Архив метки: Vulristics

Выпустил отчёт по октябрьскому Linux Patch Wednesday!

Выпустил отчёт по октябрьскому Linux Patch Wednesday!

Выпустил отчёт по октябрьскому Linux Patch Wednesday! Первый! 🥳 Результатом доволен. Топ выглядит адекватно и соответствует тому, что я подсвечивал в канале.

1. Memory Corruption - Chromium (CVE-2023-5217). Это уязвимость в библиотеке libvpx, которая была самой критичной и в октябрьском Microsoft Patch Tuesday. Есть PoC на гитхабе и признаки эксплуатации вживую.
2. Remote Code Execution - GNU C Library (CVE-2023-4911). Это Qualys Looney Tunables. Давно есть PoC, но признаков эксплуатации вживую пока нет.
3. Denial of Service - Golang Go (CVE-2023-29409). Есть PoC. Vulristics определил софт как TLS, т.к. в описании уязвимости CVE никакого намека на Go. 🤷‍♂️
4. Denial of Service - HTTP/2 protocol (CVE-2023-44487). Также был в MSPT.

14. Memory Corruption - Curl (CVE-2023-38545). Для этой уязвимости появились PoC-и на Github.

Остальное без эксплоитов и признаков эксплуатации вживую.

🗒 Vulristics report

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday

Выпустил отчёт Vulristics по октябрьскому Microsoft Patch Tuesday. Что в ТОПе:

1. Memory Corruption - Microsoft Edge (CVE-2023-5217). Уязвимость в библиотеке libvpx, которая отвечает за проигрывание видео в формате VP8. Как и в недавнем случае с libwebp, аффектит уйму софтов, но в первую очередь браузеры. Публичного эксплоита пока нет, но есть признаки эксплуатации вживую.

2. Elevation of Privilege - Skype for Business (CVE-2023-41763). По факту скорее information disclosure. Неаутентифицированный злоумышленник может отправить специальный запрос на уязвимый сервер Skype для бизнеса, что приведёт к раскрытию конфиденциальной информации, которая может быть использована для получения доступа к внутренним сетям. 🤷‍♂️ Есть признаки эксплуатации вживую, публичного эксплоита нет. Для Skype for Business вышло также и несколько RCE.

3. Information Disclosure - Microsoft WordPad (CVE-2023-36563). Пользователь открывает зловредный файл, в результате чего злоумышленник может получить NTLM хэши. Или, если у злоумышленника есть доступ к хосту, он сам может запустить зловредное ПО на хосте с тем же результатом. Выглядит опасно. Есть признаки эксплуатации вживую, публичного эксплоита нет.

4. Denial of Service - HTTP/2 protocol (CVE-2023-44487). Фикс для IIS (HTTP.sys), .NET (Kestrel) и Windows против новой эффективной DDoS-атаки "HTTP/2 Rapid Reset". Проблема универсальная, о том, что их атаковали через "HTTP/2 Rapid Reset" сообщали на днях Amazon, Cloudflare и Google, так что признаки эксплуатации вживую присутствуют.

Больше ничего в активной эксплуатации или с публичным эксплоитом пока нет. Можно ещё обратить внимание на:

🔻 20 уязвимостей Microsoft Message Queuing, среди которых есть и RCE.
🔻 Remote Code Execution - Microsoft Exchange (CVE-2023-36778). "Для успешной эксплуатации необходимо, чтобы злоумышленник находился в той же сети, что и хост Exchange Server, и использовал валидные учетные данные пользователя Exchange в удаленной сессии PowerShell". Не выглядит особенно критичной, хотя "Exploitation More Likely".
🔻 Elevation of Privilege - Windows IIS Server (CVE-2023-36434). Достигается через упрощённый брутфорс пароля. 🤷‍♂️
🔻 Пачка Elevation of Privilege в Windows Win32k и Windows Graphics Component. Успешная эксплуатация уязвимости может позволить злоумышленнику получить привилегии SYSTEM.

upd. 🟥 PT относит уязвимости Information Disclosure - Microsoft WordPad (CVE-2023-36563) и Denial of Service - HTTP/2 protocol (CVE-2023-44487) к трендовым.

🗒 Vulristics report

Изменения в источнике данных NVD для Vulristics

Изменения в источнике данных NVD для Vulristics

Изменения в источнике данных NVD для Vulristics. В NVD стали гораздо менее толерантно подходить к использованию своего API. После 5 последовательных запросов начинает отдаваться такое:

Это аффектило, в том числе и мой скрипт в Vulristics, который запрашивает данные из NVD. 😐

Согласно документации:

Публичный rate limit (без ключа API) составляет 5 запросов в скользящем 30-секундном окне; rate limit с ключом API составляет 50 запросов в скользящем 30-секундном окне.

