Архив метки: PatchTuesday

Сентябрьский Microsoft Patch Tuesday

Сентябрьский Microsoft Patch TuesdayСентябрьский Microsoft Patch TuesdayСентябрьский Microsoft Patch Tuesday

Сентябрьский Microsoft Patch Tuesday. 97 CVE-шек, из них 35 набежало с августовского MSPT. Critical и Urgent уязвимостей нет.

Самая критичная это эксплуатируемая вживую Information Disclosure в Microsoft Word (CVE-2023-36761), которая, если верить ZDI, на самом деле позволяет выполнять NTLM Relay атаку.

NTLM Relay — это тип атаки, при котором злоумышленник перехватывает аутентификационные данные, использующие протокол NTLM, и перенаправляет их на другой сервер или сервис с целью получения несанкционированного доступа.

На втором месте эксплуатируемая вживую Elevation of Privilege в Microsoft Streaming Service Proxy.

Остальное всё без признаков эксплуатации.

Есть 3 Remote Code Execution в Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756). Но вряд ли будут эксплуатироваться. Для успешной эксплуатации злоумышленнику необходимо иметь доступ к локальной сети и валидную учётку.

В общем, обновляемся без спешки. 🫠

🗒 Vulristics report

Выпустил новую англоязычную видяшечку

Выпустил новую англоязычную видяшечку. Так получилось, что за последний год мой англоязычный блог (а вместе с ним и ютюб канал, и подкаст) окончательно свёлся к ежемесячным обзорам Microsoft Patch Tuesday. 🤷‍♂️🤦‍♂️ А остальной контент оседал только в моих телеграмм-каналах @avleonovcom и @avleonovrus. В основном, конечно, в русскоязычном. Постараюсь эту тенденцию переломить. Теперь буду выпускать один англоязычный эпизод по итогам месяца без особого фокуса на Patch Tuesday. Так должно быть поадекватнее и повеселее. 🙂

Подумывал делать эпизоды и на русском тоже, но решил не браться, т.к. получается двойная работа. Автоматический перевод яндекс-браузером могу порекомендовать только для смеха (например, отдельностоящее "CVЕ" распознает как "CV" и переводит как "резюме"). Но планирую тащить новости из канала на обсуждение в Прожектор по ИБ. Так что русскоязычные видяшки тоже в каком-то виде будут. 🙂
___

Hello everyone! This month I decided NOT to make an episode completely dedicated to Microsoft Patch Tuesday. Instead, this episode will be an answer to the question of how my Vulnerability Management month went. A retrospection of some kind.

GitHub exploits and Vulristics
00:44 PoC in Github
02:19 Vulristics vulners-use-github-exploits-flag

VM vendors updates
04:39 Qualys First-Party Application Risk Detection and Remediation
06:18 Tenable ExposureAI
07:23 SC Awards and Rapid7

Vulnerabilities
09:04 Anglo-Saxon vulnerability lists AA23-215A
12:32 August Microsoft Patch Tuesday
14:40 WinRAR Extension Spoofing (CVE-2023-38831)
15:16 Juniper RCE (CVE-2023-36844)

📘 Blogpost
🎞 Video
🎞 Video2 (for Russia)

Вот так и кидайся обновлять Exchange сразу после Microsoft Patch Tuesday

Вот так и кидайся обновлять Exchange сразу после Microsoft Patch Tuesday

Вот так и кидайся обновлять Exchange сразу после Microsoft Patch Tuesday. Оказалось, что обновления ломают неанглоязычные инсталляции Exchange, например немецкие. 🤷‍♂️ На MS-ных страницах уязвимостей рекомендуют пока не обновлять такие инсталляции и применять workaround.

Первые впечатления от августовского Microsoft Patch Tuesday

Первые впечатления от августовского Microsoft Patch Tuesday

Первые впечатления от августовского Microsoft Patch Tuesday. Пока ни о чём. 🫠

Формально наиболее критичная Denial of Service - .NET and Visual Studio (CVE-2023-38180), потому что есть признаки эксплуатации. Подробностей нет, но согласитесь, что как-то сомнительно. 🤡

Больше ничего нет с эксплоитами или признаками эксплуатации.

Есть несколько Remote Code Execution - Microsoft Exchange (CVE-2023-35368, CVE-2023-38185, CVE-2023-35388, CVE-2023-38182). 3 из них точно аутентификации требуют, по одной непонятно. Эту аутентификацию можно потенциально получить через Elevation of Privilege - Microsoft Exchange (CVE-2023-21709) - "This vulnerability allows a remote, unauthenticated attacker to log in as another user". Лучше обновиться.

Remote Code Execution - Microsoft Teams (CVE-2023-29328, CVE-2023-29330). Но в наших широтах вроде его перестали использовать.

Ещё есть пачка EoP в ядре и компонентах Windows.

🗒 Vulristics report

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch TuesdayНемного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday. Теперь видно уязвимости какой критичности были упомянуты в каждом из источников комментариев. VM-вендоры (Qualys, Tenable, Rapid7) упоминают большее число уязвимостей в обзорах. Как и Dark Reading. A Sophos, например, только самый-самый ТОП. ZDI на самом деле тоже много уязвимостей упоминают, но большую часть просто перечисляют в табличке с минимумом полей - такое я игнорирую.

Также во все таблицы добавил колонку All (A) с общим количеством уязвимостей для продукта, типа уязвимостей или источника комментариев.

Перегенерил отчёт для июльского Microsoft Patch Tuesday

Перегенерил отчёт для июльского Microsoft Patch Tuesday. Теперь там комментарии от:

🔹Qualys
🔹Tenable
🔹Rapid7
🔹ZDI
🔹Kaspersky
🔹Dark Reading
🔹Krebs on Security
🔹The Hacker News
🔹Sophos Naked Security

Пока всё те же уязвимости в топе. И для Remote Code Execution - Microsoft Office (CVE-2023-36884) всё также нет патчей, только workaround.

Дополнительно можно отметить следующие RCE, подсвеченные в обзорах:

🔸Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
🔸Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-, CVE-2023-35367)
🔸Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
🔸Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
🔸Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)

Microsoft Patch Tuesday это не только CVE-шки

Microsoft Patch Tuesday это не только CVE-шки

Microsoft Patch Tuesday это не только CVE-шки. Но и периодически ADV, как в последнем Patch Tuesday:

🔻ADV230001- Guidance on Microsoft Signed Drivers Being Used Maliciously
🔻ADV230002 - Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules

Иногда в описании ADV-шки упоминается соответствующая CVE, иногда нет. Не знаю уж зачем так делать и почему нельзя просто использовать имеющиеся CVE-шки или выделять свои (раз уж это пихают в раздел "update-guide/vulnerability/", а Microsoft это CVE Numbering Authority). Но вот факт - MS используют идентификаторы по которым ничего не смапится. 😑 Пока ничего по ним не делаю, просто игнорирую и теперь показываю при генерации отчета Vulristics.