Архив метки: Windows

Про уязвимость Elevation of Privilege - Windows Kernel (CVE-2025-62215)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Kernel (CVE-2025-62215)

Про уязвимость Elevation of Privilege - Windows Kernel (CVE-2025-62215). Уязвимость из ноябрьского Microsoft Patch Tuesday. Эксплуатация уязвимости позволяет локальному злоумышленнику получить привилегии SYSTEM. Причина уязвимости - Race Condition (CWE-362) и двойное освобождение памяти (CWE-415).

⚙️ Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.

👾 Microsoft сообщили об эксплуатации уязвимости в реальных атаках 11 ноября в рамках MSPT, и на следующий день уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.

🛠 Публичные эксплоиты доступны на GitHub с 18 ноября.

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Добавить комментарий

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года. Я выделял не самые критичные уязвимости (все они самые критичные!), а скорее самые интересные и разнообразные. И это, безусловно, субъективная оценка.

Материал забрали в середине лета, поэтому были все шансы, что до конца года появится что-то интересное. Так и получилось. 😅 Сейчас на первое место я бы поставил:

🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704, CVE-2025-53770). С этой уязвимостью были связаны самые громкие атаки. 😉

Уязвимости из статьи:

🔻 RCE - CommuniGate Pro (BDU:2025-01331)
🔻 RCE & AFR - Apache HTTP Server (CVE-2024-38475)
🔻 RCE - Erlang/OTP (CVE-2025-32433)
🔻 RCE - Internet Shortcut Files (CVE-2025-33053)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)

Ноябрьский "В тренде VM": уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux

Добавить комментарий

Ноябрьский В тренде VM: уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux

Ноябрьский "В тренде VM": уязвимости Windows, SharePoint, Redis, XWiki, Zimbra Collaboration и Linux. Традиционная ежемесячная подборка. После нескольких месяцев относительного затишья снова большой выпуск. 🔥

🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT

Всего девять уязвимостей:

🔻 RCE - Windows Server Update Services (WSUS) (CVE-2025-59287)
🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704)
🔻 RCE - Windows LNK File (CVE-2025-9491)
🔻 EoP - Windows Remote Access Connection Manager (CVE-2025-59230)
🔻 EoP - Windows Agere Modem Driver (CVE-2025-24990)
🔻 RCE - Redis "RediShell" (CVE-2025-49844)
🔻 RCE - XWiki Platform (CVE-2025-24893)
🔻 XSS - Zimbra Collaboration (CVE-2025-27915)
🔻 EoP - Linux Kernel (CVE-2025-38001)

🟥 Портал трендовых уязвимостей

Ноябрьский Microsoft Patch Tuesday

Добавить комментарий

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday. Всего 65 уязвимостей. Я не буду сравнивать с октябрьским отчётом, т.к. пока решил выпускать отчёты только по уязвимостям, опубликованным в день MSPT. Дело в том, что Microsoft начали массово заводить на официальном сайте уязвимости Linux-продуктов, которые засоряют "расширенные" MSPT отчёты. 🤷‍♂️

Есть одна уязвимость с признаком эксплуатации вживую:

🔻 EoP - Windows Kernel (CVE-2025-62215)

Уязвимостей с публичными эксплоитами пока нет. Из остальных уязвимостей можно выделить:

🔹 RCE - GDI+ (CVE-2025-60724), Microsoft Office (CVE-2025-62199), Microsoft Office (CVE-2025-62205, CVE-2025-62216), Agentic AI and Visual Studio Code (CVE-2025-62222), Visual Studio (CVE-2025-62214)
🔹 EoP - Windows Client-Side Caching (CVE-2025-60705), Windows Ancillary Function Driver for WinSock (CVE-2025-60719, CVE-2025-62213, CVE-2025-62217), Microsoft SQL Server (CVE-2025-59499)

🗒 Полный отчёт Vulristics

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491). Уязвимость в механизме обработки ярлыков Microsoft Windows (.LNK) позволяет скрывать зловредные аргументы командной строки в поле Target пробельными символами, что делает визуальную проверку .LNK файла стандартными средствами невозможной. Запуск такого файла приводит к выполнению произвольного кода.

🔻 Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. 🤷‍♂️ 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.

👾 18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.

🛠 Метод модификации .LNK файлов описан в отчёте Trend Micro.

Про уязвимость Elevation of Privilege - Windows Agere Modem Driver (CVE-2025-24990)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Agere Modem Driver (CVE-2025-24990)

Про уязвимость Elevation of Privilege - Windows Agere Modem Driver (CVE-2025-24990). Уязвимость из октябрьского Microsoft Patch Tuesday. Agere Modem Driver (ltmdm64.sys) - это программный компонент, который позволяет компьютеру взаимодействовать с модемом Agere (или LSI) для коммутируемого (dial-up) или факсимильного соединения. 📠🙄 Несмотря на сомнительную практическую полезность, драйвер продолжал поставляться в составе операционных систем Windows. Локальный злоумышленник, успешно воспользовавшийся уязвимостью в этом драйвере, может получить права администратора.

⚙️ Накопительное обновление Microsoft от 14 октября удаляет этот драйвер из системы.

🛠 16 октября для уязвимости был опубликован эксплойт на GitHub. Автор сообщает, что драйвер поставлялся ещё с Windows Vista. В Microsoft знали о проблеме как минимум с 2014 года (11 лет ❗️), но игнорировали её. 🤷‍♂️

👾 22 октября эту уязвимость добавили в CISA KEV, подробности по атакам пока неизвестны.

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287)

Про уязвимость Remote Code Execution - Windows Server Update Services (WSUS) (CVE-2025-59287). WSUS - легаси компонент Windows Server, который позволяет IT-администраторам управлять загрузкой и установкой обновлений продуктов Microsoft на компьютерах в локальной сети. Суть уязвимости: неаутентифицированный удалённый злоумышленник может запустить код с привилегиями SYSTEM на Windows-сервере с включенной WSUS Server Role (по умолчанию она выключена), отправив на него специально подготовленные POST-запросы. Это возможно из-за ошибки десериализации недоверенных данных.

⚙️ Первоначально исправления вышли 14 октября в рамках октябрьского Microsoft Patch Tuesday.

🛠 С 18 октября на GitHub доступен публичный эксплойт.

⚙️ 24 октября Microsoft выпустили дополнительные исправления для полного устранения уязвимости (требуют перезагрузки сервера).

👾 24 октября уязвимость добавили в CISA KEV, есть сообщения о зафиксированных попытках эксплуатации уязвимости.