Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.
Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷♂️
9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.
Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷♂️ В интранетах их должно быть без счёта.
❗️ Выглядит как долгоиграющая трендовая история.
Исследователи обещают нам ещё BadLicense и DeadLicense. 😉
No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех! Поверь мне, это так. Защищает он лучше всех От любых кибератак. Проактивный подход, Секретное оружие: Не справится хакер, Если ОСь не загружена!
Припев: Синий экран отражает атаки! No boot - No Hacker! No boot - No Hacker!
CrowdStrike работает по лучшей из схем, С которой не может быть никаких проблем! На ваших хостах Falcon сенсоры. Их привилегии максимальны. А CrowdStrike управляют ими из своих облаков. И это нормально! (Якобы…) Команда CrowdStrike даже ночью не спит, Автоматом заливает вам Rapid Response Content "at operational speed". (Когда захочет…)
И если вам кажется, что всё это как-то страшновато, Не переживайте: CrowdStrike пропускает контент через валидатор! (Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали… Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали… (Пока что…) За полтора часа сломать 8.5 миллионов хостов - задача нелегка… С таким не справится устаревший онпрем, для такого нужны облака…
А если серьёзно… В 22-ом CrowdStrike из России ушёл… И, как по мне, это очень, очень, ну просто ооочень хорошо!
По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor.
🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.
🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.
🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.
Что сказать? Фейл эпичнейший.
🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.
🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.
Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088). Уязвимость свежая, из июньского Microsoft Patch Tuesday. Я её выделял в обзоре, так как для неё, согласно CVSS вектору, существовал приватный Proof-of-Concept Exploit. Но подробностей не было. Было ясно только то, что в случае успешной эксплуатации, злоумышленник может получить привилегии SYSTEM. Согласно бюллетеню ZDI, уязвимость затрагивает реализацию NtQueryInformationToken и заключается в отсутствии правильной блокировки при выполнении операций над объектом.
24 июня, через 2 недели после июньского Patch Tuesday, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC-ом эксплоита. Также доступно видео с запуском утилиты для получения привилегий SYSTEM.
В последнее время EoP/LPE уязвимости Windows очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.
Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169). В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM. Уязвимость была исправлена в мартовском Microsoft Patch Tuesday. Как это частенько бывает, тогда эту уязвимость никто не выделял. 🤷♂️
Однако, через 3 месяца, 12 июня, исследователи Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔
13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.
Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений - лучше.
Резко повысилась критичность уязвимости Elevation of Privilege - Windows CSC Service (CVE-2024-26229). Уязвимость из апрельского Microsoft Patch Tuesday. В апреле эту уязвимость вообще никто не подсвечивал.
Microsoft про неё писали "Exploitation Less Likely". Известно было только то, что в случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.
Но через 2 месяца, 10 июня, на GitHub появился рабочий эксплоит. 🤷♂️ Сюрприз! Критичность уязвимости скачкообразно повысилась.
Можно было это как-то прогнозировать? Имхо, вообще никак. Ещё одно подтверждение, что прогнозирование трендовости это, конечно, хорошо и правильно, но регулярный безусловный патчинг согласно установленному SLA (AIT) не отменяет.
Небольшая подробность. Автор эксплоита уточнил CWE уязвимости.
Было: CWE-122 - Heap-based Buffer Overflow
Стало: CWE-781 - Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
