Архив метки: Vulristics

Повысилась критичность уязвимости RCE — Windows MSHTML Platform (CVE-2023–35628)

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)

Повысилась критичность уязвимости RCE — Win­dows MSHTML Plat­form (CVE-2023–35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tues­day 2023.

"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Out­look (до просмотра в Pre­view Pane). 🔥"

И вот через 4 месяца Aka­mai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Win­dows File Explor­er. 🤔

А где zero-click RCE в Out­look? Такая эксплуатация возможна вместе с EoP — Microsoft Out­look (CVE-2023–23397):

"This vul­ner­a­bil­i­ty can be trig­gered through Out­look (0‑click using CVE-2023–23397)".

Впрочем, CVE-2023–23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏

По данным из БДУ ФСТЭК уязвимость CVE-2023–35628 эксплуатируется вживую (флаг vul_incident).

Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday

Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday
Сгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday

Сгенерил отчёт Vul­ris­tics по апрельскому Lin­ux Patch Wednes­day. За прошедший месяц Lin­ux-вендоры начали выпускать исправления для рекордного количества уязвимостей — 348. Есть признаки эксплуатации вживую для 7 уязвимостей (данные об инцидентах из БДУ ФСТЭК). Ещё для 165 есть ссылка на эксплоит или признак наличия публичного/приватного эксплоита.

Начнём с 7 уязвимостей с признаком активной эксплуатации вживую и эксплоитами:

🔻 В ТОП‑е, внезапно, январская трендовая уязвимость Authen­ti­ca­tion Bypass — Jenk­ins (CVE-2024–23897). Насколько я понимаю, обычно Lin­ux-дистрибутивы не включают пакеты Jenk­ins в официальные репозитарии и, соответственно, не добавляют детекты уязвимостей Jenk­ins в свой OVAL-контент. В отличие от отечественного RedOS. Поэтому самый ранний таймстемп исправления этой уязвимости именно у RedOS.

🔻 2 RCE уязвимости. Самая интересная это Remote Code Exe­cu­tion — Exim (CVE-2023–42118). Когда я выпускал отчёт, я специально не учитывал описание уязвимости и продукты из БДУ (флаги –bdu-use-prod­uct-names-flag, –bdu-use-vul­ner­a­bil­i­ty-descrip­tions-flag). Иначе это привело бы к тому, что часть отчёта была бы на английском, а часть на русском. Но оказалось, что для этой уязвимости адекватное описание есть пока только в БДУ. 🤷‍♂️ К этой уязвимости нужно присмотреться, т.к. Exim является достаточно популярным почтовым сервером. Вторая RCE уязвимость браузерная, Remote Code Exe­cu­tion — Safari (CVE-2023–42950).

🔻 2 DoS уязвимости. Denial of Ser­vice — nghttp2/Apache HTTP Serv­er (CVE-2024–27316) и Denial of Ser­vice — Apache Traf­fic Serv­er (CVE-2024–31309). Последняя в отчёте классифицируется как Secu­ri­ty Fea­ture Bypass, но это из-за некорректного CWE в NVD (CWE-20 — Improp­er Input Val­i­da­tion)

🔻 2 браузерные Secu­ri­ty Fea­ture Bypass — Chromi­um (CVE-2024–2628, CVE-2024–2630)

Из уязвимостей, для которых пока есть только признак наличия эксплоита, можно обратить внимания на следующее:

🔸 Большое количество RCE уязвимостей (71). Большая часть из них в продукте gtk­wave. Это программа просмотра файлов VCD (Val­ue Change Dump, дамп изменения значения), которые обычно создаются симуляторами цифровых схем. Выглядят опасными уязвимости Remote Code Exe­cu­tion — Cac­ti (CVE-2023–49084, CVE-2023–49085), это решения для мониторинга серверов и сетевых устройств.

🔸 Secu­ri­ty Fea­ture Bypass — Send­mail (CVE-2023–51765). Позволяет внедрить сообщения электронной почты с поддельным адресом MAIL FROM.

🔸 Пачка Cross Site Script­ing в Medi­aWi­ki, Cac­ti, Grafana, Nextcloud.

В общем, в этот раз аж глаза разбегаются. 🤩

🗒 Апрельский Lin­ux Patch Wednes­day

Вышла статья на Хабре про трендовые уязвимости марта

Вышла статья на Хабре про трендовые уязвимости марта

Вышла статья на Хабре про трендовые уязвимости марта. В этот раз мы решили немного поменять технологию. Раньше на хабр просто рерайтили тот же дайджест с сайта. Получалось суховато. В этот раз за основу статьи я взял текст, который готовил для новостного видео SecLab‑а (должно выйти на следующей неделе) и скомбинировал его с более формальным описанием из дайджеста. Вроде так получилось гораздо живее.

Вся кухня сейчас выглядит вот так:

1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab‑а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Ana­lyt­ics.
4️⃣ Собираю итоговый текст для Хабра.

В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉

Первые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tuesday
Первые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch TuesdayПервые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tues­day. Даже не знаю. 🤪 Очень чуднО! 173 уязвимости, из них 23 набежало с прошлого Patch Tues­day.

Microsoft выделяет одну уязвимость с признаком эксплуатации вживую: Spoof­ing — Proxy Dri­ver (CVE-2024–26234). И её упоминает только Qualys и то мельком. Буквально так: "Microsoft has not dis­closed any infor­ma­tion about the vul­ner­a­bil­i­ty". 😅 ZDI ещё утверждает, что вживую эксплуатируется Secu­ri­ty Fea­ture Bypass — SmartScreen Prompt (CVE-2024–29988), которая представляет собой обход Mark of the Web (MotW).

