Архив метки: SharePoint

Майский "В тренде VM": громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader

1 комментарий

Майский В тренде VM: громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader

Майский "В тренде VM": громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Если в прошлом апрельском выпуске была всего одна уязвимость, то в этот раз уже четыре и весьма разноплановых.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

🔻 EoP - Linux Kernel "Copy Fail" (CVE-2026-31431). Уязвимость позволяет получить права root на Linux-хосте.

🔻 RCE - Apache ActiveMQ (CVE-2026-34197). Уязвимость в решении, широко используемом в корпоративных системах и интеграционных платформах.

🔻 Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость в решении Microsoft, широко используемом в корпоративных системах для организации совместной работы, управления документами и построения внутренних порталов.

🔻 RCE - Adobe Reader (CVE-2026-34621). Уязвимость в распространенном решении для просмотра PDF-документов; эксплуатируется в фишинговых атаках.

🟥 Полный список трендовых уязвимостей смотрите на портале

Про уязвимость Spoofing - Microsoft SharePoint Server (CVE-2026-32201)

Добавить комментарий

Про уязвимость Spoofing - Microsoft SharePoint Server (CVE-2026-32201)

Про уязвимость Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость из апрельского Microsoft Patch Tuesday. Описание, которое дали эксперты Microsoft, максимально неконкретное: "Некорректная проверка входных данных в Microsoft Office SharePoint позволяет неавторизованному атакующему выполнить спуфинг по сети. Атакующий, успешно проэксплуатировавший эту уязвимость, может просматривать некоторую чувствительную информацию (конфиденциальность), вносить изменения в раскрытую информацию (целостность), но не может ограничить доступ к ресурсу (доступность)." Спуфинг - это атака, при которой злоумышленник подделывает данные, адрес, идентификатор или доверенный источник, чтобы выдать себя за легитимного пользователя, сервис или систему.

Что же скрывается за этим описанием на самом деле? В апрельском обзоре на MSPT эксперт ZDI заметил, что уязвимости такого рода в SharePoint часто связаны с XSS-атаками.

🛠 23 апреля на GitHub был опубликован эксплойт, автор которого утверждает, что уязвимость сводится к следующему: "Неаутентифицированный атакующий может отправить специально сформированный HTTP-запрос для внедрения вредоносного JavaScript-кода (reflected XSS), который будет выполнен в контексте безопасности сайта SharePoint."

Иными словами, атакующий отправляет специально сформированный запрос на сервер SharePoint, из-за чего SharePoint формирует вредоносную ссылку от имени доверенного источника. Атакующий передаёт эту ссылку пользователю. Когда пользователь открывает такую ссылку, внедрённый вредоносный JavaScript выполняется в контексте SharePoint, что может использоваться для кражи данных из текущей сессии, перехвата токенов аутентификации, а также выполнения действий от имени пользователя через его активную сессию.

👾 Эксперты Microsoft отметили уязвимость как эксплуатируемую вживую в день публикации апрельского Microsoft Patch Tuesday, 14 апреля. Уязвимость была добавлена в CISA KEV. В тот же день исследователи из компании Defused сообщили о скоординированной разведывательной активности, нацеленной на уязвимые серверы SharePoint, которая осуществлялась с четырех IP-адресов в период с 1 по 11 апреля.

⚙️ Обновления доступны для Microsoft SharePoint Server 2016, 2019 и Subscription Edition.

Апрельский "В тренде VM": уязвимость в Microsoft SharePoint

1 комментарий

Апрельский В тренде VM: уязвимость в Microsoft SharePoint

Апрельский "В тренде VM": уязвимость в Microsoft SharePoint. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Она снова моновендорная, майкрософтовская, и в этот раз компактнее некуда. Если в прошлом мартовском было четыре трендовые уязвимости, то в этом апрельском только одна. В следующем майском ожидаем как минимум три трендовые уязвимости. 😉

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Уязвимость из январского Microsoft Patch Tuesday:

🔻 RCE - Microsoft SharePoint (CVE-2026-20963). Уязвимость сначала считалась менее опасной из-за требования аутентификации PR:L, но после пересмотра Microsoft выяснилось, что аутентификация для эксплуатации не нужна PR:N. Уязвимость добавили в CISA KEV, а значит злоумышленники уже эксплуатируют её в реальных атаках. Публичных эксплоитов пока нет.

🟥 Полный список трендовых уязвимостей смотрите на портале

Апрельский Microsoft Patch Tuesday

3 комментария

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday. Всего 167 уязвимостей, примерно в 2 раза больше, чем в марте. Есть одна уязвимость с признаком эксплуатации вживую:

🔻 Spoofing - Microsoft SharePoint Server (CVE-2026-32201). По данным экспертов ZDI, уязвимости такого рода в SharePoint часто связаны с XSS-атаками. Атакующий может просматривать часть конфиденциальных данных и изменять раскрытую информацию, но не может нарушить доступ к ресурсу. Информации о масштабе атак пока нет, но откладывать установку исправления не следует, особенно если серверы SharePoint доступны из Интернет.

