February 2024: Vulremi, Vuldetta, PT VM Course relaunch, PT TrendVulns digests, Ivanti, Fortinet, MSPT, Linux PW

Hello everyone! In this episode, I will talk about the February updates of my open source projects, also about projects at my main job at Positive Technologies and interesting vulnerabilities.

My Open Source projects
00:14 Vulremi - a simple vulnerability remediation utility
00:55 Vuldetta - an API for detecting vulnerabilities based on a list of Linux packages

Positive Technologies
01:22 Two new video modules for the relaunch of the Vulnerability Management training course
02:00 Monthly digests of trending vulnerabilities

Vulnerabilities
02:17 RCEs in the Ivanti Connect Secure, Ivanti Policy Secure and Ivanti Neurons for ZTA (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893)
03:47 Arbitrary Code Execution vulnerability in Fortinet FortiOS and FortiProxy (CVE-2024-21762)
04:11 Cisco ASA Information Disclosure vulnerability (CVE-2020-3259) is used by the Akira ransomware
04:55 February Microsoft Patch Tuesday
07:14 February Linux Patch Wednesday

🎞 Video
📘 Blogpost
🎞 VKVideo

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)

1 комментарий

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)
Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338). Исследователи из Avast выпустили write-up, в котором утверждают, что уязвимость эксплуатировалась злодеями из Lazarus. Microsoft также выставили признак эксплуатации вживую для этой уязвимости.

В момент публикации февральского Microsoft Patch Tuesday никто не давал специальных рекомендаций обращать внимание именно на эту уязвимость. 🤷‍♂️ Мельком упомянули только Qualys и Tenable. Я тоже не сказать, чтобы выносил в ТОП, но в посте упомянул среди остальных EoP в ядре. 😎 Но вообще такое фиг угадаешь. 🐈‍⬛

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shadowserver, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shadowserver и Shodan?
09:38 Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа
11:54 "Operation Cronos" против группировки вымогателей LockBit, возможная эксплуатация уязвимости Remote Code Execution - PHP (CVE-2023-3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Linux Patch Wednesday и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Security Report".
25:20 RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению payload-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cactus украли 1,5 ТБ внутренних данных техногиганта Schneider Electric
55:53 Прощание от Mr. X

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США

1 комментарий

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и СШАЕсли верить Shadowserver, большая часть Exchange серверов находится в Германии и США

Если верить Shadowserver, большая часть Exchange серверов находится в Германии и США. В Германии их чуть меньше, но вместе с тем Германия абсолютный лидер по числу серверов потенциально уязвимых для активно эксплуатирующейся уязвимости прошлой недели Elevation of Privilege - Microsoft Exchange (CVE-2024-21410). 🤔

Тут два варианта: либо дисциплинированные немцы не такие дисциплинированные, когда дело доходит до исправления критичных уязвимостей, либо со статистикой Shadowserver какие-то проблемы.

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub

2 комментария

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub

Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub. Автор PoC-а Alexander Hagenah из швейцарской компании SIX Group. В демке жертва кликает на ссылку в письме, через несколько секунд атакующий получает шелл. Красиво. 🙂

Ждём возвращения для этой уязвимости галки "эксплуатируется вживую". 🙃

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

Добавить комментарий

Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"

00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive Technologies
05:22 Новый бэкдор для Ivanti Connect Secure и анализ апплаенса Ivanti
10:42 Февральский Microsoft Patch Tuesday, ошибочный временный взлёт RCE Outlook и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость EventLogCrasher в Windows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peiter Zatko (бывший CISO Twitter)