Поэтому, если вы используете NVD API, ставьте sleep-ы. 🤷‍♂️

✅ Для Vulristics сделал поддержку аутентификации по ключу NVD и sleep-ы в 0.6 секунд при использовании ключа и 6 секунды без использования ключа.

Для получения ключа NVD API нужно указать организацию, тип организации и email в форме. Через несколько секунд на email придёт одноразовая ссылка, по которой отдаётся ключ.

Подбил итоги сентября для англоязычного канала и блога

Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.

---

Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.

Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management course
00:52 Bahasa Indonesia

Russian Podcasts
01:20 Прожектор по ИБ ("Information Security Spotlight") podcast
01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies

Main Job
01:57 Goodbye Tinkoff

Patch Tuesday
02:54 September Microsoft Patch Tuesday
03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352)
04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed"
04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761)
05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802)
05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)

Other Vulnerabilities
06:54 Bitrix CMS RCE (BDU:2023-05857)
07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012)
08:09 Qualys TOP 20 vulnerabilities

Vulnerability Management Market
09:06 Forrester and GigaOm VM Market reports
09:49 R-Vision VM

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost

Прожектор по ИБ, выпуск №3 (19.09.2023)

Прожектор по ИБ, выпуск №3 (19.09.2023). С небольшим опозданием записали вчера очередной эпизод. Состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:40 Читаем комментарии к прошлому эпизоду
05:01 Сентябрьский Microsoft Patch Tuesday
5:42 Втихую исправленные уязвимости в Exchange
11:31 RCE в libwebp
16:39 ThemeBleed
21:28 В ИБ команде Тинькофф классно
24:27 Затрояненный Free Download Manager
32:31 Эмодзи как подпись
38:09 Очереди в МФЦ на удаление биометрии?
42:02 Прощание от Mr. X

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте
Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моментеПочему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте. Но делать выводы как ситуация будет развиваться в будущем на основании текущего состоянии практически невозможно. Данных для анализа, как правило, недостаточно и они замусоренные. Поэтому решения для фильтрации/приоритизации уязвимостей не могут рекомендовать ВООБЩЕ не исправлять какую-то уязвимость. Всегда есть вероятность, что выстрелит уязвимость, о которой никто и не думал.

Если вам сейлз говорит, что с помощью их волшебного решения можно будет исправить только 3% найденных уязвимостей, а на остальное забить - гоните его в шею.

Сегодняшний пример. Remote Code Execution - Windows Themes (CVE-2023-38146). Одна из 25 RCE-шек в сентябрьском Micorosoft Patch Tuesday.

Со страницы уязвимости на сайте Microsoft:

Publicly disclosed: No
Exploited: No
Exploitability assessment: Exploitation Less Likely

Никто про неё в обзорах не писал кроме ZDI, и то с комментом "This probably isn’t one of the most severe bugs…". Vulristics оценил уязвимость как High, т.к. всё-таки RCE.

И что, вот на днях выходит подробное описание и публичный PoC, уязвимость в Vulristics становится Critical и самой важной в этом MSPT, а СМИ начинают разгонять про ThemeBleed. 🤷‍♂️

Не надейтесь на приоритизацию/фильтрацию уязвимостей, обновляйте всё заранее! У этих решений по сути два состояния: покерфейс 😐 и с выпученными глазами одурело бить в рынду 😱 (зачастую когда уже поздно).

🗒 Vulristics report - обновил отчёт для сентябрьского Microsoft Patch Tuesday

Сентябрьский Microsoft Patch Tuesday

Сентябрьский Microsoft Patch TuesdayСентябрьский Microsoft Patch TuesdayСентябрьский Microsoft Patch Tuesday

Сентябрьский Microsoft Patch Tuesday. 97 CVE-шек, из них 35 набежало с августовского MSPT. Critical и Urgent уязвимостей нет.

Самая критичная это эксплуатируемая вживую Information Disclosure в Microsoft Word (CVE-2023-36761), которая, если верить ZDI, на самом деле позволяет выполнять NTLM Relay атаку.

NTLM Relay — это тип атаки, при котором злоумышленник перехватывает аутентификационные данные, использующие протокол NTLM, и перенаправляет их на другой сервер или сервис с целью получения несанкционированного доступа.

На втором месте эксплуатируемая вживую Elevation of Privilege в Microsoft Streaming Service Proxy.

Остальное всё без признаков эксплуатации.

Есть 3 Remote Code Execution в Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756). Но вряд ли будут эксплуатироваться. Для успешной эксплуатации злоумышленнику необходимо иметь доступ к локальной сети и валидную учётку.

В общем, обновляемся без спешки. 🫠

🗒 Vulristics report