Формально уязвимостей с публичными эксплоитами пока нет. Однако есть одна уязвимость с серьёзным подозрением на наличие эксплоита.

🔸 EoP - Microsoft Defender (CVE-2026-33825). Недостаточная гранулярность контроля доступа в Microsoft Defender позволяет авторизованному злоумышленнику локально повысить привилегии. По данным Tenable и ZDI, хотя Microsoft не упоминала о наличии эксплоита, по описанию уязвимость похожа на zero-day уязвимость BlueHammer, для которой 3 апреля на GitHub появился публичный эксплоит. Исследователь Chaotic Eclipse, опубликовавший эксплойт, раскритиковал процесс раскрытия уязвимостей в Microsoft. По данным ZDI, проблема реальная, но эксплуатация пока нестабильна и не всегда надёжна.

Из остальных можно выделить:

🔹 RСE - Windows Active Directory (CVE-2026-33826). Успешная эксплуатация возможна только при наличии у атакующего учётной записи. Он должен отправить специально сформированный RPC-запрос на уязвимый RPC-хост, что приводит к выполнению кода. При этом Microsoft уточняют, что атакующий должен находиться в той же ограниченной доменной среде Active Directory, что и целевая система ("same restricted Active Directory domain as the target system").

🔹 RСE - Windows Internet Key Exchange (IKE) Service Extensions (CVE-2026-33824). По данным ZDI, уязвимость относится к классу wormable, то есть может использоваться для автоматического распространения между уязвимыми системами Уязвимость затрагивает системы с включённым IKE, то есть широкий круг целей. Microsoft рекомендуют блокировать UDP-порты 500 и 4500 на периметре сети, чтобы закрыть доступ извне. Однако внутренние атакующие всё ещё могут использовать уязвимость для перемещения внутри сети. Организациям, использующим IKE, следует как можно быстрее установить исправления.

🔹 RСE - Windows TCP/IP (CVE-2026-33827). По данным ZDI, уязвимость относится к классу wormable - по крайней мере на системах с включёнными IPv6 и IPSec. Состояние гонки (race condition) делает её эксплуатацию сложной, но такие уязвимости регулярно успешно эксплуатируются на Pwn2Own, поэтому на это препятствие полагаться не стоит. Если вы используете IPv6, стоит как можно быстрее протестировать и развернуть исправление до появления публичных эксплойтов.

🔹 EoP - Windows Push Notifications (CVE-2026-26167). По данным ZDI, в этом Microsoft Patch Tuesday несколько уязвимостей, приводят к выходу из песочницы (sandbox escape), включая уязвимости Windows Push Notifications, AFD для Winsock, Management Services и User Interface Core. Из них CVE-2026-26167 (Push Notifications) является наиболее примечательной, т.к. это единственная уязвимость с низкой сложностью атаки. Остальные требуют успешного преодоления состояния гонки (race condition) (AC:H).

🔹 Spoofing - Remote Desktop (CVE-2026-26151). Недостаточное предупреждение в интерфейсе о выполнении опасных операций в Windows Remote Desktop позволяет неавторизованному атакующему осуществлять spoofing в сети. Атакующий может проэксплуатировать уязвимость, убедив жертву открыть специально сформированный файл. Обнаружение этой уязвимости приписывается National Cyber Security Centre (NCSC) Великобритании.

🗒 Полный отчёт Vulristics

Про уязвимость Remote Code Execution - Microsoft SharePoint (CVE-2026-20963)

1 комментарий

Про уязвимость Remote Code Execution - Microsoft SharePoint (CVE-2026-20963)

Про уязвимость Remote Code Execution - Microsoft SharePoint (CVE-2026-20963). Уязвимость из январского MSPT. В момент публикации MSPT, 13 января, VM-вендоры не выделяли эту уязвимость в своих обзорах, а Microsoft не сообщали о признаках эксплуатации уязвимости. CVSS вектор для уязвимости был CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (8.8). Из "PR:L" следует, что для эксплуатации уязвимости требуется аутентификация. Однако 17 марта Microsoft изменили описание уязвимости и CVSS вектор. Новый CVSS вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8). Из "PR:N" следует, что аутентификация для эксплуатации уязвимости не требуется.

Актуальное описание уязвимости:

"Десериализация недоверенных данных (CWE-502) в Microsoft Office SharePoint позволяет неавторизованному атакующему выполнить код по сети. В сетевой атаке неаутентифицированный атакующий может записать произвольный код, чтобы внедрить (inject) и выполнить его удалённо на сервере SharePoint."

👾 18 марта уязвимость добавили в CISA KEV. Подробностей по эксплуатации пока нет. Публичных эксплоитов тоже пока нет. Но по потенциальным последствиям эксплуатации уязвимость может быть сравнима с прошлогодней RCE "ToolShell" (CVE-2025-49704).

