Майский выпуск "В тренде VM": уязвимости в Microsoft Windows и фреймворке Erlang/OTP. Традиционная ежемесячная подборка. 🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего 4 трендовые уязвимости:
🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)
🔻 Elevation of Privilege - Windows Process Activation (CVE-2025-21204)
🔻 Spoofing - Windows NTLM (CVE-2025-24054)
🔻 Remote Code Execution - Erlang/OTP (CVE-2025-32433)
Про уязвимость Remote Code Execution - 7-Zip (BDU:2025-01793). Уязвимость заключается в том, что при распаковке файлов из скачанного архива на них не проставляется метка Mark-of-the-Web. Поэтому запуск распакованного зловреда не будет блокироваться механизмами безопасности Windows. Если помните, в январе была похожая уязвимость CVE-2025-0411. Там проблема была с запуском файлов из интерфейса архиватора, её пофиксили. А в данном случае проблема с полностью распакованными архивами. И эту проблему ИСПРАВЛЯТЬ НЕ БУДУТ! 🤷♂️
Автор утилиты Игорь Павлов ответил нашему коллеге Константину Дымову, что отсутствие простановки Mark-of-the-Web по умолчанию это фича. Изменять дефолты они не будут. Чтобы метка проставлялась, нужно выставить опцию "" в "".
Если в вашей организации используется 7-Zip, имейте в виду такое небезопасное поведение по умолчанию. Либо делайте харденинг, либо заменяйте 7-Zip на другое решение.
Майский Microsoft Patch Tuesday. Всего 93 уязвимости ~ в 1.5 раза меньше, чем в апреле. Из них 22 были добавлены между апрельским и майским MSPT. Есть 5 уязвимостей с признаками эксплуатации вживую:
🔻 EoP - Microsoft DWM Core Library (CVE-2025-30400)
🔻 EoP - Windows CLFS Driver (CVE-2025-32701, CVE-2025-32706)
🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-32709)
🔻 Memory Corruption - Scripting Engine (CVE-2025-30397). RCE при клике на зловредную ссылку. Для эксплуатации требуется опция "Allow sites to be reloaded in Internet Explorer".
Уязвимостей с публичными эксплоитами пока нет.
Из остальных можно выделить:
🔹 RCE - Remote Desktop Client (CVE-2025-29966, CVE-2025-29967), Office (CVE-2025-30377, CVE-2025-30386), Graphics Component (CVE-2025-30388), Visual Studio (CVE-2025-32702)
🔹 EoP - Kernel Streaming (CVE-2025-24063), CLFS Driver (CVE-2025-30385)
Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824). Уязвимость из апрельского Microsoft Patch Tuesday. Уязвимость позволяет злоумышленнику, работающему под учетной записью обычного пользователя, повысить свои привилегии до уровня SYSTEM.
🔻 Согласно Microsoft, уязвимость использовалась в атаках на организации в США, Венесуэле, Испании и Саудовской Аравии. Эксплойт был встроен в малварь PipeMagic, используемую группировкой Storm-2460 для распространения шифровальщиков.
🔻 7 мая исследователи Symantec сообщили технические подробности по ещё одному эксплоиту для этой уязвимости от группировки Balloonfly (использующей шифровальщик Play). Эксплойт применялся до 8 апреля в атаке на организацию из США.
👾 А есть ли публичные эксплоиты? БДУ ФСТЭК считает, что да. NVD тоже приводит "ссылки на эксплоиты", но там скрипты для детекта и митигации. 🤷♂️ В сплоитпаках и на GitHub пока пусто.
Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054). Эта уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Было известно только то, что уязвимость эксплуатируется через взаимодействие жертвы со зловредным файлом.
Через месяц, 16 апреля в блоге Check Point вышел пост с техническими деталями. Там сообщается, что для эксплуатации этой уязвимости используются зловредные файлы…
✋ Минуточку, а ведь в мартовском MSPT была трендовая уязвимость CVE-2025-24071, связанная с такими файлами. 🤔 Выясняется, что это ТА ЖЕ САМАЯ уязвимость. 🤪 CheckPoint сообщают: "Microsoft had initially assigned the vulnerability the CVE identifier CVE-2025-24071, but it has since been updated to CVE-2025-24054". Бардак. 🤷♂️ Так что по технике переадресую к прошлому посту.
👾 Начиная с 19 марта, Check Point отследили около 11 кампаний направленных на сбор NTLMv2-SSP хешей, эксплуатирующих эту уязвимость.
Про уязвимость Elevation of Privilege - Windows Process Activation (CVE-2025-21204). Уязвимость из апрельского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Это уязвимость в компоненте Windows Update Stack. Она связана с неверным определением ссылки перед доступом к файлу (CWE-59).
🔻 14 апреля исследователь Elli Shlomo (CYBERDOM) выложил техническое описание уязвимости и код эксплоита для получения привилегий SYSTEM. Однако 27 апреля, после сообщений о неработоспособности эксплоита, он его удалил, пообещав доработать. 🤔 Эксплуатабельность пока под вопросом.
🔻 22 апреля исследователь Kevin Beaumont сообщил, что исправление этой уязвимости, связанное с созданием папки приводит к новой уязвимости отказа в обслуживании, позволяющей пользователям без привилегий администратора блокировать установку обновлений безопасности Windows. В Microsoft ему ответили, что оперативно исправлять это не будут. 🤷♂️ Пока стоит решать это настройкой мониторинга.
Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat. По видяшкам берём паузу, пока только текстом. 🤷♂️🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего 11 трендовых уязвимостей:
🔻 Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)
🔻 Четыре эксплуатируемые уязвимости Windows из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)
🔻 Три уязвимости VMware "ESXicape" (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
🔻 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔻 Remote Code Execution - Kubernetes (CVE-2025-1974)
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.