Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive Technologies
05:22 Новый бэкдор для Ivanti Connect Secure и анализ апплаенса Ivanti
10:42 Февральский Microsoft Patch Tuesday, ошибочный временный взлёт RCE Outlook и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость EventLogCrasher в Windows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peiter Zatko (бывший CISO Twitter)
@avleonovrus #ПрожекторПоИБ #PositiveTechnologies #Ivanti #ConnectSecure #Microsoft #PatchTuesday #Outlook #Exchange #Фишинг #EventLogCrasher #Windows #ФСТЭК #NCSC #VMprocess
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive Technologies
05:22 Новый бэкдор для Ivanti Connect Secure и анализ апплаенса Ivanti
10:42 Февральский Microsoft Patch Tuesday, ошибочный временный взлёт RCE Outlook и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость EventLogCrasher в Windows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peiter Zatko (бывший CISO Twitter)
@avleonovrus #ПрожекторПоИБ #PositiveTechnologies #Ivanti #ConnectSecure #Microsoft #PatchTuesday #Outlook #Exchange #Фишинг #EventLogCrasher #Windows #ФСТЭК #NCSC #VMprocess
YouTube
Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive…
🔸 Лев Палей, "Вести из Палей"
00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive…
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?
По этой уязвимости один источник - статья в блоге компании Sophos.
🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copyrigth' вместо 'Copyright', 'rigths' вместо 'rights'). 🙄
🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows Driver.STL revocation list) и завели CVE-2024-26234.
🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.
Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Windows, то наверное да. 🤷♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defender Antivirus как CVE оформлять. 🤪
Продолжение
@avleonovrus #Sophos #backdoor #STL #WHCP #Windows #Microsoft #PatchTuesday
По этой уязвимости один источник - статья в блоге компании Sophos.
🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copyrigth' вместо 'Copyright', 'rigths' вместо 'rights'). 🙄
🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows Driver.STL revocation list) и завели CVE-2024-26234.
🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.
Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Windows, то наверное да. 🤷♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defender Antivirus как CVE оформлять. 🤪
Продолжение
@avleonovrus #Sophos #backdoor #STL #WHCP #Windows #Microsoft #PatchTuesday
Немного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoofing - Proxy Driver". Складывается ощущение, что есть какой-то виндовый компонент "Proxy Driver", который спуфят (т.е. по определению "один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества"). А если читать статью Sophos, то там единственное, что можно принять за "Proxy Driver" это, собственно, малварь Catalog.exe и есть. И маскировка там если и есть, то только у зловредного сервиса с описанием "Google ADB LoaclSocket [sic] Multi-threading Graphics API".
То есть, либо речь о какой-то другой уязвимости (ну а вдруг, с Microsoft-ом я ничему не удивляюсь 😏), либо о совсем уж криво натянутой на глобус сове. 🦉🌏
Причём, для таких кейсов уже есть отлаженная форма заведения: ADV230001 - Guidance on Microsoft Signed Drivers Being Used Maliciously. Там как раз про зловредные подписанные драйвера и Windows Driver.STL.
Ну или если совсем уж хочется CVE завести, то почему бы не обозначить её как Security Feature Bypass - Windows Driver.STL?
Если же абстрагироваться от неудачного названия (которое всеми воспринимается с покерфейсом 😐, типа так и надо), необновленный Windows Driver.STL revocation list, из-за которого злоумышленник может запускать зловреды, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертом это вполне себе уязвимость, а в случае зафиксированной эксплуатации вживую, вполне себе уязвимость трендовая.
@avleonovrus #Sophos #backdoor #STL #WHCP #Windows #Microsoft #PatchTuesday #TrendVulns
То есть, либо речь о какой-то другой уязвимости (ну а вдруг, с Microsoft-ом я ничему не удивляюсь 😏), либо о совсем уж криво натянутой на глобус сове. 🦉🌏
Причём, для таких кейсов уже есть отлаженная форма заведения: ADV230001 - Guidance on Microsoft Signed Drivers Being Used Maliciously. Там как раз про зловредные подписанные драйвера и Windows Driver.STL.
Ну или если совсем уж хочется CVE завести, то почему бы не обозначить её как Security Feature Bypass - Windows Driver.STL?
Если же абстрагироваться от неудачного названия (которое всеми воспринимается с покерфейсом 😐, типа так и надо), необновленный Windows Driver.STL revocation list, из-за которого злоумышленник может запускать зловреды, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертом это вполне себе уязвимость, а в случае зафиксированной эксплуатации вживую, вполне себе уязвимость трендовая.
@avleonovrus #Sophos #backdoor #STL #WHCP #Windows #Microsoft #PatchTuesday #TrendVulns
Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028). Уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. CVSS 7.8. Никто эту уязвимость особо не выделял. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского NSA (National Security Agency). Это случается достаточно редко. В таком состоянии уязвимость пребывала до 22 апреля 2024 г.
🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾
🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.
🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷♂️
🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.
🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎
🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.
➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.
@avleonovrus #Microsoft #Windows #PrintSpooler #GooseEgg #NSA
🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾
🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.
🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷♂️
🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.
🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎
🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.
➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.