Эксплоитов пока ни для чего нет. Выделить можно следующие уязвимости:

🔸 Remote Code Exe­cu­tion — Microsoft Excel (CVE-2024–26257). Эксплуатируется при открытии специально подготовленного файла.
🔸 Remote Code Exe­cu­tion — RPC (CVE-2024–20678). Её подсвечивает ZDI и заявляет о 1.3 млн. выставленных TCP 135 портов.
🔸 Spoof­ing — Out­look for Win­dows (CVE-2024–20670). ZDI пишет, что это Infor­ma­tion Dis­clo­sure, которая может использоваться в NTLM relay атаках.
🔸 Remote Code Exe­cu­tion — Win­dows DNS Serv­er (CVE-2024–26221, CVE-2024–26222, CVE-2024–26223, CVE-2024–26224, CVE-2024–26227, CVE-2024–26231, CVE-2024–26233). Может что-то из этого и стрельнёт, ZDI особенно выделяет CVE-2024–26221.
🔸 Remote Code Exe­cu­tion — Microsoft Defend­er for IoT (CVE-2024–21322, CVE-2024–21323, CVE-2024–29053). Это решение для безопасности IoT и ICS/OT, может быть on-prem.

Есть просто неприлично массовые фиксы:

🔹 Remote Code Exe­cu­tion — Microsoft OLE DB Dri­ver for SQL Serv­er / Microsoft WDAC OLE DB Provider for SQL Serv­er / Microsoft WDAC SQL Serv­er ODBC Dri­ver. 28 CVE! Даже перечислять здесь все не буду. 😨
🔹 Secu­ri­ty Fea­ture Bypass — Secure Boot. 23 CVE!

🗒 Отчёт Vul­ris­tics

Upd. 10.04 Немного подтюнил детект типа уязвимости, чтобы повысить приоритет детекта по генерённому описанию Microsoft по сравнению с детектом на основе CWE. В частности поменялся тип уязвимости для Spoof­ing — Proxy Dri­ver (CVE-2024–26234) и Spoof­ing — Out­look for Win­dows (CVE-2024–20670).

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

На сайте Pos­i­tive Tech­nolo­gies вышел дайджест по трендовым уязвимостям марта. Для наглядности я также сгенерил отчёт Vul­ris­tics по ним. Всего 5 уязвимостей.

🔻 По 3 уязвимостям есть эксплоиты и подтвержденные признаки эксплуатации вживую: Auth­By­passTeam­C­i­ty (CVE-2024–27198), RCEFor­ti­Clien­tEMS (CVE-2023–48788), EoPWin­dows Ker­nel (CVE-2024–21338).

🔻 Ещё по 2 уязвимостям признаков эксплуатации вживую пока нет, но есть эксплоиты: EoPWin­dows CLFS Dri­ver (CVE-2023–36424), RCEMicrosoft Out­look (CVE-2024–21378).

Будет ещё видео-версия с мемасиками в новостном выпуске секлаба. Снимали в конце марта, ждём на следующей неделе. И будет ещё пост на хабре по контенту из этой видяшки. 😇

🟥 Пост в канале PT

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Важное уточнение по поводу БДУ уязвимостей Astra Lin­ux без CVE идентификаторов. Я пообщался в личке с руководителем анализа защищённости ОС Astra Lin­ux Олегом Кочетовым по поводу кейса из вчерашнего поста.

🔹 Это может выглядеть как уязвимость, исправление которой пришло из апстрима Bash, которую зачем-то завели в БДУ по бюллетеню Астры, потеряв по дороге CVE. Но ситуация там совсем другая! Эту уязвимость обнаружили специалисты Астры, но так как она аффектила только Astra Lin­ux, то в апстрим её не репортили (и не получали CVE), а зарепортили только в БДУ. Такие уязвимости можно отличать по идентификаторам "ASE" (ранее "ALV").

🔹 В бюллетенях, исправляющих CVE-шные уязвимости, ссылки на CVE проставляются, но могут быть накладки, когда одну и ту же уязвимость репортят разные вендоры.

Подробнее Олег расскажет 12 апреля на CISO Forum в докладе "Как не утонуть в море уязвимостей или как мы управляем кораблем «ОС Astra Lin­ux»"

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами.

🔹 Vul­ris­tics теперь умеет работать с БДУ, его можно использовать для приоритизации продетектированных уязвимостей и поиска аномалий в базе БДУ.
🔹 Уязвимостей в БДУ без ссылок на CVE около 2.4% от общего количества, но они представляют большой интерес, т.к. они в других базах уязвимостей не описаны. Особенно интересны уязвимости в отечественных продуктах и те, что с эксплоитами и эксплуатацией вживую.
🔹 Уязвимости в БДУ без CVE это не только уязвимости в отечественных продуктах, но и в Open Source, и в западных проприетарных продуктах.
🔹 Иногда для «уязвимости без CVE» на самом деле есть CVE. 🤷‍♂️ Нужно выявлять такое и репортить.

Для дальнейшего анализа было бы интересно собрать детальную статистику по уязвимым продуктам (тип, назначение, лицензия и т.д), но это осложняется отсутствием формализованных источников данных с описанием продуктов. 🤔