Архив метки: Windows

Повышение критичности уязвимости Elevation of Privilege — Windows Kernel (CVE-2024–30088)

Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088)

Повышение критичности уязвимости Ele­va­tion of Priv­i­lege — Win­dows Ker­nel (CVE-2024–30088). Уязвимость свежая, из июньского Microsoft Patch Tues­day. Я её выделял в обзоре, так как для неё, согласно CVSS вектору, существовал приватный Proof-of-Con­cept Exploit. Но подробностей не было. Было ясно только то, что в случае успешной эксплуатации, злоумышленник может получить привилегии SYSTEM. Согласно бюллетеню ZDI, уязвимость затрагивает реализацию NtQuery­In­for­ma­tion­To­ken и заключается в отсутствии правильной блокировки при выполнении операций над объектом.

24 июня, через 2 недели после июньского Patch Tues­day, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC-ом эксплоита. Также доступно видео с запуском утилиты для получения привилегий SYSTEM.

В последнее время EoP/LPE уязвимости Win­dows очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.

Повышение критичности уязвимости Elevation of Privilege — Windows Error Reporting Service (CVE-2024–26169)

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169)

Повышение критичности уязвимости Ele­va­tion of Priv­i­lege — Win­dows Error Report­ing Ser­vice (CVE-2024–26169). В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM. Уязвимость была исправлена в мартовском Microsoft Patch Tues­day. Как это частенько бывает, тогда эту уязвимость никто не выделял. 🤷‍♂️

Однако, через 3 месяца, 12 июня, исследователи Syman­tec сообщили об атаках, связанных с известным шифровальщиком Black Bas­ta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔

13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.

Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений — лучше.

Резко повысилась критичность уязвимости Elevation of Privilege — Windows CSC Service (CVE-2024–26229)

Резко повысилась критичность уязвимости Elevation of Privilege - Windows CSC Service (CVE-2024-26229)

Резко повысилась критичность уязвимости Ele­va­tion of Priv­i­lege — Win­dows CSC Ser­vice (CVE-2024–26229). Уязвимость из апрельского Microsoft Patch Tues­day. В апреле эту уязвимость вообще никто не подсвечивал.

"На Танечку внимания никто не обращал" ©

Microsoft про неё писали "Exploita­tion Less Like­ly". Известно было только то, что в случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.

Но через 2 месяца, 10 июня, на GitHub появился рабочий эксплоит. 🤷‍♂️ Сюрприз! Критичность уязвимости скачкообразно повысилась.

Можно было это как-то прогнозировать? Имхо, вообще никак. Ещё одно подтверждение, что прогнозирование трендовости это, конечно, хорошо и правильно, но регулярный безусловный патчинг согласно установленному SLA (AIT) не отменяет.

Небольшая подробность. Автор эксплоита уточнил CWE уязвимости.

Было: CWE-122 — Heap-based Buffer Over­flow

Стало: CWE-781 — Improp­er Address Val­i­da­tion in IOCTL with METHOD_NEITHER I/O Con­trol Code

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tues­day. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tues­day. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.

Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.

В профильных СМИ обращают внимание на эти 2:

🔸 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (MSMQ) (CVE-2024–30080). У этой уязвимости большой CVSS Score — 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Win­dows серверов с включенным MSMQ. Очень похоже на прошлогоднюю Queue­Jumper (CVE-2023–21554).
🔸 Denial of Ser­vice — DNSSEC (CVE-2023–50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷‍♂️ Какой-то супер-критичности не вижу, но для MS Patch Tues­day такое редкость, видимо поэтому все пишут.

На что ещё можно обратить внимание:

🔸 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2024–30091), Win­dows Ker­nel (CVE-2024–30088, CVE-2024–30099) и Win­dows Cloud Files Mini Fil­ter Dri­ver (CVE-2024–30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Con­cept эксплоиты.
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30101). Это уязвимость Microsoft Out­look. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Out­look, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Pre­view Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race con­di­tion.
🔸 Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–30103). Панель предварительного просмотра (Pre­view Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷‍♂️
🔸 Remote Code Exe­cu­tion — Win­dows Wi-Fi Dri­ver (CVE-2024–30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Pre­view Pane) НЕ является вектором атаки.

