Архив метки: Vulristics

Первые впечатления от мартовского Microsoft Patch Tuesday

1 комментарий

Первые впечатления от мартовского Microsoft Patch Tuesday
Первые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch TuesdayПервые впечатления от мартовского Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tuesday. Пока ничего откровенно критичного не просматривается. Всего 80 уязвимостей, включая 20 добавленных между февральским и мартовским MSPT.

С PoC-ом всего одна:

🔻 Information Disclosure - runc (CVE-2024-21626). Она позволяет реализовать побег из контейнера. Причём тут Microsoft? Уязвимость исправили в Azure Kubernetes Service и CBL-Mariner (внутренний Linux дистрибутив Microsoft).

Для остальных пока нет признаков активной эксплуатации или наличия PoC-а.

Можно обратить внимание на следующее:

🔸 Elevation of Privilege - Windows Kernel (CVE-2024-21443, CVE-2024-26173, CVE-2024-26176, CVE-2024-26178, CVE-2024-26182). Их частенько доводят до практической эксплуатации в последнее время. Сюда же Elevation of Privilege - Windows Print Spooler (CVE-2024-21433).
🔸 Remote Code Execution - Open Management Infrastructure (OMI) (CVE-2024-21334). CVSS 9.8 и ZDI пишут, что "она позволит удаленному, неавторизованному злоумышленнику выполнить код на инстансах OMI в Интернете". Возможно их и правда в интернет часто выставляют, требует ресёрча. 🤷‍♂️
🔸 Remote Code Execution - Windows Hyper-V (CVE-2024-21407). Эту "guest-to-host escape" уязвимость подсветили вообще все: Qualys, Tenable, Rapid7, ZDI.
🔸 Remote Code Execution - Microsoft Exchange (CVE-2024-26198). Уязвимость типа "DLL loading". Детали пока неясны, но я не удивлюсь если по ней скоро будет подробный write-up.

🗒 Отчёт Vulristics

Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

2 комментария

Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)
Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

Свеженький Authentication Bypass - TeamCity (CVE-2024-27198, CVE-2024-27199). Формально публичного PoC-а пока нет, но Rapid7 выпустили подробный write-up, так что ждем очень скоро. Они такими финтами славятся. 😉

Похожая уязвимость в TeamCity (CVE-2023-42793) активно эксплуатировалась в атаках в прошлом году. Посмотрим как будет на этот раз. 🫠

Уязвимы все версии меньше 2023.11.4. Обновляйтесь! 😇

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023

Добавить комментарий

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023
Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023. Уязвимость позволяет получать привилегии SYSTEM. С сентября 2023 eсть PoC на гитхабе.

Вот как оно бывает. Была ничем не примечательная уязвимость с небольшим CVSS, которую в момент выхода июньского Microsoft Patch Tuesday только Qualys мельком подсветили. А потом бамс - оказывается и уязвимый компонент другой, и уязвимость успешно эксплуатируется. 🤷‍♂️

CheckPoint-ы пишут, что Raspberry Robin использует и Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802), но для неё признак эксплуатации вживую был в сентябрьском MSPT, так что не особо новость. Для этой уязвимости также есть PoC на GitHub.

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)

1 комментарий

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)
Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338)

Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338). Исследователи из Avast выпустили write-up, в котором утверждают, что уязвимость эксплуатировалась злодеями из Lazarus. Microsoft также выставили признак эксплуатации вживую для этой уязвимости.

В момент публикации февральского Microsoft Patch Tuesday никто не давал специальных рекомендаций обращать внимание именно на эту уязвимость. 🤷‍♂️ Мельком упомянули только Qualys и Tenable. Я тоже не сказать, чтобы выносил в ТОП, но в посте упомянул среди остальных EoP в ядре. 😎 Но вообще такое фиг угадаешь. 🐈‍⬛

Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера

1 комментарий

Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера
Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера

Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера. Но интересно другое. Какую уязвимость они используют для первоначального доступа? А всё ту же Remote Code Execution - WinRAR (CVE-2023-38831), что и в ноябре прошлого года. Видимо всё ещё норм работает. 🤷‍♂️ Уязвимость активно эксплуатируется с апреля прошлого года, а публичный PoC доступен с августа прошлого года.

Безусловно, возиться с обновлением/удалением/запрещением WinRAR-а на десктопах это не та задача, которой хотелось бы заниматься прошаренному безопаснику, но именно такие уязвимости в реальности эксплуатируются злодеями. 😏

"Лично я люблю землянику со сливками, но рыба почему-то предпочитает червяков. Вот почему, когда я иду на рыбалку, я думаю не о том, что люблю я, а о том, что любит рыба." (с) Дейл Карнеги

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

Добавить комментарий

Прожектор по ИБ, выпуск №24 (24.02.2024): Душнилово про уязвимости, банки и никакого рэпа

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"

По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥

00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями
01:47 Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами
03:50 Можно ли верить Shadowserver, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shadowserver и Shodan?
09:38 Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа
11:54 "Operation Cronos" против группировки вымогателей LockBit, возможная эксплуатация уязвимости Remote Code Execution - PHP (CVE-2023-3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!")
17:11 Февральский Linux Patch Wednesday и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂
21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Security Report".
25:20 RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709)
29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима)
36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению payload-ов в пароли на случай утечек. 😉
40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали?
46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников
51:53 Операторы программы-вымогателя Cactus украли 1,5 ТБ внутренних данных техногиганта Schneider Electric
55:53 Прощание от Mr. X

Надо бы написать что-то про RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709), но очень влом

2 комментария

Надо бы написать что-то про RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709), но очень вломНадо бы написать что-то про RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709), но очень вломНадо бы написать что-то про RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709), но очень вломНадо бы написать что-то про RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709), но очень влом

Надо бы написать что-то про RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709), но очень влом. 🫠

🔻 Это поделье для удаленного доступа от компании ConnectWise. Конкуренты TeamViewer-а. Уровень даже по сайту видно. 🙈
🔻 В понедельник они выпустили бюллетень про критичные уязвимости. В среду уязвимости довели до практической эксплуатации. В видео демке натравляют скрипт на тестовый хост и выполняют код (создают тестовый файл). 💥 На GitHub уже доступно несколько PoC-ов.
🔻 Злоумышленники, естественно, побежали эксплуатировать такую удобную дырень. В CISA KEV требуют обновиться до конца месяца.

❓ А насколько это для России актуально? А никак не актуально. Shadowserver в CША видит 6426 серверов, в РФ 5 (пять). По Shodan +- также. 🤷‍♂️

Так что, как и в случае с Ivanti, смотрим как передовой западный мир в очередной раз мастерски выполняет стойку на ушах. 👂 И тихо радуемся, что нам такого счастья не завозили и, скорее всего, уже не завезут. 😉