Архив метки: Windows

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071)

Добавить комментарий

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071)

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071). Уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Спустя неделю, 18 марта, в блоге исследователя 0x6rss вышел write-up по этой уязвимости и PoC эксплоита. По его словам, уязвимость активно эксплуатируется вживую и, возможно, эксплойт для этой уязвимости продавался в даркнете с ноября прошлого года.

В чём суть. Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удалённую SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2 хеш, побрутить его или использовать в атаках pass-the-hash.

Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно.

Супер-эффективно для фишинга. 😱

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом

Добавить комментарий

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей

Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!

Мартовский Microsoft Patch Tuesday

Добавить комментарий

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. 77 CVE, из которых 20 были добавлены в течение месяца. В этот раз целых 7 уязвимостей с признаками эксплуатации вживую:

🔻 RCE - Windows Fast FAT File System Driver (CVE-2025-24985)
🔻 RCE - Windows NTFS (CVE-2025-24993)
🔻 SFB - Microsoft Management Console (CVE-2025-26633)
🔻 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24983)
🔻 InfDisc - Windows NTFS (CVE-2025-24991, CVE-2025-24984)
🔻 AuthBypass - Power Pages (CVE-2025-24989) - в веб-сервисе Microsoft, можно игнорить

Уязвимостей с публичными эксплоитами нет, есть ещё 2 с приватными:

🔸 RCE - Bing (CVE-2025-21355) - в веб-сервисe Microsoft, можно игнорить
🔸 SFB - Windows Kernel (CVE-2025-21247)

Среди остальных можно выделить:

🔹 RCE - Windows Remote Desktop Client (CVE-2025-26645) and Services (CVE-2025-24035, CVE-2025-24045), MS Office (CVE-2025-26630), WSL2 (CVE-2025-24084)
🔹 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24044)

🗒 Полный отчёт Vulristics

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391)

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391). Уязвимость из февральского Microsoft Patch Tuesday. Windows Storage - это стандартный компонент, отвечающий за хранение данных на компьютере. В случае успешной эксплуатации, злоумышленник получает возможность удалять произвольные файлы. И, согласно исследованию ZDI, злоумышленник может использовать эту возможность для повышения своих прав в системе.

Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418). Уязвимость из февральского Microsoft Patch Tuesday. AFD.sys - это системный драйвер Windows, критически важный для процессов сетевого взаимодействия. Он предоставляет низкоуровневую функциональность для WinSock API, позволяя приложениям взаимодействовать с сетевыми сокетами.

Для эксплуатации уязвимости аутентифицированному атакующему необходимо запустить специально созданную программу, которая в конечном итоге выполняет код с привилегиями SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.

По описанию эта уязвимость очень похожа на прошлогоднюю уязвимость CVE-2024-38193, которая активно эксплуатировалась злоумышленниками из группировки Lazarus.

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet

Добавить комментарий

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

Февральский Microsoft Patch Tuesday

Добавить комментарий

Февральский Microsoft Patch Tuesday

Февральский Microsoft Patch Tuesday. 89 CVE, из которых 33 были добавлены с январского MSPT. 2 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 EoP - Windows Storage (CVE-2025-21391)

Уязвимостей с публичными эксплоитами нет, есть 7 с приватными:

🔸 RCE - Microsoft Edge (CVE-2025-21279, CVE-2025-21283)
🔸 Auth. Bypass - Azure (CVE-2025-21415)
🔸 EoP - Windows Setup Files Cleanup (CVE-2025-21419)
🔸 Spoofing - Windows NTLM (CVE-2025-21377)
🔸 Spoofing - Microsoft Edge (CVE-2025-21267, CVE-2025-21253)

Среди остальных можно выделить:

🔹 RCE - Windows LDAP (CVE-2025-21376), Microsoft Excel (CVE-2025-21381, CVE-2025-21387), Microsoft SharePoint Server (CVE-2025-21400), DHCP Client Service (CVE-2025-21379)
🔹 EoP - Windows Core Messaging (CVE-2025-21184, CVE-2025-21358, CVE-2025-21414), Windows Installer (CVE-2025-21373)

🗒 Полный отчёт Vulristics