🗒 Отчёт Vul­ris­tics по июньскому Microsoft Patch Tues­day

Уязвимость Remote Code Execution — PHP на Windows хостах (CVE-2024–4577) используется в атаках шифровальщиков

Уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) используется в атаках шифровальщиков

Уязвимость Remote Code Exe­cu­tion — PHP на Win­dows хостах (CVE-2024–4577) используется в атаках шифровальщиков. О самой уязвимости у меня уже был пост в субботу. Теперь же исследователи Imper­va Threat Research сообщают, что эта уязвимость используется злоумышленниками для доставки зловреда, идентифицированого как компонент шифровальщике Tel­lY­ouTheP­ass.

⏳ Атаки были замечены 8 июня, менее чем через 48 часов после выпуска патча от разработчиков PHP. В атаках использовался эксплоит, который к тому времени уже был публично доступен.

Атаки с использованием Tel­lY­ouTheP­ass отмечаются с 2019 года. Они нацелены на организации и частных лиц. Злоумышленники шифруют и Win­dows, и Lin­ux инфраструктуру.

Какие можно сделать выводы? Если видите уязвимость с публичным эксплоитом и более-менее понятным вектором эксплуатации — не поленитесь запатчить её как можно быстрее. Потому что злоумышленники точно не поленятся добавить этот эксплоит в свою малварь. 😉

Критическая уязвимость Remote Code Execution — PHP на Windows хостах (CVE-2024–4577) с публичным эксплоитом

Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом

Критическая уязвимость Remote Code Exe­cu­tion — PHP на Win­dows хостах (CVE-2024–4577) с публичным эксплоитом. CVSS 9.8. 6 июня разработчики PHP выпустили обновление для устранения RCE-уязвимости, которая связана с функцией преобразования кодировки Best-Fit в операционной системе Win­dows. Уязвимость позволяет неаутентифицированному злоумышленнику, выполняющему argu­ment injec­tion атаку, обойти защиту от старой активно эксплуатируемой RCE-уязвимости CVE-2012–1823 с помощью определенных последовательностей символов и выполнить произвольный код. Эксплоиты для уязвимости уже доступны на GitHub. Shad­owserv­er Foun­da­tion отмечает активные сканирования, направленные на обнаружения уязвимых хостов. 👾

Уязвимость затрагивает все версии PHP, установленные в операционной системе Win­dows.

🔻 PHP 8.3 8.3.8
🔻 PHP 8.2 8.2.20
🔻 PHP 8.1 8.1.29 Версии PHP 8.0, PHP 7 и PHP 5 также уязвимы, но они уже в End-of-Life и не поддерживаются. 🤷‍♂️ Отдельно подчеркивается, что все инсталляции XAMPP также уязвимы по умолчанию. XAMPP — это популярная кроссплатформенная сборка локального веб-сервера, содержащая Apache, Mari­aDB, PHP, Perl и большое количество дополнительных библиотек. В случае, если обновление до актуальной версии PHP невозможно, исследователи из компании DEVCORE предлагают конфигурации для противодействия эксплуатации уязвимости. Однако эти рекомендации касаются инсталляций на Win­dows с определенными языковыми локалями (Tra­di­tion­al Chi­nese, Sim­pli­fied Chi­nese, Japan­ese), для которых эксплуатация уязвимости была подтверждена. На других локалях из-за широкого спектра сценариев использования PHP в настоящее время невозможно полностью перечислить и исключить все потенциальные сценарии эксплуатации уязвимости. Поэтому пользователям рекомендуется провести комплексную оценку активов, проверить сценарии использования PHP и обновить PHP до последней версии.

Резко повысилась критичность относительно старой уязвимости Privilege Escalation — Microsoft Windows Print Spooler (CVE-2022–38028)

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028)

Резко повысилась критичность относительно старой уязвимости Priv­i­lege Esca­la­tion — Microsoft Win­dows Print Spool­er (CVE-2022–38028). Уязвимость была исправлена в рамках Microsoft Patch Tues­day в октябре 2022 года. CVSS 7.8. Никто эту уязвимость особо не выделял. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского NSA (Nation­al Secu­ri­ty Agency). Это случается достаточно редко. В таком состоянии уязвимость пребывала до 22 апреля 2024 г.

🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾

🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.

🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4–5 лет, а известно это стало только сейчас. 🤷‍♂️

🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022–38028, главная из которых это, безусловно, установка обновлений безопасности.

🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022–38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎

🔻 CISA добавили уязвимость CVE-2022–38028 в Known Exploit­ed Vul­ner­a­bil­i­ties каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.

➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.