Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table
TOP
04:09 Remote Code Execution – Microsoft Office (CVE-2023-36884)
05:06 Security Feature Bypass – Windows SmartScreen (CVE-2023-32049)
05:48 Security Feature Bypass – Microsoft Outlook (CVE-2023-35311)
06:37 Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874)
07:16 Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs
08:10 Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350)
09:01 Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
09:44 Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367)
10:24 Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
10:57 Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
11:42 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report
@avleonovrus #AD #ADV #DarkReading #EoP #ERS #Kaspersky #KrebsOnSecurity #Layer2Bridge #Microsoft #MicrosoftOffice #MSHTML #MSMQ #Outlook #PGM #Qualys #Rapid7 #RCE #RRAS #SFB #SharePoint #SmartScreen #SophosNakedSecurity #Tenable #TheHackerNews #Vulristics #ZDI
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table
TOP
04:09 Remote Code Execution – Microsoft Office (CVE-2023-36884)
05:06 Security Feature Bypass – Windows SmartScreen (CVE-2023-32049)
05:48 Security Feature Bypass – Microsoft Outlook (CVE-2023-35311)
06:37 Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874)
07:16 Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs
08:10 Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350)
09:01 Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
09:44 Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367)
10:24 Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
10:57 Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
11:42 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report
@avleonovrus #AD #ADV #DarkReading #EoP #ERS #Kaspersky #KrebsOnSecurity #Layer2Bridge #Microsoft #MicrosoftOffice #MSHTML #MSMQ #Outlook #PGM #Qualys #Rapid7 #RCE #RRAS #SFB #SharePoint #SmartScreen #SophosNakedSecurity #Tenable #TheHackerNews #Vulristics #ZDI
YouTube
Microsoft Patch Tuesday July 2023: Vulristics improvements, Office RCE, SFB SmartScreen and Outlook
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table
TOP
04:09…
Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table
TOP
04:09…
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tuesday 2023.
"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в Preview Pane). 🔥"
И вот через 4 месяца Akamai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Windows File Explorer. 🤔
А где zero-click RCE в Outlook? Такая эксплуатация возможна вместе с EoP - Microsoft Outlook (CVE-2023-23397):
"This vulnerability can be triggered through Outlook (0-click using CVE-2023-23397)".
Впрочем, CVE-2023-23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏
По данным из БДУ ФСТЭК уязвимость CVE-2023-35628 эксплуатируется вживую (флаг vul_incident).
@avleonovrus #Vulristics #CreateRCE #Microsoft #MSHTML #Akamai #Outlook
"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в Preview Pane). 🔥"
И вот через 4 месяца Akamai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Windows File Explorer. 🤔
А где zero-click RCE в Outlook? Такая эксплуатация возможна вместе с EoP - Microsoft Outlook (CVE-2023-23397):
"This vulnerability can be triggered through Outlook (0-click using CVE-2023-23397)".
Впрочем, CVE-2023-23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏
По данным из БДУ ФСТЭК уязвимость CVE-2023-35628 эксплуатируется вживую (флаг vul_incident).
@avleonovrus #Vulristics #CreateRCE #Microsoft #MSHTML #Akamai #Outlook
Майский Microsoft Patch Tuesday. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tuesday.
У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):
🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.
Из остальных можно отметить:
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.
🗒 Vulristics report
@avleonovrus #Vulristics #PatchTuesday #Microsoft #MSHTML #QakBot #DWM #MoTW #SharePoint #SearchService #Excel
У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):
🔻 Security Feature Bypass - Windows MSHTML Platform (CVE-2024-30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью QakBot.
Из остальных можно отметить:
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-30044). Аутентифицированный злоумышленник с правами Site Owner или выше может выполнить произвольный кода в контексте SharePoint Server посредством загрузки специально созданного файла.
🔸 Elevation of Privilege - Windows Search Service (CVE-2024-30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Execution - Microsoft Excel (CVE-2024-30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.
🗒 Vulristics report
@avleonovrus #Vulristics #PatchTuesday #Microsoft #MSHTML #QakBot #DWM #MoTW #SharePoint #SearchService #Excel
Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday. Согласно описанию на сайте Microsoft, уязвимость представляет собой обход некоторых функций безопасности OLE в Microsoft 365 и Microsoft Office, в результате чего злоумышленник может выполнить произвольный код в контексте пользователя. Однако, несмотря на упоминание Microsoft 365 / Microsoft Office, это уязвимость не в этих продуктах, а именно в компоненте Windows.