Ситуация вокруг этой уязвимости демонстрирует: критичность уязвимости нельзя оценить один раз и навсегда. Для уязвимости не только могут в любой момент появляться признаки эксплуатации вживую или публичные эксплоиты, но даже сам вендор может в любой момент по каким-то причинам изменить описание и CVSS уязвимости. Поэтому данные по продетектированным в инфраструктуре уязвимостям необходимо постоянно отслеживать (самостоятельно или силами VM-вендора), актуализировать критичность уязвимостей и корректировать дедлайны задач на их устранение.

В силу того, что ситуация по каждой конкретной уязвимости может в любой момент измениться, не следует отмахиваться от каких-то уязвимостей как от гарантированно некритичных или неэксплуатабельных. Ответственный подход заключается в том, что все продетектированные уязвимости требуют устранения, но в соответствии со своим (постоянно актуализируемым) приоритетом.

Мартовский Microsoft Patch Tuesday

1 комментарий

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. Всего 79 уязвимостей, примерно в полтора раза больше, чем в феврале. Совершенно аномально то, что в этот раз не было ни одной уязвимости с признаками эксплуатации или публичным эксплоитом! 🤔 Ну, во всяком случае пока. 😏

Можно выделить уязвимости:

🔹 RCE - Print Spooler (CVE-2026-23669), Office (CVE-2026-26110, CVE-2026-26113), Excel (CVE-2026-26107, CVE-2026-26108, CVE-2026-26109, CVE-2026-26112), SharePoint Server (CVE-2026-26106, CVE-2026-26114)
🔹 EoP - SQL Server (CVE-2026-21262, CVE-2026-26115, CVE-2026-26116), Windows Kernel (CVE-2026-24287, CVE-2026-24289, CVE-2026-26132), Windows Win32k (CVE-2026-24285), SMB Server (CVE-2026-24294, CVE-2026-26128), Windows Graphics Component (CVE-2026-23668), .NET (CVE-2026-26131)
🔹 DoS - .NET (CVE-2026-26127)

🗒 Полный отчёт Vulristics

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями

1 комментарий

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями. Интервьюер - Павел Хавский. Это для тех, кому краткого резюме на 8 минут мало и хочется больше деталей. 🙂 По контенту это моя презентация для Код ИБ обновлённая по состоянию на 23 декабря, т.е. там всё, кроме MongoBleed. Также Павел вкидывал вопросы 💬 на около-VM-ные темы, на которые я старался, по мере сил, отвечать. 😅

00:00 Приветствие и знакомство
04:00 Ускоряющийся рост количества уязвимостей в NVD и связанные с этим проблемы
06:06 Что такое трендовые уязвимости и зачем мы их выделяем в Positive Technologies
07:56 💬 Может, массовое заведение уязвимостей в NVD делается намеренно, чтобы в них было сложнее искать то, что на самом деле важно?
14:54 Итоги 2025 года: 65 трендовых уязвимостей и где их можно посмотреть
19:05 Типы уязвимостей
19:25 Наличие эксплоитов и признаков эксплуатации
20:33 💬 Трендовые уязвимости в отечественном ПО: почему их больше, чем в прошлом году?
24:08 💬 Плохая работа TrueConf может быть связана с этими трендовыми уязвимостями?
25:42 Трендовые уязвимости Microsoft (47%)
28:37 Трендовые уязвимости, используемые в фишинговых атаках
29:36 Трендовые уязвимости Linux
30:10 💬 Стоит ли переходить на отечественные ОС на базе Linux и есть ли к ним доверие?
38:40 Трендовые уязвимости в библиотеках и фреймворках
40:50 Трендовые уязвимости сетевых устройств
42:16 Трендовые уязвимости, связанные с разработкой ПО
42:38 Трендовые уязвимости виртуализации и контейнеризации
43:00 Трендовые уязвимости ERP-систем
43:36 ТОП Трендовых: ToolShell и атаки на ядерные организации США
46:39 💬 Почему большие организации уязвимы и нужно ли пушить безопасность регуляторами?
52:10 💬 Мотивация VM-специалистов: энтузиазм или бюджет?
56:46 ТОП Трендовых: уязвимость-вспышка React2Shell
01:00:33 ТОП Трендовых: Эксплуатируемая уязвимость CommuniGate и качество детектирования уязвимостей
01:01:36 ТОП Трендовых: Уязвимость Apache HTTP Server и отслеживание EoL
01:03:56 ТОП Трендовых: Уязвимость Erlang/OTP
01:05:01 ТОП Трендовых: Уязвимости Windows для фишинга (1,2)
01:07:29 Прогноз на 2026: то же, но хуже
01:16:58 💬 Про карьеру в Vulnerability Management
01:24:06 💬 Новогодние пожелания

Видео, которое я выкладываю - согласованный перезалив на мой канал VK Видео. Я немного перемонтировал ролик, сделав больший акцент на слайдах, и поменял таймстемпы. Оригинальное видео на Youtube можно найти в этом посте.