Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday. Всего в августовском MSPT было 3 EoP с признаками эксплуатации вживую. У них идентичные описания: злоумышленник может поднять права на хосте до уровня SYSTEM. Уязвимость в Windows Kernel эксплуатировать сложнее, т.к. нужно выиграть race condition.
Только для EoP в Windows Ancillary Function Driver (AFD.sys) есть информация, кто именно её эксплуатирует. Эксплуатирует её известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, компании стоящей за антивирусами Avira и Avast. Для нейтрализации ИБ продуктов в процессе атаки злоумышленники Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то хост полностью защищён и обновлять его уже необязательно. 😏
Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. 2 недели назад я уже писал почему она потенциально опасна. Теперь опасность значительно повысилась:
🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.
Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. Эксплоитов и признаков эксплуатации вживую пока не видно, но описание уязвимости выглядит страшновато. 😱
Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".
🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏 🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷♂️
Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱
Августовский Microsoft Patch Tuesday. 130 CVE, из которых 45 были добавлены с июльского MSPT.
В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂
6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.
🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107) 🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213) 🔻 RCE - Microsoft Project (CVE-2024-38189) 🔻 RCE - Scripting Engine (CVE-2024-38178)
Другие:
🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat 🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199) 🔹 Очень много EoP в компонентах Windows (~26)
Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.
Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷♂️
9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.
Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷♂️ В интранетах их должно быть без счёта.
❗️ Выглядит как долгоиграющая трендовая история.
Исследователи обещают нам ещё BadLicense и DeadLicense. 😉
No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех! Поверь мне, это так. Защищает он лучше всех От любых кибератак. Проактивный подход, Секретное оружие: Не справится хакер, Если ОСь не загружена!
Припев: Синий экран отражает атаки! No boot - No Hacker! No boot - No Hacker!
CrowdStrike работает по лучшей из схем, С которой не может быть никаких проблем! На ваших хостах Falcon сенсоры. Их привилегии максимальны. А CrowdStrike управляют ими из своих облаков. И это нормально! (Якобы…) Команда CrowdStrike даже ночью не спит, Автоматом заливает вам Rapid Response Content "at operational speed". (Когда захочет…)
И если вам кажется, что всё это как-то страшновато, Не переживайте: CrowdStrike пропускает контент через валидатор! (Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали… Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали… (Пока что…) За полтора часа сломать 8.5 миллионов хостов - задача нелегка… С таким не справится устаревший онпрем, для такого нужны облака…
А если серьёзно… В 22-ом CrowdStrike из России ушёл… И, как по мне, это очень, очень, ну просто ооочень хорошо!
По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor.
🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.
🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.
🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.
Что сказать? Фейл эпичнейший.
🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.
🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.