Архив метки: Windows

Июньский Microsoft Patch Tuesday

Добавить комментарий

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tuesday. Всего 81 уязвимость, приблизительно столько же было и в мае. Из них 15 уязвимостей были добавлены между майским и июньским MSPT. Есть 3 уязвимости с признаками эксплуатации вживую:

🔻 RCE - WEBDAV (CVE-2025-33053). Уязвимость связана с использованием режима Internet Explorer в Microsoft Edge и других приложениях. Для эксплуатация жертва должна кликнуть на зловредный URL.
🔻 SFB - Chromium (CVE-2025-4664)
🔻 Memory Corruption - Chromium (CVE-2025-5419)

Для одной уязвимости на GitHub заявлен PoC, но работоспособность его сомнительна:

🔸 EoP - Microsoft Edge (CVE-2025-47181)

Из остальных можно выделить:

🔹 RCE - Microsoft Office (CVE-2025-47162, CVE-2025-47164, CVE-2025-47167, CVE-2025-47953), KPSSVC (CVE-2025-33071), SharePoint (CVE-2025-47172), Outlook (CVE-2025-47171)
🔹 EoP - SMB Client (CVE-2025-33073), CLFS (CVE-2025-32713), Netlogon (CVE-2025-33070)

🗒 Полный отчёт Vulristics

Про уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)

Добавить комментарий

Про уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706)

Про уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706). Обе уязвимости из майского Microsoft Patch Tuesday и для них сразу были признаки эксплуатации вживую. Common Log File System (CLFS) - это служба ведения журналов общего назначения, которая может использоваться программными клиентами, работающими в пользовательском режиме или режиме ядра.

Последствия эксплуатации этих уязвимостей идентичны: злоумышленник может получить привилегии SYSTEM. Идентичны и CVSS векторы (Base Score 7.8).

В чём различия? Тип ошибки: для CVE-2025-32701 это CWE-416: Use After Free, а для CVE-2025-32706 это CWE-20: Improper Input Validation. За информацию по CVE-2025-32701 благодарят MSTIC, а в случае CVE-2025-32706 - Google TIG и CrowdStrike ART.

Публичных эксплоитов пока нет. 🤷‍♂️ Подробностей по эксплуатации тоже. Но вполне вероятно, что уязвимости используют шифровальщики, как и EoP в CLFS (CVE-2025-29824) из апрельского MSPT. 😉

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)

Добавить комментарий

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400). Уязвимость, исправленная в рамках майского Microsoft Patch Tuesday, касается компонента Desktop Window Manager. Это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. В случае успешной эксплуатации злоумышленник может поднять свои привилегии до уровня SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую. Подробностей по атакам пока ещё нет.

Судя по секции Acknowledgements, эксплуатацию этой уязвимости обнаружили исследователи Microsoft Threat Intelligence Center. А они редко делятся подробностями. 🤷‍♂️ Придётся подождать, когда эксплуатацию уязвимости зафиксируют другие исследователи либо когда появится публичный эксплойт. Сейчас на GitHub есть один репозиторий с PoC-ом, но его работоспособность под большим вопросом. 🤔

Предыдущая активно эксплуатируемая EoP уязвимость в DWM Core Library (CVE-2024-30051) была устранена в мае прошлого года.

Про обновление third-party приложений через платформу оркестрации Windows Update

Добавить комментарий

Про обновление third-party приложений через платформу оркестрации Windows Update

Про обновление third-party приложений через платформу оркестрации Windows Update. Все мы знаем, что системные обновления Windows накатываются удобным и централизованным образом. А вот с обновлением прикладного ПО под Windows от разных вендоров - тут кто во что горазд. 🤪 Приложение могут самообновляться в фоне, могут показывать разнообразные нотификации. Могут ничего не показывать, оставляя отслеживание обновлений пользователям (или админам/VM-щикам организации). 😏

Microsoft решили поменять ситуацию, предложив разработчикам ПО инструмент, через который они могут описывать обновления своих продуктов и требования по их установке: скрипты для скачивания и установки, скрипт для завершения процессов перед установкой, необходимость перезагрузки и т.п. Такие обновления будут предлагаться пользователям к установке так же как и системные обновления Windows.

Концепция выглядит интересно. Другим вендорам ОС, в том числе отечественным, стоит присмотреться. 😉

Майский выпуск "В тренде VM": уязвимости в Microsoft Windows и фреймворке Erlang/OTP

Добавить комментарий

Майский выпуск В тренде VM: уязвимости в Microsoft Windows и фреймворке Erlang/OTP

Майский выпуск "В тренде VM": уязвимости в Microsoft Windows и фреймворке Erlang/OTP. Традиционная ежемесячная подборка. 🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 4 трендовые уязвимости:

🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)
🔻 Elevation of Privilege - Windows Process Activation (CVE-2025-21204)
🔻 Spoofing - Windows NTLM (CVE-2025-24054)
🔻 Remote Code Execution - Erlang/OTP (CVE-2025-32433)

Про уязвимость Remote Code Execution - 7-Zip (BDU:2025-01793)

Добавить комментарий

Про уязвимость Remote Code Execution - 7-Zip (BDU:2025-01793)

Про уязвимость Remote Code Execution - 7-Zip (BDU:2025-01793). Уязвимость заключается в том, что при распаковке файлов из скачанного архива на них не проставляется метка Mark-of-the-Web. Поэтому запуск распакованного зловреда не будет блокироваться механизмами безопасности Windows. Если помните, в январе была похожая уязвимость CVE-2025-0411. Там проблема была с запуском файлов из интерфейса архиватора, её пофиксили. А в данном случае проблема с полностью распакованными архивами. И эту проблему ИСПРАВЛЯТЬ НЕ БУДУТ! 🤷‍♂️

Автор утилиты Игорь Павлов ответил нашему коллеге Константину Дымову, что отсутствие простановки Mark-of-the-Web по умолчанию это фича. Изменять дефолты они не будут. Чтобы метка проставлялась, нужно выставить опцию "" в "".

Если в вашей организации используется 7-Zip, имейте в виду такое небезопасное поведение по умолчанию. Либо делайте харденинг, либо заменяйте 7-Zip на другое решение.

Майский Microsoft Patch Tuesday

Добавить комментарий

Майский Microsoft Patch Tuesday

Майский Microsoft Patch Tuesday. Всего 93 уязвимости ~ в 1.5 раза меньше, чем в апреле. Из них 22 были добавлены между апрельским и майским MSPT. Есть 5 уязвимостей с признаками эксплуатации вживую:

🔻 EoP - Microsoft DWM Core Library (CVE-2025-30400)
🔻 EoP - Windows CLFS Driver (CVE-2025-32701, CVE-2025-32706)
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-32709)
🔻 Memory Corruption - Scripting Engine (CVE-2025-30397). RCE при клике на зловредную ссылку. Для эксплуатации требуется опция "Allow sites to be reloaded in Internet Explorer".

Уязвимостей с публичными эксплоитами пока нет.

Из остальных можно выделить:

🔹 RCE - Remote Desktop Client (CVE-2025-29966, CVE-2025-29967), Office (CVE-2025-30377, CVE-2025-30386), Graphics Component (CVE-2025-30388), Visual Studio (CVE-2025-32702)
🔹 EoP - Kernel Streaming (CVE-2025-24063), CLFS Driver (CVE-2025-30385)

🗒 Полный отчёт Vulristics