Что такое OLE? Object Linking and Embedding - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии - открытие таблицы Excel в документе Word.
Какие именно функции безопасности OLE обходятся не очень понятно. Известно только то, что они "защищают пользователей от уязвимых элементов управления COM/OLE". Однако, судя по названию уязвимости, они как-то связаны с MSHTML - браузерным движком для Microsoft Internet Explorer. Microsoft давно отказались от браузера Internet Explorer, но MSHTML ещё используется в Windows как программный компонент.
Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office / Microsoft 365, на уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер. А что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости? В описании Microsoft есть противоречие. В одном месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: "проманипулировать со специально созданным файлом, но не обязательно кликать или открывать вредоносный файл". Видимо такая неоднозначность результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически.
Пока нет публичного PoC-а, независимого исследования данной уязвимости или сообщений о конкретных атаках, сказать что-то более определенное сложно. Поэтому ждём подробности и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется вживую.
🟥 Positive Technologies относит уязвимость к трендовым.
@avleonovrus #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #PositiveTechnologies
Что такое OLE? Object Linking and Embedding - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии - открытие таблицы Excel в документе Word.
Какие именно функции безопасности OLE обходятся не очень понятно. Известно только то, что они "защищают пользователей от уязвимых элементов управления COM/OLE". Однако, судя по названию уязвимости, они как-то связаны с MSHTML - браузерным движком для Microsoft Internet Explorer. Microsoft давно отказались от браузера Internet Explorer, но MSHTML ещё используется в Windows как программный компонент.
Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office / Microsoft 365, на уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер. А что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости? В описании Microsoft есть противоречие. В одном месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: "проманипулировать со специально созданным файлом, но не обязательно кликать или открывать вредоносный файл". Видимо такая неоднозначность результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически.
Пока нет публичного PoC-а, независимого исследования данной уязвимости или сообщений о конкретных атаках, сказать что-то более определенное сложно. Поэтому ждём подробности и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется вживую.
🟥 Positive Technologies относит уязвимость к трендовым.
@avleonovrus #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #PositiveTechnologies
Трендовые уязвимости мая по версии Positive Technologies. Как обычно, в 3 форматах:
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 RCE в Fluent Bit (CVE-2024-4323)
🔻 RCE в Confluence (CVE-2024-21683)
🔻 RCE в Windows MSHTML Platform / OLE (CVE-2024-30040)
🔻 EoP в Windows DWM Core Library (CVE-2024-30051)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #FluentBit #Tenable #LinguisticLumberjack #Atlassian #Confluence #Vulners #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #DWM #Kaspersky #QakBot #BDU #FSTEC
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 RCE в Fluent Bit (CVE-2024-4323)
🔻 RCE в Confluence (CVE-2024-21683)
🔻 RCE в Windows MSHTML Platform / OLE (CVE-2024-30040)
🔻 EoP в Windows DWM Core Library (CVE-2024-30051)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #FluentBit #Tenable #LinguisticLumberjack #Atlassian #Confluence #Vulners #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #DWM #Kaspersky #QakBot #BDU #FSTEC
YouTube
Всевидящее око Китая / Программируйте как Бог / Тыквенное затмение / 152
— Европол захватил более 100 серверов киберпреступников. В конце мая прошла международная операция «Operation Endgame».
— Teabot возвращается в Google Play. Фиктивные читалки PDF и сканеры QR-кодов скачали более 5,5 миллионов раз.
— Киберпреступники маскируют…
— Teabot возвращается в Google Play. Фиктивные читалки PDF и сканеры QR-кодов скачали более 5,5 миллионов раз.
— Киберпреступники маскируют…
Июльский Microsoft Patch Tuesday. Всего 175 уязвимостей, из них 33 набежало между июньским и июльским Patch Tuesday.
Есть 2 уязвимости с признаком эксплуатации вживую:
🔻 Spoofing - Windows MSHTML Platform (CVE-2024-38112). Spoofing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd. Подъехали детали.
🔻 Elevation of Privilege - Windows Hyper-V (CVE-2024-38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).
