Архив метки: ZDI

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы

1 комментарий

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы:

🔻 Уязвимость на уровне приложения фактически подтвердили.
🔻 Вектором атаки, как и предполагалось, является пересылка жертве зловредного изображения (стикера).
🔻 К каким последствиям это может привести, всё ещё непонятно: от компрометации аккаунта до RCE на устройстве.
🔻 Заявляется наличие некоторого облачного механизма (антивируса?), с помощью которого Telegram фильтрует зловредные стикеры. Насколько он эффективен (и существует ли вообще 😏), - непонятно.
🔻 Официально Telegram уязвимость не признают, в лучшем случае исправят silent patching-ом и непонятно когда. Ответственным такое поведение назвать сложно. 🤷‍♂️🤦‍♂️

В то, что известный исследователь ZDI (8 лет стажа, ~200 CVE) мог сдать в Telegram неэксплуатабельную ерунду без пруфов, я не верю. Имхо, ZDI теперь имеют полное моральное право обидеться и сделать full disclosure.

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207)

Добавить комментарий

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207)

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207). На сайте TrendAI Zero Day Initiative (TrendAI - новое имя для Trend Micro Enterprise Business) в таблице UPCOMING ADVISORIES появилась строчка, относящаяся к нераскрытой уязвимости в Telegram, найденной Michael "izobashi" DePlante.

Про уязвимость пока ничего не известно, кроме CVSS 3.1 вектора AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8). Вектор атаки сетевой, сложность низкая, привилегий не требуется, неинтерактивная, импакт по конфиденциальности, целостности и доступности максимальный. 0-click RCE при закидывании зловредного медиафайла? 🤔 У izobashi много сданных RCE-шек. Хотя Scope: Unchanged может намекать на компрометацию только самого мессенджера или угон аккаунта. 🤷‍♂️

Уязвимость зарепортили 26 марта. Eсли за 4 месяца уязвимость не исправят, её раскроют as is. Ждём фикс от Telegram.

Если эта уязвимость Telegram побудит вас перейти на безопасный MAX, не забудьте подписаться на мой MAX-канал. 😉

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Добавить комментарий

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday?

Добавить комментарий

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday?

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday? На самом деле только то, что она эксплуатируется вживую. Write-up-ов и публичных эксплоитов пока нет. Секция Acknowledgements в бюллетене Microsoft пуста. Непонятно, кто её зарепортил и от кого ждать подробностей.

В обзоре Patch Tuesday от ZDI предположили, что это может быть дополнительным исправлением похожей июльской уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-38112). У них совпадает тип и уязвимый компонент. Июльская уязвимость касалась обработки ".url" файлов и эксплуатировалась APT группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, что злоумышленники научились обходить исправление для уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение. Но уязвимость лучше не игнорировать, несмотря на её низкий CVSS Base Score (6.5).

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Добавить комментарий

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461)

Добавить комментарий

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461)

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday. На момент публикации, Microsoft не отмечали эту уязвимость как эксплуатирующуюся вживую. Сделали они это только через 3 дня, 13 сентября.

Уязвимость обнаружил исследователь ZDI Threat Hunting team Питер Гирнус в ходе расследования атак APT группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.

Суть уязвимости в том, что злодеи скрывали расширение открываемого зловредного HTA файла, добавляя в его имя 26 пробельных символа из шрифта Брайля. Таким образом жертва могла подумать, что открывает безобидный PDF документ.

После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение. 👍

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress

Добавить комментарий

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺

📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)