Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога.
00:00 EPSS v3
02:54 Поддержка EPSS v3 в Vulristics
05:12 Интеграция Vulristics в Cloud Advisor
Video: https://youtu.be/kWX_64wNxbg
Video2 (for Russia): https://vk.com/video-149273431_456239122
Blogpost: https://avleonov.com/2023/04/24/vulristics-news-epss-v3-support-integration-into-cloud-advisor/
Добавил учёт EPSS в Vulristics. EPSS стал ещё одним источником данных, т.е. команда для анализа набора CVE будет выглядеть так:
$ python3 vulristics.py --report-type "cve_list" --cve-project-name "New Project" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"
Добавление нового источника задача несложная. Сделал по аналогии с NVD. Однако возник вопрос: какое именно значение EPSS использовать. Было 2 варианта:
1. Probability - вероятность наблюдения эксплуатации уязвимости в течение следующих 30 дней ("probability of observing exploitation activity in the next 30 days").
2. Percentile - значение показывающее насколько вероятность наблюдения эксплуатации данной CVE уязвимости больше чем для всех других CVE уязвимостей. Например, вероятность EPSS, равная всего 0,10 (10%), находится примерно на уровне 88-го процентиля, что означает, что 88% всех CVE имеют более низкую оценку ("For example, an EPSS probability of just 0.10 (10%) rests at about the 88th percentile — meaning that 88% of all CVEs are scored lower").
В итоге опытным путем пришел к тому, что Probability слишком малы, а также мало различаются, поэтому лучше использовать Percentile.
Я перегенерил отчет для апрельского MS Patch Tuesday.
1. Старый отчет без EPSS
2. Новый отчет с EPSS
Выглядит довольно неплохо, но со странностями. Так наиболее критичная Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252), которая присутствует в CISA KEV почему-то имеет очень низкий EPSS. 🤷♂️ Поэтому результат нейронки это, конечно, хорошо, но здравый смысл терять не нужно. 😉
Первые впечатления от апрельского Microsoft Patch Tuesday. По сравнению с мартовским как-то слабенько. 🙄
1. Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252). Пока это самое критичное, т.к. есть признаки эксплуатации вживую. И, соответственно, есть Functional Exploit, но не в паблике пока.
2. Remote Code Execution - Microsoft Message Queuing. Опасно, если включен сервис Message Queuing. По умолчанию выключен.
3. Много CVEшек Remote Code Execution - Microsoft PostScript and PCL6 Class Printer Driver и Remote Code Execution - Windows DNS Server, может из этого что-то и раскрутят.
4. Remote Code Execution - DHCP Server Service (CVE-2023-28231). Тоже непонятно, но “Exploitation More Likely”.
Полный отчет Vulristics. Есть небольшие проблемы с детектом софтов и типов уязвимостей, но не критичные, поправлю. В рамках этого Patch Tuesday планирую добавить поддержку EPSS и оценить разницу в приоритизации. 😉
Выпустил на выходных итоговый блогопост и видяшечку по мартовскому Microsoft Patch Tuesday. Приглашаю ознакомиться.
1. В целом, пока первые впечатления выглядят верными. Атака на хеши с помощью Outlook наиболее актуальна. Обход MOTW и DoS Excel хоть и эксплуатируются, но не особо пугают. Потенциально эксплуатабельные и wormable RCE в ICMP и, в меньшей степени, в HTTP/3 и RPC могут мощно стрельнуть, а могут и оказаться пшиком. Пока не ясно. Но лучше, конечно, заранее запатчиться.
2. Вокруг Microsoft Outlook (CVE-2023-23397) была политота. Microsoft начали разгонять про какие-то state-sponsored attacks с указанием конкретных стран и группировок. Это подхватили VM-вендоры в своих обзорах и таким образом это просочилось в отчет Vulristics. Пришлось всё это highly likely безобразие ручками подтереть.
3. Аж 7 RCE в Microsoft PostScript and PCL6 Class Printer Driver выглядят загадочно, но посмотрим во что это выльется. Кажется кто-то раскопал новую тему.
4. Заканчивается первый квартал. Во втором должны выложить подробности по SPNEGO. Ждем. 🙄
5. Похоже мои англоязычные avleonov.com и @avleonovcom в основном становятся про Patch Tuesday. 😅 Три последних поста были про это. Про другие темы что-то пока нет времени и желания туда писать, а тем более делать видяшку. Возможно разбавлю чем-нибудь, но вряд ли это будет до CISO Forum. Пока буду тратить ресурсы на подготовку к нему. Ну и вообще, "делать контент" на русском как-то пока больше нравится. Спасибо за ваш фидбек и поддержку! 🙂
Обновил Vulristics отчет по мартовскому Microsoft Patch Tuesday. Появился публичный эксплоит для Denial of Service - Microsoft Excel (CVE-2023-23396). И подробное описание. Пока это действительно только DoS, но возможно и до RCE докрутят.
Для Remote Code Execution - ICMP (CVE-2023-23415) была пара ссылок на GitHub. Одна удаленная (404), а другая заблокированная ("Access to this repository has been disabled by GitHub Staff due to a violation of GitHub's terms of service"). Были ли там реальные эксплоиты или рикролы/малвари судить не берусь. Добавил обе ссылки в исключения в Vulristics.
Первые впечатления от мартовского Microsoft Patch Tuesday. Довольно лихо, бодрит. 😈
1. Elevation of Privilege - Microsoft Outlook (CVE-2023-23397). Какая-то лютая жесть. 😱
"Уязвимость можно проэксплуатировать, отправив вредоносное электронное письмо жертве с уязвимой версией Outlook. Когда письмо обрабатывается сервером, может быть установлено соединение с устройством, контролируемым злоумышленником, что приведет к утечке Net-NTLMv2 хэша получателя письма. Злоумышленник может использовать этот хэш для аутентификации в качестве жертвы-получателя письма в NTLM relay атаке. Microsoft отмечает, что эта эксплуатация может произойти до того, как электронное письмо будет просмотрено в Preview Pane, а это означает, что для успешной атаки не требуется никакого взаимодействия со стороны жертвы-получателя письма."
Ничего себе EoP! 😄 Существует функциональный эксплоит и есть признаки эксплуатации в реальных атаках.
2. Security Feature Bypass - Windows SmartScreen (CVE-2023-24880). Обходят функциональность Mark of the Web (MoTW). Пишут, что Microsoft Office доверяет документам с MoTW, а значит эта уязвимость упростит распространения малварей. Существует функциональный эксплоит и есть признаки эксплуатации в атаках.
3. Remote Code Execution - HTTP Protocol Stack (CVE-2023-23392). Позволяет атаковать Windows Server 2022 с включенным HTTP/3 и buffered I/O. Тут хотя бы пока без эксплоитов и атак.
4. Remote Code Execution - ICMP (CVE-2023-23415). Послал фрагментированный IP пакет на уязвимый таргет - получил на нем RCE. Пока в теории, но если это действительно будет так жестко, то мало не покажется.
Драфт Vulristics-отчета: https://avleonov.com/vulristics_reports/ms_patch_tuesday_march2023_report_with_comments_ext_img.html
Вроде выглядит прилично, думаю финальный будет выглядеть +- также, только комментариев прибавится.
А вот и эксплоит для Remote Code Execution – Microsoft Word (CVE-2023-21716), которую я подсвечивал в февральском Patch Tuesday. Тут подробности. Об этой уязвимости писали, что она эксплуатируется через панель предварительного просмотра Outlook. Хороший повод форсировать патчинг, если вы пока ещё нет.
PS: У Joshua J. Drake очень классный сайт. 👍
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.