WindowsKernel | Александр В. Леонов

Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)

Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088). Уязвимость свежая, из июньского Microsoft Patch Tuesday. Я её выделял в обзоре, так как для неё, согласно CVSS вектору, существовал приватный Proof-of-Concept Exploit. Но подробностей не было. Было ясно только то, что в случае успешной эксплуатации, злоумышленник может получить привилегии SYSTEM. Согласно бюллетеню ZDI, уязвимость затрагивает реализацию NtQueryInformationToken и заключается в отсутствии правильной блокировки при выполнении операций над объектом.

24 июня, через 2 недели после июньского Patch Tuesday, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC-ом эксплоита. Также доступно видео с запуском утилиты для получения привилегий SYSTEM.

В последнее время EoP/LPE уязвимости Windows очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.

Июньский Microsoft Patch Tuesday. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tuesday. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.

Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.

В профильных СМИ обращают внимание на эти 2:

🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷‍♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.

На что ещё можно обратить внимание:

🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷‍♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.

🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tuesday. Пока ничего откровенно критичного не просматривается. Всего 80 уязвимостей, включая 20 добавленных между февральским и мартовским MSPT.

С PoC-ом всего одна:

🔻 Information Disclosure - runc (CVE-2024-21626). Она позволяет реализовать побег из контейнера. Причём тут Microsoft? Уязвимость исправили в Azure Kubernetes Service и CBL-Mariner (внутренний Linux дистрибутив Microsoft).

Для остальных пока нет признаков активной эксплуатации или наличия PoC-а.

Можно обратить внимание на следующее:

🔸 Elevation of Privilege - Windows Kernel (CVE-2024-21443, CVE-2024-26173, CVE-2024-26176, CVE-2024-26178, CVE-2024-26182). Их частенько доводят до практической эксплуатации в последнее время. Сюда же Elevation of Privilege - Windows Print Spooler (CVE-2024-21433).
🔸 Remote Code Execution - Open Management Infrastructure (OMI) (CVE-2024-21334). CVSS 9.8 и ZDI пишут, что "она позволит удаленному, неавторизованному злоумышленнику выполнить код на инстансах OMI в Интернете". Возможно их и правда в интернет часто выставляют, требует ресёрча. 🤷‍♂️
🔸 Remote Code Execution - Windows Hyper-V (CVE-2024-21407). Эту "guest-to-host escape" уязвимость подсветили вообще все: Qualys, Tenable, Rapid7, ZDI.
🔸 Remote Code Execution - Microsoft Exchange (CVE-2024-26198). Уязвимость типа "DLL loading". Детали пока неясны, но я не удивлюсь если по ней скоро будет подробный write-up.

🗒 Отчёт Vulristics

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: WindowsKernel

Трендовые уязвимости июня по версии Positive Technologies

Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088)

Июньский Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tuesday