Архив метки: Windows

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)

Про уязвимость Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824). Уязвимость из апрельского Microsoft Patch Tuesday. Уязвимость позволяет злоумышленнику, работающему под учетной записью обычного пользователя, повысить свои привилегии до уровня SYSTEM.

🔻 Согласно Microsoft, уязвимость использовалась в атаках на организации в США, Венесуэле, Испании и Саудовской Аравии. Эксплойт был встроен в малварь PipeMagic, используемую группировкой Storm-2460 для распространения шифровальщиков.

🔻 7 мая исследователи Symantec сообщили технические подробности по ещё одному эксплоиту для этой уязвимости от группировки Balloonfly (использующей шифровальщик Play). Эксплойт применялся до 8 апреля в атаке на организацию из США.

👾 А есть ли публичные эксплоиты? БДУ ФСТЭК считает, что да. NVD тоже приводит "ссылки на эксплоиты", но там скрипты для детекта и митигации. 🤷‍♂️ В сплоитпаках и на GitHub пока пусто.

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054)

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054)

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054). Эта уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Было известно только то, что уязвимость эксплуатируется через взаимодействие жертвы со зловредным файлом.

Через месяц, 16 апреля в блоге Check Point вышел пост с техническими деталями. Там сообщается, что для эксплуатации этой уязвимости используются зловредные файлы…

✋ Минуточку, а ведь в мартовском MSPT была трендовая уязвимость CVE-2025-24071, связанная с такими файлами. 🤔 Выясняется, что это ТА ЖЕ САМАЯ уязвимость. 🤪 CheckPoint сообщают: "Microsoft had initially assigned the vulnerability the CVE identifier CVE-2025-24071, but it has since been updated to CVE-2025-24054". Бардак. 🤷‍♂️ Так что по технике переадресую к прошлому посту.

👾 Начиная с 19 марта, Check Point отследили около 11 кампаний направленных на сбор NTLMv2-SSP хешей, эксплуатирующих эту уязвимость.

Про уязвимость Elevation of Privilege - Windows Process Activation (CVE-2025-21204)

Про уязвимость Elevation of Privilege - Windows Process Activation (CVE-2025-21204)

Про уязвимость Elevation of Privilege - Windows Process Activation (CVE-2025-21204). Уязвимость из апрельского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Это уязвимость в компоненте Windows Update Stack. Она связана с неверным определением ссылки перед доступом к файлу (CWE-59).

🔻 14 апреля исследователь Elli Shlomo (CYBERDOM) выложил техническое описание уязвимости и код эксплоита для получения привилегий SYSTEM. Однако 27 апреля, после сообщений о неработоспособности эксплоита, он его удалил, пообещав доработать. 🤔 Эксплуатабельность пока под вопросом.

🔻 22 апреля исследователь Kevin Beaumont сообщил, что исправление этой уязвимости, связанное с созданием папки приводит к новой уязвимости отказа в обслуживании, позволяющей пользователям без привилегий администратора блокировать установку обновлений безопасности Windows. В Microsoft ему ответили, что оперативно исправлять это не будут. 🤷‍♂️ Пока стоит решать это настройкой мониторинга.

Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

Апрельский выпуск В тренде VM: уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat. По видяшкам берём паузу, пока только текстом. 🤷‍♂️🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 11 трендовых уязвимостей:

🔻 Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)
🔻 Четыре эксплуатируемые уязвимости Windows из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)
🔻 Три уязвимости VMware "ESXicape" (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
🔻 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔻 Remote Code Execution - Kubernetes (CVE-2025-1974)

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday. Всего 153 уязвимости, в 2 раза больше, чем в марте. Из них 32 были добавлены между мартовским и апрельским MSPT. Есть 3 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Common Log File System Driver (CVE-2025-29824). Атакующий может получить привилегии SYSTEM. Подробностей пока нет.
🔻 SFB - Microsoft Edge (CVE-2025-2783). Побег из песочницы, есть PoC эксплоита.
🔻 RCE - Microsoft Edge (CVE-2025-24201). Изначально её заводили как уязвимость в WebKit для ОС от Apple. 🤷‍♂️

Также Microsoft исправляли уязвимости с эксплоитами в Kubernetes (CVE-2025-1974, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-24513)

Из остальных можно отметить:

🔹 RCE - LDAP (CVE-2025-26670, CVE-2025-26663), TCP/IP (CVE-2025-26686), Microsoft Office (CVE-2025-29794, CVE-2025-29793), RDS (CVE-2025-27480, CVE-2025-27482), Hyper-V (CVE-2025-27491)
🔹 SFB - Kerberos (CVE-2025-29809)

🗒 Полный отчёт Vulristics

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились в компьютере. Уязвимость этого драйвера, исправленная в рамках июньского Microsoft Patch Tuesday 2024 года, позволяет атакующему получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow (CWE-122).

🔻 Приватный эксплойт был представлен на конкурсе TyphoonPWN 2024 30 мая 2024 года. Его использовали в составе цепочки эксплоитов для осуществления побега из виртуальной машины под управлением VMware workstation (Guest-to-Host-Escape).

🔻 19 декабря 2024 года техническое описание и код эксплоита были опубликованы на сайте SSD Secure Disclosure.

🔻 3 марта в блоге Positive Technologies вышел пост, в котором рассматриваются корни уязвимости и техники эксплуатации.

Наступательный потенциал

Наступательный потенциал

Наступательный потенциал. К обсуждению вопроса о сокращении обучения ОС Windows за государственный счёт подключился Алексей Лукацкий с аргументом "А как потом проводить ̶н̶а̶с̶т̶у̶п̶а̶т̶е̶л̶ь̶н̶ы̶е̶ разведывательные операции в киберпространстве, если не останется тех, кто знает, как выглядит Windows? 🪟 А дыры искать в зарубежных продуктах как, если прописывают требования по их запрету?"

Продолжая аналогию с "огненной водой", аргумент можно перефразировать "в стране не будет учёных-наркологов, если не заставлять студентов употреблять горячительное". 🤪

Одно дело, когда группа узких специалистов изучает "силы и средства" потенциального противника для проведения работ в интересах государства. 👍🫡 И совсем другое, когда идёт массовое обучение студентов навыкам администрирования и разработки с использованием проприетарных средств, предоставленных потенциальным противником. 🙄 С внедрением этих средств в инфраструктуры организаций, включая КИИ. Это уже форменное безумие. 🤷‍♂️