Архив метки: vulnerability

Про уязвимость Remote Code Execution - 7-Zip (BDU:2025-01793)

Добавить комментарий

Про уязвимость Remote Code Execution - 7-Zip (BDU:2025-01793)

Про уязвимость Remote Code Execution - 7-Zip (BDU:2025-01793). Уязвимость заключается в том, что при распаковке файлов из скачанного архива на них не проставляется метка Mark-of-the-Web. Поэтому запуск распакованного зловреда не будет блокироваться механизмами безопасности Windows. Если помните, в январе была похожая уязвимость CVE-2025-0411. Там проблема была с запуском файлов из интерфейса архиватора, её пофиксили. А в данном случае проблема с полностью распакованными архивами. И эту проблему ИСПРАВЛЯТЬ НЕ БУДУТ! 🤷‍♂️

Автор утилиты Игорь Павлов ответил нашему коллеге Константину Дымову, что отсутствие простановки Mark-of-the-Web по умолчанию это фича. Изменять дефолты они не будут. Чтобы метка проставлялась, нужно выставить опцию "" в "".

Если в вашей организации используется 7-Zip, имейте в виду такое небезопасное поведение по умолчанию. Либо делайте харденинг, либо заменяйте 7-Zip на другое решение.

Закончил подготовку слайдов для доклада про Vulristics на PHDays

Добавить комментарий

Закончил подготовку слайдов для доклада про Vulristics на PHDays

Закончил подготовку слайдов для доклада про Vulristics на PHDays. 😇 Выступать буду в последний день фестиваля, в субботу 24 мая. Начало в 16:00. Зал 25 "Попов". Кто будет в это время на площадке - буду очень рад видеть. Кто не будет - подключайтесь онлайн. 😉

У меня будет целый час, чтобы обстоятельно поговорить про Vulristics, а также про анализ и приоритизацию уязвимостей вообще. 🤩 Пройдусь от структуры отчёта Vulristics и типовых задач (анализ Microsoft Patch Tuesday, Linux Patch Wednesday, отдельных трендовых уязвимостей и их подборок) к работе с источниками данных и проблемам корректного определения типа уязвимости и уязвимого продукта. Закончим возможностями использования Vulristics в пайплайнах. Утащить код в свой проект тоже не возбраняется - у Vulristics лицензия MIT. 🆓

➡️ Выступление на сайте PHDays - там можно скачать ics для календаря 😉
⏰ 24.05.2025 16:00 (МСК)
📍 Лужники, зал 25 "Попов"

Появились подробности по VM-решению Security Vision для SMB организаций

Добавить комментарий

Появились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организаций

Появились подробности по VM-решению Security Vision для SMB организаций. Решение назвали Security Vision VS Basic.

🔹 В него входят модули Vulnerability Scanner, Vulnerability Management и Asset Management.

🔹 Лицензия ограничена 500 IP-адресами (варианты: 100, 250, 500). Если нужно больше, то это уже не SMB. 🙂

🔹 Решение ставится на один сервер. Есть некоторые ограничения на кастомизацию контента.

Больше никаких отличий от энтерпрайзных версий нет.

Заявлено много режимов сканирования: "белый ящик" (с агентом и без), pentest, web-сканирование, скан контейнеров (включая Kubernetes), пересчёт уязвимостей без рескана. Весьма амбициозно, но качество детектирования нужно тестить. 😉

Из интересного:

🔸 встроенная тикетница
🔸 автопатчинг
🔸 возможность использовать сторонние сканеры (MaxPatrol 8, MaxPatrol VM, Redcheck, TenableIO, TenableSC, Nessus, Qualys)

📄 Есть сертификат ФСТЭК
🎞 20-минутное демо

Посмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустили

Добавить комментарий

Посмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустилиПосмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустилиПосмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустилиПосмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустилиПосмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустилиПосмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустилиПосмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустили

Посмотрел на европейскую базу уязвимостей EUVD, которую вчера официально запустили. Полезность пока сомнительна. 🤷‍♂️

🔹 Фактически они делают выгрузки из публичных источников (MITRE CVE DB, CISA KEV, GHSA, EPSS и несколько других), смапливают их под своим EUVD идентификатором (мапится всё по CVE 😉) и предоставляют к этому веб-интерфейс.

