Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table
TOP
04:09 Remote Code Execution – Microsoft Office (CVE-2023-36884)
05:06 Security Feature Bypass – Windows SmartScreen (CVE-2023-32049)
05:48 Security Feature Bypass – Microsoft Outlook (CVE-2023-35311)
06:37 Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874)
07:16 Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs
08:10 Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350)
09:01 Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
09:44 Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367)
10:24 Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
10:57 Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
11:42 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report
@avleonovrus #AD #ADV #DarkReading #EoP #ERS #Kaspersky #KrebsOnSecurity #Layer2Bridge #Microsoft #MicrosoftOffice #MSHTML #MSMQ #Outlook #PGM #Qualys #Rapid7 #RCE #RRAS #SFB #SharePoint #SmartScreen #SophosNakedSecurity #Tenable #TheHackerNews #Vulristics #ZDI
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table
TOP
04:09 Remote Code Execution – Microsoft Office (CVE-2023-36884)
05:06 Security Feature Bypass – Windows SmartScreen (CVE-2023-32049)
05:48 Security Feature Bypass – Microsoft Outlook (CVE-2023-35311)
06:37 Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874)
07:16 Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs
08:10 Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350)
09:01 Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
09:44 Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367)
10:24 Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
10:57 Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
11:42 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report
@avleonovrus #AD #ADV #DarkReading #EoP #ERS #Kaspersky #KrebsOnSecurity #Layer2Bridge #Microsoft #MicrosoftOffice #MSHTML #MSMQ #Outlook #PGM #Qualys #Rapid7 #RCE #RRAS #SFB #SharePoint #SmartScreen #SophosNakedSecurity #Tenable #TheHackerNews #Vulristics #ZDI
YouTube
Microsoft Patch Tuesday July 2023: Vulristics improvements, Office RCE, SFB SmartScreen and Outlook
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table
TOP
04:09…
Vulristics improvements
00:11 Works faster
01:31 Microsoft ADVs
02:45 Comments Table
TOP
04:09…
Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday. Согласно описанию на сайте Microsoft, уязвимость представляет собой обход некоторых функций безопасности OLE в Microsoft 365 и Microsoft Office, в результате чего злоумышленник может выполнить произвольный код в контексте пользователя. Однако, несмотря на упоминание Microsoft 365 / Microsoft Office, это уязвимость не в этих продуктах, а именно в компоненте Windows.
Что такое OLE? Object Linking and Embedding - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии - открытие таблицы Excel в документе Word.
Какие именно функции безопасности OLE обходятся не очень понятно. Известно только то, что они "защищают пользователей от уязвимых элементов управления COM/OLE". Однако, судя по названию уязвимости, они как-то связаны с MSHTML - браузерным движком для Microsoft Internet Explorer. Microsoft давно отказались от браузера Internet Explorer, но MSHTML ещё используется в Windows как программный компонент.
Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office / Microsoft 365, на уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер. А что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости? В описании Microsoft есть противоречие. В одном месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: "проманипулировать со специально созданным файлом, но не обязательно кликать или открывать вредоносный файл". Видимо такая неоднозначность результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически.
Пока нет публичного PoC-а, независимого исследования данной уязвимости или сообщений о конкретных атаках, сказать что-то более определенное сложно. Поэтому ждём подробности и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется вживую.
🟥 Positive Technologies относит уязвимость к трендовым.
@avleonovrus #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #PositiveTechnologies
Что такое OLE? Object Linking and Embedding - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии - открытие таблицы Excel в документе Word.
Какие именно функции безопасности OLE обходятся не очень понятно. Известно только то, что они "защищают пользователей от уязвимых элементов управления COM/OLE". Однако, судя по названию уязвимости, они как-то связаны с MSHTML - браузерным движком для Microsoft Internet Explorer. Microsoft давно отказались от браузера Internet Explorer, но MSHTML ещё используется в Windows как программный компонент.
Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office / Microsoft 365, на уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер. А что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости? В описании Microsoft есть противоречие. В одном месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: "проманипулировать со специально созданным файлом, но не обязательно кликать или открывать вредоносный файл". Видимо такая неоднозначность результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически.
Пока нет публичного PoC-а, независимого исследования данной уязвимости или сообщений о конкретных атаках, сказать что-то более определенное сложно. Поэтому ждём подробности и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется вживую.
🟥 Positive Technologies относит уязвимость к трендовым.
@avleonovrus #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #PositiveTechnologies
Трендовые уязвимости мая по версии Positive Technologies. Как обычно, в 3 форматах:
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 RCE в Fluent Bit (CVE-2024-4323)
🔻 RCE в Confluence (CVE-2024-21683)
🔻 RCE в Windows MSHTML Platform / OLE (CVE-2024-30040)
🔻 EoP в Windows DWM Core Library (CVE-2024-30051)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #FluentBit #Tenable #LinguisticLumberjack #Atlassian #Confluence #Vulners #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #DWM #Kaspersky #QakBot #BDU #FSTEC
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 RCE в Fluent Bit (CVE-2024-4323)
🔻 RCE в Confluence (CVE-2024-21683)
🔻 RCE в Windows MSHTML Platform / OLE (CVE-2024-30040)
🔻 EoP в Windows DWM Core Library (CVE-2024-30051)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #FluentBit #Tenable #LinguisticLumberjack #Atlassian #Confluence #Vulners #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #DWM #Kaspersky #QakBot #BDU #FSTEC
YouTube
Всевидящее око Китая / Программируйте как Бог / Тыквенное затмение / 152
— Европол захватил более 100 серверов киберпреступников. В конце мая прошла международная операция «Operation Endgame».
— Teabot возвращается в Google Play. Фиктивные читалки PDF и сканеры QR-кодов скачали более 5,5 миллионов раз.
— Киберпреступники маскируют…
— Teabot возвращается в Google Play. Фиктивные читалки PDF и сканеры QR-кодов скачали более 5,5 миллионов раз.
— Киберпреступники маскируют…
Июньский Microsoft Patch Tuesday. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tuesday. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:
🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.
Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.
В профильных СМИ обращают внимание на эти 2:
🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.
На что ещё можно обратить внимание:
🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.
🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Chromium #MSMQ #DNSSEC #Win32k #Windows #WindowsKernel #MicrosoftOffice #Outlook #WiFi
🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.
Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.
В профильных СМИ обращают внимание на эти 2:
🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.
На что ещё можно обратить внимание:
🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.
🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Chromium #MSMQ #DNSSEC #Win32k #Windows #WindowsKernel #MicrosoftOffice #Outlook #WiFi