Изменение в февральском Microsoft Patch Tuesday: на 3 место поднимается Elevation of Privilege - Windows Kernel (CVE-2024-21338). Исследователи из Avast выпустили write-up, в котором утверждают, что уязвимость эксплуатировалась злодеями из Lazarus. Microsoft также выставили признак эксплуатации вживую для этой уязвимости.
В момент публикации февральского Microsoft Patch Tuesday никто не давал специальных рекомендаций обращать внимание именно на эту уязвимость. 🤷♂️ Мельком упомянули только Qualys и Tenable. Я тоже не сказать, чтобы выносил в ТОП, но в посте упомянул среди остальных EoP в ядре. 😎 Но вообще такое фиг угадаешь. 🐈⬛
Бизоны пишут, что злодеи из Mysterious Werewolf начали использовать новый кастомный бэкдор RingSpy, написанный на Python и использующий бота в Telegram в качестве командного сервера. Но интересно другое. Какую уязвимость они используют для первоначального доступа? А всё ту же Remote Code Execution - WinRAR (CVE-2023-38831), что и в ноябре прошлого года. Видимо всё ещё норм работает. 🤷♂️ Уязвимость активно эксплуатируется с апреля прошлого года, а публичный PoC доступен с августа прошлого года.
Безусловно, возиться с обновлением/удалением/запрещением WinRAR-а на десктопах это не та задача, которой хотелось бы заниматься прошаренному безопаснику, но именно такие уязвимости в реальности эксплуатируются злодеями. 😏
"Лично я люблю землянику со сливками, но рыба почему-то предпочитает червяков. Вот почему, когда я иду на рыбалку, я думаю не о том, что люблю я, а о том, что любит рыба." (с) Дейл Карнеги
По-моему классный получился выпуск. Особенно здорово было послушать мнение Антона про уязвимости, сервисы сканирования интернета и борьбу с утечками. 👍😊🔥
00:00 Здороваемся, смотрим статистику, призываем всех подписываться, ставить лайки и шарить выпуск с друзьями 01:47 Для уязвимости Remote Code Execution - Microsoft Outlook (CVE-2024-21413) появился PoC на GitHub, который скорее всего уже используется в атаках и RedTeam-ерами 03:50 Можно ли верить Shadowserver, что большая часть уязвимых Exchange серверов находится в Германии? И что там с российскими аналогами Shadowserver и Shodan? 09:38 Уязвимость Cisco ASA (CVE-2020-3259), обнаруженная исследователями Positive Technologies 4 года назад, используется шифровальщиком Akira для получения первоначального доступа 11:54 "Operation Cronos" против группировки вымогателей LockBit, возможная эксплуатация уязвимости Remote Code Execution - PHP (CVE-2023-3824) и насколько адекватно кодить на PHP в 2024 ("PHP снова жив!") 17:11 Февральский Linux Patch Wednesday и конспирология вокруг DNSSEC и Qualys-овских уязвимостей glibc 🙂 21:47 CVE-шки, которые упоминаются в "Check Point 2024 Cyber Security Report". 25:20 RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709) 29:18 Поминаем Кивятничек и, ВНЕЗАПНО, обсуждаем стратегии инвестирования в акции/облигации (кулстори от Антона и Максима) 36:32 Перевозчиков хотят обязать передавать в единую базу много разных данных о пассажирах. Здесь же эксклюзивные рекомендации от Антона по добавлению payload-ов в пароли на случай утечек. 😉 40:55 Обратная новость: проект по запрету сбора избыточной информации о гражданах. Будет ли это работать и как сделать так, чтобы персональные данные не утекали? 46:53 «Тинькофф» научился выявлять заявки на кредиты, поданные под влиянием мошенников 51:53 Операторы программы-вымогателя Cactus украли 1,5 ТБ внутренних данных техногиганта Schneider Electric 55:53 Прощание от Mr. X
Надо бы написать что-то про RCE в ScreenConnect (CVE-2024-1708, CVE-2024-1709), но очень влом. 🫠
🔻 Это поделье для удаленного доступа от компании ConnectWise. Конкуренты TeamViewer-а. Уровень даже по сайту видно. 🙈 🔻 В понедельник они выпустили бюллетень про критичные уязвимости. В среду уязвимости довели до практической эксплуатации. В видео демке натравляют скрипт на тестовый хост и выполняют код (создают тестовый файл). 💥 На GitHub уже доступно несколько PoC-ов. 🔻 Злоумышленники, естественно, побежали эксплуатировать такую удобную дырень. В CISA KEV требуют обновиться до конца месяца.
❓ А насколько это для России актуально? А никак не актуально. Shadowserver в CША видит 6426 серверов, в РФ 5 (пять). По Shodan +- также. 🤷♂️
Так что, как и в случае с Ivanti, смотрим как передовой западный мир в очередной раз мастерски выполняет стойку на ушах. 👂 И тихо радуемся, что нам такого счастья не завозили и, скорее всего, уже не завезут. 😉
🔸 17 с формальным признаком активной эксплуатации и только 3 без признака (в Microsoft Message Queuing). 🔸 Публичные PoC-и есть для всего, кроме RCE в Cisco IOS (CVE-2017-6742), AuthBypass в Cisco ASA (CVE-2023-20269) и DoS в Microsoft Message Queuing (CVE-2023-21769, CVE-2023-28302).
Прошла третья среда месяца, а значит пора смотреть февральский Linux Patch Wednesday. 149 уязвимостей. Среди них нет уязвимостей с признаком активной эксплуатации. 20 уязвимостей с PoC-ами/эксплоитами. На первый взгляд все громкие уязвимости прошедшего месяца на месте:
🔻 Elevation of Privilege - GNU C Library (CVE-2023-6246). Это очередная уязвимость glibc, которую нашли Qualys. 🔻 Information Disclosure - runc (CVE-2024-21626). Побег из контейнера. 🔻 Denial of Service - dnsmasq (CVE-2023-50387). Это про атаку 'KeyTrap' на DNSSEC. 🔻 Authentication Bypass - Sudo (CVE-2023-42465). Про эту новостей не видел, её запатчили в RPM-based дистрибах на прошлой неделе.
В нескольких источниках пишут, что в операции Cronos против LockBit могла эксплуатироваться уязвимость Remote Code Execution - PHP (CVE-2023-3824). Для уязвимости есть PoC buffer overflow на GitHub, но признаков эксплуатации вживую с докруткой до RCE до сегодняшнего дня не было.
Если выяснится, что действительно эта уязвимость эксплуатировалась, то это будет очередным подтверждением старой истины: не ждите пока PoC доведут до боевого эксплоита и появятся железобетонные доказательства эксплуатации уязвимости вживую, обновляйтесь загодя!
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.