Архив метки: PatchTuesday

Первые впечатления от августовского Microsoft Patch Tuesday

1 комментарий

Первые впечатления от августовского Microsoft Patch Tuesday

Первые впечатления от августовского Microsoft Patch Tuesday. Пока ни о чём. 🫠

Формально наиболее критичная Denial of Service - .NET and Visual Studio (CVE-2023-38180), потому что есть признаки эксплуатации. Подробностей нет, но согласитесь, что как-то сомнительно. 🤡

Больше ничего нет с эксплоитами или признаками эксплуатации.

Есть несколько Remote Code Execution - Microsoft Exchange (CVE-2023-35368, CVE-2023-38185, CVE-2023-35388, CVE-2023-38182). 3 из них точно аутентификации требуют, по одной непонятно. Эту аутентификацию можно потенциально получить через Elevation of Privilege - Microsoft Exchange (CVE-2023-21709) - "This vulnerability allows a remote, unauthenticated attacker to log in as another user". Лучше обновиться.

Remote Code Execution - Microsoft Teams (CVE-2023-29328, CVE-2023-29330). Но в наших широтах вроде его перестали использовать.

Ещё есть пачка EoP в ядре и компонентах Windows.

🗒 Vulristics report

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday

Добавить комментарий

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch TuesdayНемного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday

Немного доработал отчёты Vulristics и перегенирил отчёт для июльского Microsoft Patch Tuesday. Теперь видно уязвимости какой критичности были упомянуты в каждом из источников комментариев. VM-вендоры (Qualys, Tenable, Rapid7) упоминают большее число уязвимостей в обзорах. Как и Dark Reading. A Sophos, например, только самый-самый ТОП. ZDI на самом деле тоже много уязвимостей упоминают, но большую часть просто перечисляют в табличке с минимумом полей - такое я игнорирую.

Также во все таблицы добавил колонку All (A) с общим количеством уязвимостей для продукта, типа уязвимостей или источника комментариев.

Перегенерил отчёт для июльского Microsoft Patch Tuesday

Добавить комментарий

Перегенерил отчёт для июльского Microsoft Patch Tuesday. Теперь там комментарии от:

🔹Qualys
🔹Tenable
🔹Rapid7
🔹ZDI
🔹Kaspersky
🔹Dark Reading
🔹Krebs on Security
🔹The Hacker News
🔹Sophos Naked Security

Пока всё те же уязвимости в топе. И для Remote Code Execution - Microsoft Office (CVE-2023-36884) всё также нет патчей, только workaround.

Дополнительно можно отметить следующие RCE, подсвеченные в обзорах:

🔸Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
🔸Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-, CVE-2023-35367)
🔸Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
🔸Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
🔸Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)

Microsoft Patch Tuesday это не только CVE-шки

Добавить комментарий

Microsoft Patch Tuesday это не только CVE-шки

Microsoft Patch Tuesday это не только CVE-шки. Но и периодически ADV, как в последнем Patch Tuesday:

🔻ADV230001- Guidance on Microsoft Signed Drivers Being Used Maliciously
🔻ADV230002 - Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules

Иногда в описании ADV-шки упоминается соответствующая CVE, иногда нет. Не знаю уж зачем так делать и почему нельзя просто использовать имеющиеся CVE-шки или выделять свои (раз уж это пихают в раздел "update-guide/vulnerability/", а Microsoft это CVE Numbering Authority). Но вот факт - MS используют идентификаторы по которым ничего не смапится. 😑 Пока ничего по ним не делаю, просто игнорирую и теперь показываю при генерации отчета Vulristics.

Первые впечатления от июльского Microsoft Patch Tuesday

2 комментария

Первые впечатления от июльского Microsoft Patch TuesdayПервые впечатления от июльского Microsoft Patch Tuesday

Первые впечатления от июльского Microsoft Patch Tuesday. Выглядит довольно интересно. 🙂

Сгенерил отчёт Vulristics, пока даже без комментариев Vulnerability Management вендоров. Как появятся обзоры, перегенерю.

Из того, что однозначно бросается в глаза это Remote Code Execution - Microsoft Office (CVE-2023-36884). У этой уязвимости даже нормальное описание, а не минимальная генерёнка. Эксплуатируется в реальных атаках.

Также активно эксплуатируемые:

🔻Security Feature Bypass - Windows SmartScreen (CVE-2023-32049)
🔻Security Feature Bypass - Microsoft Outlook (CVE-2023-35311)
🔻Elevation of Privilege - Windows Error Reporting Service (CVE-2023-36874)
🔻Elevation of Privilege - Windows MSHTML Platform (CVE-2023-32046)

Уязвимостей Exchange нет, но есть любопытная Remote Code Execution - Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350).

Выпустил эпизод про июньский Microsoft Patch Tuesday

1 комментарий

Выпустил эпизод про июньский Microsoft Patch Tuesday. В целом, совпало с первыми впечатлениями, но добавил спуфинг в OneNote и подсветил уязвимости с "Proof-of-Concept Exploit" в CVSS Temporal. Ну и добавил деталей, как обычно.

———

Hello everyone! This episode will be about Microsoft Patch Tuesday for June 2023, including vulnerabilities that were added between May and June Patch Tuesdays. This time there were only 3 vulnerabilities used in attacks or with a public exploit. And only one of them is more or less relevant.

TOP of the Vulristics report
00:38 Memory Corruption – Microsoft Edge (CVE-2023-3079)
01:12 Remote Code Execution – GitHub (CVE-2023-29007)
01:40 Spoofing – Microsoft OneNote (CVE-2023-33140)

02:01 10 vulnerabilities CVSS Temporal Metrics "Proof-of-Concept Exploit"

No exploits or signs of exploitation in the wild
03:10 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
04:02 Remote Code Execution – Microsoft Exchange (CVE-2023-32031, CVE-2023-28310)
05:27 Elevation of Privilege – Microsoft SharePoint (CVE-2023-29357)

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report

Первые впечатления от июньского Microsoft Patch Tuesday

3 комментария

Первые впечатления от июньского Microsoft Patch Tuesday

Первые впечатления от июньского Microsoft Patch Tuesday. Вроде ничего интересного. 100 CVE с учетом набежавших за месяц. При этом практически нет уязвимостей в активной эксплуатации или с публичным эксплоитом. Поэтому в ТОП отчета Vulristics вылез всякий трэш.

1. Memory Corruption - Microsoft Edge (CVE-2023-3079). Потому что есть активная эксплуатация, содержится в CISA KEV.
2. Remote Code Execution - GitHub (CVE-2023-29007). GitHub, конечно, запатчили разово и всё, критична уязвимость самого git-а, т.к. эксплоит в паблике.
3. Remote Code Execution - .NET (CVE-2023-33128, CVE-2023-29331). Только потому что в CVSS Temporal есть Proof-of-Concept Exploit.

Просто нечего подсвечивать. 🤷‍♂️ Среди остального есть более интересные уязвимости, но пока это всё очень потенциальное:

1. Remote Code Execution - Microsoft Exchange (CVE-2023-32031, CVE-2023-28310). Требуется аутентификация!
2. Remote Code Execution - Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
3. Elevation of Privilege - Microsoft SharePoint (CVE-2023-29357)

🗒 Полный отчёт Vulristics