Архив метки: Windows

Трендовые уязвимости июня по версии Positive Technologies

1 комментарий

Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)

Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088)

Добавить комментарий

Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088)

Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088). Уязвимость свежая, из июньского Microsoft Patch Tuesday. Я её выделял в обзоре, так как для неё, согласно CVSS вектору, существовал приватный Proof-of-Concept Exploit. Но подробностей не было. Было ясно только то, что в случае успешной эксплуатации, злоумышленник может получить привилегии SYSTEM. Согласно бюллетеню ZDI, уязвимость затрагивает реализацию NtQueryInformationToken и заключается в отсутствии правильной блокировки при выполнении операций над объектом.

24 июня, через 2 недели после июньского Patch Tuesday, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC-ом эксплоита. Также доступно видео с запуском утилиты для получения привилегий SYSTEM.

В последнее время EoP/LPE уязвимости Windows очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169)

2 комментария

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169)

Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169). В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM. Уязвимость была исправлена в мартовском Microsoft Patch Tuesday. Как это частенько бывает, тогда эту уязвимость никто не выделял. 🤷‍♂️

Однако, через 3 месяца, 12 июня, исследователи Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔

13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.

Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений - лучше.

Резко повысилась критичность уязвимости Elevation of Privilege - Windows CSC Service (CVE-2024-26229)

4 комментария

Резко повысилась критичность уязвимости Elevation of Privilege - Windows CSC Service (CVE-2024-26229)

Резко повысилась критичность уязвимости Elevation of Privilege - Windows CSC Service (CVE-2024-26229). Уязвимость из апрельского Microsoft Patch Tuesday. В апреле эту уязвимость вообще никто не подсвечивал.

"На Танечку внимания никто не обращал" ©

Microsoft про неё писали "Exploitation Less Likely". Известно было только то, что в случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.

Но через 2 месяца, 10 июня, на GitHub появился рабочий эксплоит. 🤷‍♂️ Сюрприз! Критичность уязвимости скачкообразно повысилась.

Можно было это как-то прогнозировать? Имхо, вообще никак. Ещё одно подтверждение, что прогнозирование трендовости это, конечно, хорошо и правильно, но регулярный безусловный патчинг согласно установленному SLA (AIT) не отменяет.

Небольшая подробность. Автор эксплоита уточнил CWE уязвимости.

Было: CWE-122 - Heap-based Buffer Overflow

Стало: CWE-781 - Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code

Июньский Microsoft Patch Tuesday

2 комментария

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tuesday. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tuesday. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.

Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.

В профильных СМИ обращают внимание на эти 2:

🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷‍♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.

На что ещё можно обратить внимание:

🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷‍♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.

🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday

Уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) используется в атаках шифровальщиков

1 комментарий

Уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) используется в атаках шифровальщиков

Уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) используется в атаках шифровальщиков. О самой уязвимости у меня уже был пост в субботу. Теперь же исследователи Imperva Threat Research сообщают, что эта уязвимость используется злоумышленниками для доставки зловреда, идентифицированого как компонент шифровальщике TellYouThePass.

⏳ Атаки были замечены 8 июня, менее чем через 48 часов после выпуска патча от разработчиков PHP. В атаках использовался эксплоит, который к тому времени уже был публично доступен.

Атаки с использованием TellYouThePass отмечаются с 2019 года. Они нацелены на организации и частных лиц. Злоумышленники шифруют и Windows, и Linux инфраструктуру.

Какие можно сделать выводы? Если видите уязвимость с публичным эксплоитом и более-менее понятным вектором эксплуатации - не поленитесь запатчить её как можно быстрее. Потому что злоумышленники точно не поленятся добавить этот эксплоит в свою малварь. 😉

Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом

2 комментария

Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом

Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом. CVSS 9.8. 6 июня разработчики PHP выпустили обновление для устранения RCE-уязвимости, которая связана с функцией преобразования кодировки Best-Fit в операционной системе Windows. Уязвимость позволяет неаутентифицированному злоумышленнику, выполняющему argument injection атаку, обойти защиту от старой активно эксплуатируемой RCE-уязвимости CVE-2012-1823 с помощью определенных последовательностей символов и выполнить произвольный код. Эксплоиты для уязвимости уже доступны на GitHub. Shadowserver Foundation отмечает активные сканирования, направленные на обнаружения уязвимых хостов. 👾

Уязвимость затрагивает все версии PHP, установленные в операционной системе Windows.

🔻 PHP 8.3 8.3.8
🔻 PHP 8.2 8.2.20
🔻 PHP 8.1 8.1.29 Версии PHP 8.0, PHP 7 и PHP 5 также уязвимы, но они уже в End-of-Life и не поддерживаются. 🤷‍♂️ Отдельно подчеркивается, что все инсталляции XAMPP также уязвимы по умолчанию. XAMPP - это популярная кроссплатформенная сборка локального веб-сервера, содержащая Apache, MariaDB, PHP, Perl и большое количество дополнительных библиотек. В случае, если обновление до актуальной версии PHP невозможно, исследователи из компании DEVCORE предлагают конфигурации для противодействия эксплуатации уязвимости. Однако эти рекомендации касаются инсталляций на Windows с определенными языковыми локалями (Traditional Chinese, Simplified Chinese, Japanese), для которых эксплуатация уязвимости была подтверждена. На других локалях из-за широкого спектра сценариев использования PHP в настоящее время невозможно полностью перечислить и исключить все потенциальные сценарии эксплуатации уязвимости. Поэтому пользователям рекомендуется провести комплексную оценку активов, проверить сценарии использования PHP и обновить PHP до последней версии.