Архив метки: RDL

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺

📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Обнаружил, что данные ресёрчей по Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077), о которых я писал недели 3 назад, были удалены

Обнаружил, что данные ресёрчей по Remote Code Execution - Windows Remote Desktop Licensing Service MadLicense (CVE-2024-38077), о которых я писал недели 3 назад, были удалены

Обнаружил, что данные ресёрчей по Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077), о которых я писал недели 3 назад, были удалены. И на GitHub, и на Google Sites.

И что это всё значит? 🤔 А фиг его знает. 🤷‍♂️ Учитывая, что пропало сразу на двух платформах, то удалили видимо сами китайские ресёрчеры. Зачем они это сделали? Возможно они наладили диалог с Microsoft и те попросили их убрать всё из паблика (что, естественно, глуповато - Интернет всё помнит). Возможно кто-то другой попросил их это сделать. 🫡 Лишний повод обратить внимание на эту уязвимость.

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service MadLicense (CVE-2024-38077)

Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.

Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷‍♂️

9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.

Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷‍♂️ В интранетах их должно быть без счёта.

❗️ Выглядит как долгоиграющая трендовая история.

Исследователи обещают нам ещё BadLicense и DeadLicense. 😉