Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации. Её добавили в CISA KEV. У Microsoft эта уязвимость идёт как EoP, но описание у неё говорит об AuthBypass. Удаленный неутентифицированный злоумышленник может получить привилегии аутентифицированного пользователя на уязвимом сервере, отправив поддельный токен аутентификации JWT. Для того, чтобы злоумышленник мог воспользоваться этой уязвимостью, не требуется никакого взаимодействия с пользователем.
Уязвимость была продемонстрирована Pwn2Own Vancouver в марте 2023. И вот где-то через полгода после выхода патча пошли реальные атаки.
Если у вас в инфре есть Sharepoint сервер, который более полугода не обновлялся - обратите внимание.
Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements 00:11 Works faster 01:31 Microsoft ADVs 02:45 Comments Table
TOP 04:09Remote Code Execution – Microsoft Office (CVE-2023-36884) 05:06Security Feature Bypass – Windows SmartScreen (CVE-2023-32049) 05:48Security Feature Bypass – Microsoft Outlook (CVE-2023-35311) 06:37Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874) 07:16Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs 08:10Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350) 09:01Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309) 09:44Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) 10:24Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315) 10:57Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160) 11:42Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
Выпустил эпизод про июньский Microsoft Patch Tuesday. В целом, совпало с первыми впечатлениями, но добавил спуфинг в OneNote и подсветил уязвимости с "Proof-of-Concept Exploit" в CVSS Temporal. Ну и добавил деталей, как обычно.
———
Hello everyone! This episode will be about Microsoft Patch Tuesday for June 2023, including vulnerabilities that were added between May and June Patch Tuesdays. This time there were only 3 vulnerabilities used in attacks or with a public exploit. And only one of them is more or less relevant.
TOP of the Vulristics report 00:38Memory Corruption – Microsoft Edge (CVE-2023-3079) 01:12Remote Code Execution – GitHub (CVE-2023-29007) 01:40Spoofing – Microsoft OneNote (CVE-2023-33140)
No exploits or signs of exploitation in the wild 03:10Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015) 04:02Remote Code Execution – Microsoft Exchange (CVE-2023-32031, CVE-2023-28310) 05:27Elevation of Privilege – Microsoft SharePoint (CVE-2023-29357)
Выпустил эпизод про майский Microsoft Patch Tuesday. Первые впечатления оказались вполне верными. Добавил ещё 4 уязвимости, которые выглядят многообещающе, расширил описание и указал на пару странностей в EPSS.
———
Hello everyone! This episode will be about Microsoft Patch Tuesday for May 2023, including vulnerabilities that were added between April and May Patch Tuesdays. As usual, I use my open source Vulristics project to analyse and prioritize vulnerabilities. I took the comments about the vulnerabilities from the Qualys, Tenable, Rapid7, ZDI Patch Tuesday reviews. It's been a long time since we've had such tiny Patch Tuesday. 57 CVEs, including CVEs appeared during the month. And only 38 without them! 😄
Urgent 00:45Memory Corruption – Microsoft Edge (CVE-2023-2033)
High 03:11Remote Code Execution – Windows OLE (CVE-2023-29325) 04:20Elevation of Privilege – Windows Win32k (CVE-2023-29336) 05:19Remote Code Execution – Windows Network File System (CVE-2023-24941) 06:07Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-24943) 06:58Remote Code Execution – Windows Lightweight Directory Access Protocol (LDAP) (CVE-2023-28283) 07:31Remote Code Execution – Microsoft SharePoint (CVE-2023-24955)
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
