No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы...)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет...)
И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали...
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали...
(Пока что...)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка...
С таким не справится устаревший онпрем, для такого нужны облака...
А если серьёзно... В 22-ом CrowdStrike из России ушёл...
И, как по мне, это очень, очень, ну просто ооочень хорошо!
MP3 файл
@avleonovrus #fun #music #поёмCVE #CrowdStrike #BSODStrike #Microsoft #Windows #CloudAgent #SecurityContent #Detection #onprem
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы...)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет...)
И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали...
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали...
(Пока что...)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка...
С таким не справится устаревший онпрем, для такого нужны облака...
А если серьёзно... В 22-ом CrowdStrike из России ушёл...
И, как по мне, это очень, очень, ну просто ооочень хорошо!
MP3 файл
@avleonovrus #fun #music #поёмCVE #CrowdStrike #BSODStrike #Microsoft #Windows #CloudAgent #SecurityContent #Detection #onprem
YouTube
Трек про инцидент c CrowdStrike BSODStrike "No Boot - No Hacker!"
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike…
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike…
Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.
Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷♂️
9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.
Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷♂️ В интранетах их должно быть без счёта.
❗️ Выглядит как долгоиграющая трендовая история.
Исследователи обещают нам ещё BadLicense и DeadLicense. 😉
@avleonovrus #Microsoft #Windows #MadLicense #RDP #RDL
Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷♂️
9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.
Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷♂️ В интранетах их должно быть без счёта.
❗️ Выглядит как долгоиграющая трендовая история.
Исследователи обещают нам ещё BadLicense и DeadLicense. 😉
@avleonovrus #Microsoft #Windows #MadLicense #RDP #RDL
Трендовые уязвимости июля по версии Positive Technologies.
Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉
📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #MSHTML #CheckPoint #TrendMicro #VoidBanshee #AtlantidaStealer #Artifex #Ghostscript #CodeanLabs #Acronis #ACI #CISAKEV
Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉
📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #MSHTML #CheckPoint #TrendMicro #VoidBanshee #AtlantidaStealer #Artifex #Ghostscript #CodeanLabs #Acronis #ACI #CISAKEV
YouTube
В Тренде VM Июль 2024: 3 CVE в Windows, Artifex Ghostscript, и Acronis Cyber Infrastructure
00:00 Приветствие, что такое трендовые уязвимости
00:33 Спуфинг Windows MSHTML Platform (CVE-2024-38112)
❗ Оценка по CVSS — 7,5, высокий уровень опасности
Это уязвимость из июльского Microsoft Patch Tuesday. По данным Check Point, злоумышленники используют…
00:33 Спуфинг Windows MSHTML Platform (CVE-2024-38112)
❗ Оценка по CVSS — 7,5, высокий уровень опасности
Это уязвимость из июльского Microsoft Patch Tuesday. По данным Check Point, злоумышленники используют…
Августовский Microsoft Patch Tuesday. 130 CVE, из которых 45 были добавлены с июльского MSPT.
В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂
6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.
🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)
Другие:
🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂
6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.
🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)
Другие:
🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189).
Microsoft Project - программа управления проектами. Обеспечивает разработку планов, распределение ресурсов по задачам, отслеживание прогресса и анализ объёмов работ.
Уязвимость исправлена в рамках августовского Patch Tuesday. Зловредный код выполняется при открытии жертвой специального файла Microsoft Office Project, полученного в фишинговом письме или скаченного с сайта злоумышленника.
👾 Для успешной атаки должны быть отключены:
🔹 Политика "Блокировать запуск макросов в файлах Office из Интернет" (по умолчанию включена).
🔹 "VBA Macro Notification Settings".
Предпросмотр файлов в "Preview Pane" не является вектором эксплуатации. 👍
Как видите, для успешной атаки требуется довольно много условий, однако Microsoft сообщает о случаях эксплуатации уязвимости вживую. 🤷♂️
@avleonovrus #Microsoft #MSProject #VBA
Microsoft Project - программа управления проектами. Обеспечивает разработку планов, распределение ресурсов по задачам, отслеживание прогресса и анализ объёмов работ.
Уязвимость исправлена в рамках августовского Patch Tuesday. Зловредный код выполняется при открытии жертвой специального файла Microsoft Office Project, полученного в фишинговом письме или скаченного с сайта злоумышленника.
👾 Для успешной атаки должны быть отключены:
🔹 Политика "Блокировать запуск макросов в файлах Office из Интернет" (по умолчанию включена).
🔹 "VBA Macro Notification Settings".
Предпросмотр файлов в "Preview Pane" не является вектором эксплуатации. 👍
Как видите, для успешной атаки требуется довольно много условий, однако Microsoft сообщает о случаях эксплуатации уязвимости вживую. 🤷♂️
@avleonovrus #Microsoft #MSProject #VBA
Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. Эксплоитов и признаков эксплуатации вживую пока не видно, но описание уязвимости выглядит страшновато. 😱
Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".
🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷♂️
Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱
Update
@avleonovrus #Microsoft #PatchTuesday #Windows #CyberKunlun #TCPIP #IPv6
Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".
🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷♂️
Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱
Update
@avleonovrus #Microsoft #PatchTuesday #Windows #CyberKunlun #TCPIP #IPv6
Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213). Уязвимость вышла в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что MS исправили её раньше, в июне).
Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.
В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.
🔹 К WebDAV шаре можно обращаться через веб-браузер:
🔹 А можно через Windows Explorer (как к SMB):
И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷♂️ Отсюда название "Copy2Pwn". 😏
Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.
@avleonovrus #Microsoft #MoTW #Copy2Pwn #ZDI #WebDAV #DarkGate
Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.
В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.
🔹 К WebDAV шаре можно обращаться через веб-браузер:
http://10.37.129.2/example_webdav_folder/somefile
🔹 А можно через Windows Explorer (как к SMB):
\\10.37.129.2@80\example_webdav_folder
И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷♂️ Отсюда название "Copy2Pwn". 😏
Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.
@avleonovrus #Microsoft #MoTW #Copy2Pwn #ZDI #WebDAV #DarkGate
По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178). Уязвимость из августовского Patch Tuesday. Жертва переходит по ссылке злоумышленника, происходит повреждение памяти и выполнение произвольного кода злоумышленника.
Тонкость в том, что жертва должна открывать ссылку в браузере Edge от Microsoft в режиме совместимости с Internet Explorer. Но зачем жертве настраивать браузер в такой режим?
🔻 Жертва может по работе пользоваться каким-то старым веб-приложением, которое работает только в Internet Explorer, поэтому браузер так настроен. Не такая уж редкая ситуация. 😏
🔻Злоумышленник может попытаться убедить жертву включить настройку "Allow sites to be reloaded in Internet Explorer mode (IE mode)" в Edge. 🤷♂️
Так или иначе, уязвимость эксплуатируется вживую и для неё уже есть (полу?🤔)публичный эксплоит. Мои коллеги по PT ESC поделились сегодня в канале @ptESCalator как они этот эксплоит нашли и протестировали. 🔍
@avleonovrus #Microsoft #Edge #InternetExplorer #PositiveTechnologies #PTESC
Тонкость в том, что жертва должна открывать ссылку в браузере Edge от Microsoft в режиме совместимости с Internet Explorer. Но зачем жертве настраивать браузер в такой режим?
🔻 Жертва может по работе пользоваться каким-то старым веб-приложением, которое работает только в Internet Explorer, поэтому браузер так настроен. Не такая уж редкая ситуация. 😏
🔻Злоумышленник может попытаться убедить жертву включить настройку "Allow sites to be reloaded in Internet Explorer mode (IE mode)" в Edge. 🤷♂️
Так или иначе, уязвимость эксплуатируется вживую и для неё уже есть (полу?🤔)публичный эксплоит. Мои коллеги по PT ESC поделились сегодня в канале @ptESCalator как они этот эксплоит нашли и протестировали. 🔍
@avleonovrus #Microsoft #Edge #InternetExplorer #PositiveTechnologies #PTESC
Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. 2 недели назад я уже писал почему она потенциально опасна. Теперь опасность значительно повысилась:
🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.
🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.
В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.
❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.
@avleonovrus #Microsoft #PatchTuesday #Windows #TCPIP #IPv6
🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.
🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.
В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.
❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.
@avleonovrus #Microsoft #PatchTuesday #Windows #TCPIP #IPv6
Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday. Всего в августовском MSPT было 3 EoP с признаками эксплуатации вживую. У них идентичные описания: злоумышленник может поднять права на хосте до уровня SYSTEM. Уязвимость в Windows Kernel эксплуатировать сложнее, т.к. нужно выиграть race condition.
Только для EoP в Windows Ancillary Function Driver (AFD.sys) есть информация, кто именно её эксплуатирует. Эксплуатирует её известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, компании стоящей за антивирусами Avira и Avast. Для нейтрализации ИБ продуктов в процессе атаки злоумышленники Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то хост полностью защищён и обновлять его уже необязательно. 😏
@avleonovrus #Windows #Microsoft #PatchTuesday #AFDsys #GenDigital #Lazarus #Fudmodule
Только для EoP в Windows Ancillary Function Driver (AFD.sys) есть информация, кто именно её эксплуатирует. Эксплуатирует её известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, компании стоящей за антивирусами Avira и Avast. Для нейтрализации ИБ продуктов в процессе атаки злоумышленники Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то хост полностью защищён и обновлять его уже необязательно. 😏
@avleonovrus #Windows #Microsoft #PatchTuesday #AFDsys #GenDigital #Lazarus #Fudmodule