Из остального можно выделить:
🔸 Elevation of Privilege - различные компоненты Windows (CVE-2024-38059, CVE-2024-38066, CVE-2024-38100, CVE-2024-38034, CVE-2024-38079, CVE-2024-38085, CVE-2024-38062, CVE-2024-30079, CVE-2024-38050). EoP-шки в последнее время часто выстреливают.
🔸 Remote Code Execution - Windows Remote Desktop Licensing Service (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077)
🔸 Remote Code Execution - Microsoft Office (CVE-2024-38021)
🔸 Remote Code Execution - Windows Imaging Component (CVE-2024-38060). Достаточно закинуть вредоносный TIFF файл на сервер.
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-38023, CVE-2024-38024). Требуется аутентификация, но прав "Site Owner" хватит.
🗒 Отчёт Vulristics по июльскому Microsoft Patch Tuesday
Vulristics показывает эксплоит для Spoofing - RADIUS Protocol (CVE-2024-3596) на GitHub, но на самом деле это просто утилита для детектирования.
@avleonovrus #Vulristics #PatchTuesday #Microsoft #MSHTML #HyperV #Office #TIFF #SharePoint
Есть 2 уязвимости с признаком эксплуатации вживую:
🔻 Spoofing - Windows MSHTML Platform (CVE-2024-38112). Spoofing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd. Подъехали детали.
🔻 Elevation of Privilege - Windows Hyper-V (CVE-2024-38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).
Из остального можно выделить:
🔸 Elevation of Privilege - различные компоненты Windows (CVE-2024-38059, CVE-2024-38066, CVE-2024-38100, CVE-2024-38034, CVE-2024-38079, CVE-2024-38085, CVE-2024-38062, CVE-2024-30079, CVE-2024-38050). EoP-шки в последнее время часто выстреливают.
🔸 Remote Code Execution - Windows Remote Desktop Licensing Service (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077)
🔸 Remote Code Execution - Microsoft Office (CVE-2024-38021)
🔸 Remote Code Execution - Windows Imaging Component (CVE-2024-38060). Достаточно закинуть вредоносный TIFF файл на сервер.
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-38023, CVE-2024-38024). Требуется аутентификация, но прав "Site Owner" хватит.
🗒 Отчёт Vulristics по июльскому Microsoft Patch Tuesday
Vulristics показывает эксплоит для Spoofing - RADIUS Protocol (CVE-2024-3596) на GitHub, но на самом деле это просто утилита для детектирования.
@avleonovrus #Vulristics #PatchTuesday #Microsoft #MSHTML #HyperV #Office #TIFF #SharePoint
Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?
🔻 По данным Check Point, злоумышленники используют в атаках специальные ".url" файлы, иконка которых похожа на иконку pdf документа. Если пользователь кликает на файл и игнорирует 2 малоинформативных warning-а, то в устаревшем браузере Internet Explorer, встроенном в Windows, запускается зловредное HTA приложение. 😱 Почему именно в IE? Вcё из-за обработки префикса "mhtml:" в ".url" файле. Июльское обновление это блочит. 👍
🔻 Check Point находили образцы таких ".url" файлов аж от января 2023 года. По данным Trend Micro, уязвимость эксплуатируется APT группой Void Banshee для установки зловреда Atlantida Stealer и сбора паролей, cookies и других чувствительных данных. Void Banshee добавляют вредоносные ".url" файлы в архивы с PDF-книгами и распространяют их через сайты, мессенджеры и фишинговые рассылки.
@avleonovrus #Microsoft #MSHTML #CheckPoint #TrendMicro #VoidBanshee #AtlantidaStealer
🔻 По данным Check Point, злоумышленники используют в атаках специальные ".url" файлы, иконка которых похожа на иконку pdf документа. Если пользователь кликает на файл и игнорирует 2 малоинформативных warning-а, то в устаревшем браузере Internet Explorer, встроенном в Windows, запускается зловредное HTA приложение. 😱 Почему именно в IE? Вcё из-за обработки префикса "mhtml:" в ".url" файле. Июльское обновление это блочит. 👍
🔻 Check Point находили образцы таких ".url" файлов аж от января 2023 года. По данным Trend Micro, уязвимость эксплуатируется APT группой Void Banshee для установки зловреда Atlantida Stealer и сбора паролей, cookies и других чувствительных данных. Void Banshee добавляют вредоносные ".url" файлы в архивы с PDF-книгами и распространяют их через сайты, мессенджеры и фишинговые рассылки.
