Декабрьский "В тренде VM": уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз достаточно компактная. 💽
🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT
Всего четыре уязвимости:
🔻 EoP - Windows Kernel (CVE-2025-62215)
🔻 RCE - expr-eval (CVE-2025-12735)
🔻 RCE - Control Web Panel (CVE-2025-48703)
🔻 SQLi - Django (CVE-2025-64459)
Выступал сегодня на ежегодной пресс-конференции Positive Technologies, получившей название "Анатомия цифровых бурь". Как и в прошлом году, я представлял статистику по трендовым уязвимостям.
🔹 Трендовых уязвимостей в этом году будет скорее всего чуть меньше, чем в прошлом. Но за 20 дней может ещё случиться много кейсов а-ля React2Shell. 🤷♂️ Окончательную статистику по трендовым я подобью уже под оливье. 🎄
🔹 Microsoft - надёжный поставщик трендовых уязвимостей. 😏 Пока доля трендовых уязвимостей от MS даже выше, чем в прошлом году.
🔹 В прошлом году не было трендовых уязвимостей в отечественных продуктах, а в этом есть. Это RCE уязвимости в CommuniGate Pro и TrueConf (массовая эксплуатация!). Предвидим, что доля трендовых уязвимостей в отечественных продуктах будет расти вслед за импортозамещением и повышением интереса со стороны исследователей и злоумышленников.
И что с этим делать? Развивать Vulnerability / Exposure Management. 😉
Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки? Продолжаю подсвечивать понравившиеся фичи. На скриншотах примеры отображения путей атаки (маршрутов) в Carbon: видны активы и шаги злоумышленника.
🔹 Первый пример - получение доступа к критичному проекту на внутреннем GitLab. Сначала эксплуатируется уязвимость обхода аутентификации в Confluence (CVE-2023-22515) на периметре. Она позволяет получить админа в Confluence, загрузить плагин и получить RCE на сервере. Далее атака на внутренний Exchange с RCE уязвимостью ProxyNotShell (CVE-2022-41082). Затем идёт компрометация домена с помощью системной учётки.
🔹 Все эксплуатируемые проблемы, включая CVE-шки, собираются в Рекомендации.
🔹 Также добавил пример маршрута без эксплуатации CVE-шек (только начальный фишинг и мисконфигурации - экспозиции 😉) для кражи отчёта.
Подробнее на вебинаре 16 декабря и в статье на Anti-Malware. 🙂
Коллеги по PT ESC-у сообщают о массовой эксплуатации цепочки трендовых уязвимостей Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114) в атаках APT-группировки PhantomCore. Приводятся списки инструментов, используемых в атаках, файловые пути и IoC-и. В конце октября об эксплуатации этих уязвимостей также сообщали специалисты RED Security и СICADA8.
⚙️ Цепочка уязвимостей в TrueConf Server была обнаружена экспертом PT SWARM Никитой Петровым. Обновления безопасности, устраняющие уязвимости, вышли 27 августа 2025 года.
🟥 Уязвимости в списке трендовых Positive Technologies с 28 августа 2025 года. Мы их подсвечивали в сентябрьском дайджесте трендовых уязвимостей.
Те, кто среагировали, обнаружили и устранили уязвимости в августе-сентябре, молодцы. 👍 А те, кто проигнорировали предупреждения и пострадали, надеюсь, извлекут из этого урок. 🙏
Что нового в MaxPatrol Carbon 25.7.4? Пообщался с коллегами перед предстоящим вебинаром 16 декабря. В этом посте - про отображение состояния инфраструктуры, а в следующем - непосредственно про пути атаки (маршруты).
🔹 Начали оценивать готовность инфраструктуры к моделированию кибератак (топология, пользователи и привилегии, граф возможностей). Для "отличной" оценки топологии в ней должно быть более 80% всех активов + выполняться доп. условия. При клике по остальным показателям, например по "Теневым активам", открываются результаты выполнения соответствующего PDQL-запроса в MaxPatrol VM.
🔹 Добавили виджет с воронкой от всех экземпляров трендовых уязвимостей в инфре до трендовых уязвимостей с эксплоитами и просчитанными маршрутами для реализации заданных недопустимых событий.
🔹 Критичность маршрутов теперь выделяется цветом (чем краснее - тем критичнее).
Декабрьский Microsoft Patch Tuesday. Всего 56 уязвимостей, на 9 меньше, чем в ноябре. Есть одна уязвимость с признаком эксплуатации вживую:
🔻 EoP - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)
Уязвимостей с публичными эксплоитами пока нет. Из остальных уязвимостей можно выделить:
🔹 RCE - Microsoft Office (CVE-2025-62554, CVE-2025-62557), Microsoft PowerShell (CVE-2025-54100), Microsoft Outlook (CVE-2025-62562), GitHub Copilot for JetBrains (CVE-2025-64671)
🔹 EoP - Windows Win32k (CVE-2025-62458), Windows Cloud Files Mini Filter Driver (CVE-2025-62454, CVE-2025-62457), Windows Common Log File System Driver (CVE-2025-62470), Windows Remote Access Connection Manager (CVE-2025-62472), Windows Storage (CVE-2025-59516)
Про уязвимость Elevation of Privilege - Windows Kernel (CVE-2025-62215). Уязвимость из ноябрьского Microsoft Patch Tuesday. Эксплуатация уязвимости позволяет локальному злоумышленнику получить привилегии SYSTEM. Причина уязвимости - Race Condition (CWE-362) и двойное освобождение памяти (CWE-415).
⚙️ Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.
👾 Microsoft сообщили об эксплуатации уязвимости в реальных атаках 11 ноября в рамках MSPT, и на следующий день уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.
🛠 Публичные эксплоиты доступны на GitHub с 18 ноября.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.