🔹 Веб-интерфейс странненький. Там, например, нет поиска по альтернативным идентификаторам. По CVE можно искать только полнотекстовым поиском. 🙄

🔹 Есть ли там их собственные уязвимости? И да, и нет. У них есть EU CSIRT, который CVE CNA. И уязвимости, которые заводятся через этот CSIRT отдельно показываются в дашборде EUVD. НО у этих уязвимостей есть CVE идентификатор и их можно с тем же успехом смотреть в MITRE и NVD. И в чём профит? 🙂

🔹 На свежих уязвимостях заметны задержки в обновлении базы. Хотя данные в исходных базах есть.

🔹 Эффективных способов выгрузить базу для изучения нет. API позволяет выгрузить только 100 идентификаторов за запрос. 😏

Майский Microsoft Patch Tuesday

Добавить комментарий

Майский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 93 уязвимости ~ в 1.5 раза меньше, чем в апреле. Из них 22 были добавлены между апрельским и майским MSPT. Есть 5 уязвимостей с признаками эксплуатации вживую:

🔻 EoP - Microsoft DWM Core Library (CVE-2025-30400)
🔻 EoP - Windows CLFS Driver (CVE-2025-32701, CVE-2025-32706)
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-32709)
🔻 Memory Corruption - Scripting Engine (CVE-2025-30397). RCE при клике на зловредную ссылку. Для эксплуатации требуется опция "Allow sites to be reloaded in Internet Explorer".

Уязвимостей с публичными эксплоитами пока нет.

Из остальных можно выделить:

🔹 RCE - Remote Desktop Client (CVE-2025-29966, CVE-2025-29967), Office (CVE-2025-30377, CVE-2025-30386), Graphics Component (CVE-2025-30388), Visual Studio (CVE-2025-32702)
🔹 EoP - Kernel Streaming (CVE-2025-24063), CLFS Driver (CVE-2025-30385)

🗒 Полный отчёт Vulristics

Про уязвимость Remote Code Execution - Erlang/OTP (CVE-2025-32433)

Добавить комментарий

Про уязвимость Remote Code Execution - Erlang/OTP (CVE-2025-32433)

Про уязвимость Remote Code Execution - Erlang/OTP (CVE-2025-32433). Erlang - язык программирования для построения масштабируемых систем мягкого реального времени с требованиями высокой доступности. Используется в телекоммуникациях, банковской сфере, e-commerce, компьютерной телефонии и мессенджерах. OTP - набор Erlang-библиотек, предоставляющий middleware для разработки таких систем.

Уязвимость обработки сообщений в SSH-сервере Erlang/OTP позволяет неаутентифицированному злоумышленнику выполнить произвольный код. Код выполняется в контексте SSH-демона. Если демон запущен от root-а, это даёт полный контроль над устройством.

🔻 Бюллетень вендора вышел 16 апреля. Безопасные версии: OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.

🔻 Уже 17 апреля в блоге Platform Security появился write-up и PoC эксплоита (разработанный с использование AI).

🔻 Уязвимости подвержены устройства Cisco. И, наверняка, не только они. 😏

👾 Признаков эксплуатации вживую пока нет.

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824). Уязвимость из апрельского Microsoft Patch Tuesday. Уязвимость позволяет злоумышленнику, работающему под учетной записью обычного пользователя, повысить свои привилегии до уровня SYSTEM.

🔻 Согласно Microsoft, уязвимость использовалась в атаках на организации в США, Венесуэле, Испании и Саудовской Аравии. Эксплойт был встроен в малварь PipeMagic, используемую группировкой Storm-2460 для распространения шифровальщиков.

🔻 7 мая исследователи Symantec сообщили технические подробности по ещё одному эксплоиту для этой уязвимости от группировки Balloonfly (использующей шифровальщик Play). Эксплойт применялся до 8 апреля в атаке на организацию из США.

👾 А есть ли публичные эксплоиты? БДУ ФСТЭК считает, что да. NVD тоже приводит "ссылки на эксплоиты", но там скрипты для детекта и митигации. 🤷‍♂️ В сплоитпаках и на GitHub пока пусто.