@avleonovrus #Microsoft #MSHTML #CheckPoint #TrendMicro #VoidBanshee #AtlantidaStealer
Трендовые уязвимости июля по версии Positive Technologies.
Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉
📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #MSHTML #CheckPoint #TrendMicro #VoidBanshee #AtlantidaStealer #Artifex #Ghostscript #CodeanLabs #Acronis #ACI #CISAKEV
Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉
📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #MSHTML #CheckPoint #TrendMicro #VoidBanshee #AtlantidaStealer #Artifex #Ghostscript #CodeanLabs #Acronis #ACI #CISAKEV
YouTube
В Тренде VM Июль 2024: 3 CVE в Windows, Artifex Ghostscript, и Acronis Cyber Infrastructure
00:00 Приветствие, что такое трендовые уязвимости
00:33 Спуфинг Windows MSHTML Platform (CVE-2024-38112)
❗ Оценка по CVSS — 7,5, высокий уровень опасности
Это уязвимость из июльского Microsoft Patch Tuesday. По данным Check Point, злоумышленники используют…
00:33 Спуфинг Windows MSHTML Platform (CVE-2024-38112)
❗ Оценка по CVSS — 7,5, высокий уровень опасности
Это уязвимость из июльского Microsoft Patch Tuesday. По данным Check Point, злоумышленники используют…
Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday. На момент публикации, Microsoft не отмечали эту уязвимость как эксплуатирующуюся вживую. Сделали они это только через 3 дня, 13 сентября.
Уязвимость обнаружил исследователь ZDI Threat Hunting team Питер Гирнус в ходе расследования атак APT группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.
Суть уязвимости в том, что злодеи скрывали расширение открываемого зловредного HTA файла, добавляя в его имя 26 пробельных символа из шрифта Брайля. Таким образом жертва могла подумать, что открывает безобидный PDF документ.
После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение. 👍
@avleonovrus #Microsoft #MSHTML #ZDI #VoidBanshee
Уязвимость обнаружил исследователь ZDI Threat Hunting team Питер Гирнус в ходе расследования атак APT группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.
Суть уязвимости в том, что злодеи скрывали расширение открываемого зловредного HTA файла, добавляя в его имя 26 пробельных символа из шрифта Брайля. Таким образом жертва могла подумать, что открывает безобидный PDF документ.
После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение. 👍
@avleonovrus #Microsoft #MSHTML #ZDI #VoidBanshee
Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁
Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.
📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Содержание:
🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA
Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.
📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Содержание:
🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA
VK Видео
В тренде VM: уязвимости сентября
Эксперты Positive Technologies выделили семь критичных уязвимостей сентября. Некоторые из них уже используют злоумышленники, а остальные могут стать их следующей мишенью. В этом выпуске разбираем трендовые уязвимости, включая повышение привилегий в установщике…
Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday? На самом деле только то, что она эксплуатируется вживую. Write-up-ов и публичных эксплоитов пока нет. Секция Acknowledgements в бюллетене Microsoft пуста. Непонятно, кто её зарепортил и от кого ждать подробностей.
В обзоре Patch Tuesday от ZDI предположили, что это может быть дополнительным исправлением похожей июльской уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-38112). У них совпадает тип и уязвимый компонент. Июльская уязвимость касалась обработки ".url" файлов и эксплуатировалась APT группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, что злоумышленники научились обходить исправление для уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение. Но уязвимость лучше не игнорировать, несмотря на её низкий CVSS Base Score (6.5).
@avleonovrus #Microsoft #MSHTML #ZDI #VoidBanshee #AtlantidaStealer
В обзоре Patch Tuesday от ZDI предположили, что это может быть дополнительным исправлением похожей июльской уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-38112). У них совпадает тип и уязвимый компонент. Июльская уязвимость касалась обработки ".url" файлов и эксплуатировалась APT группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, что злоумышленники научились обходить исправление для уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение. Но уязвимость лучше не игнорировать, несмотря на её низкий CVSS Base Score (6.5).
@avleonovrus #Microsoft #MSHTML #ZDI #VoidBanshee #AtlantidaStealer