@avleonovrus #Microsoft #Windows #PrintSpooler #GooseEgg #NSA
Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом. CVSS 9.8. 6 июня разработчики PHP выпустили обновление для устранения RCE-уязвимости, которая связана с функцией преобразования кодировки Best-Fit в операционной системе Windows. Уязвимость позволяет неаутентифицированному злоумышленнику, выполняющему argument injection атаку, обойти защиту от старой активно эксплуатируемой RCE-уязвимости CVE-2012-1823 с помощью определенных последовательностей символов и выполнить произвольный код. Эксплоиты для уязвимости уже доступны на GitHub. Shadowserver Foundation отмечает активные сканирования, направленные на обнаружения уязвимых хостов. 👾
Уязвимость затрагивает все версии PHP, установленные в операционной системе Windows.
🔻 PHP 8.3 < 8.3.8
🔻 PHP 8.2 < 8.2.20
🔻 PHP 8.1 < 8.1.29
Версии PHP 8.0, PHP 7 и PHP 5 также уязвимы, но они уже в End-of-Life и не поддерживаются. 🤷♂️
Отдельно подчеркивается, что все инсталляции XAMPP также уязвимы по умолчанию. XAMPP - это популярная кроссплатформенная сборка локального веб-сервера, содержащая Apache, MariaDB, PHP, Perl и большое количество дополнительных библиотек.
В случае, если обновление до актуальной версии PHP невозможно, исследователи из компании DEVCORE предлагают конфигурации для противодействия эксплуатации уязвимости. Однако эти рекомендации касаются инсталляций на Windows с определенными языковыми локалями (Traditional Chinese, Simplified Chinese, Japanese), для которых эксплуатация уязвимости была подтверждена. На других локалях из-за широкого спектра сценариев использования PHP в настоящее время невозможно полностью перечислить и исключить все потенциальные сценарии эксплуатации уязвимости. Поэтому пользователям рекомендуется провести комплексную оценку активов, проверить сценарии использования PHP и обновить PHP до последней версии.
@avleonovrus #PHP #CGI #XAMPP #Microsoft #Windows
Уязвимость затрагивает все версии PHP, установленные в операционной системе Windows.
🔻 PHP 8.3 < 8.3.8
🔻 PHP 8.2 < 8.2.20
🔻 PHP 8.1 < 8.1.29
Версии PHP 8.0, PHP 7 и PHP 5 также уязвимы, но они уже в End-of-Life и не поддерживаются. 🤷♂️
Отдельно подчеркивается, что все инсталляции XAMPP также уязвимы по умолчанию. XAMPP - это популярная кроссплатформенная сборка локального веб-сервера, содержащая Apache, MariaDB, PHP, Perl и большое количество дополнительных библиотек.
В случае, если обновление до актуальной версии PHP невозможно, исследователи из компании DEVCORE предлагают конфигурации для противодействия эксплуатации уязвимости. Однако эти рекомендации касаются инсталляций на Windows с определенными языковыми локалями (Traditional Chinese, Simplified Chinese, Japanese), для которых эксплуатация уязвимости была подтверждена. На других локалях из-за широкого спектра сценариев использования PHP в настоящее время невозможно полностью перечислить и исключить все потенциальные сценарии эксплуатации уязвимости. Поэтому пользователям рекомендуется провести комплексную оценку активов, проверить сценарии использования PHP и обновить PHP до последней версии.
@avleonovrus #PHP #CGI #XAMPP #Microsoft #Windows
Уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) используется в атаках шифровальщиков. О самой уязвимости у меня уже был пост в субботу. Теперь же исследователи Imperva Threat Research сообщают, что эта уязвимость используется злоумышленниками для доставки зловреда, идентифицированого как компонент шифровальщике TellYouThePass.
⏳ Атаки были замечены 8 июня, менее чем через 48 часов после выпуска патча от разработчиков PHP. В атаках использовался эксплоит, который к тому времени уже был публично доступен.
Атаки с использованием TellYouThePass отмечаются с 2019 года. Они нацелены на организации и частных лиц. Злоумышленники шифруют и Windows, и Linux инфраструктуру.
Какие можно сделать выводы? Если видите уязвимость с публичным эксплоитом и более-менее понятным вектором эксплуатации - не поленитесь запатчить её как можно быстрее. Потому что злоумышленники точно не поленятся добавить этот эксплоит в свою малварь. 😉
@avleonovrus #PHP #Microsoft #Windows #TellYouThePass #Imperva
⏳ Атаки были замечены 8 июня, менее чем через 48 часов после выпуска патча от разработчиков PHP. В атаках использовался эксплоит, который к тому времени уже был публично доступен.
Атаки с использованием TellYouThePass отмечаются с 2019 года. Они нацелены на организации и частных лиц. Злоумышленники шифруют и Windows, и Linux инфраструктуру.
Какие можно сделать выводы? Если видите уязвимость с публичным эксплоитом и более-менее понятным вектором эксплуатации - не поленитесь запатчить её как можно быстрее. Потому что злоумышленники точно не поленятся добавить этот эксплоит в свою малварь. 😉
@avleonovrus #PHP #Microsoft #Windows #TellYouThePass #Imperva
Июньский Microsoft Patch Tuesday. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tuesday. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:
🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.
Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.
В профильных СМИ обращают внимание на эти 2:
🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.
На что ещё можно обратить внимание:
🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.
🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Chromium #MSMQ #DNSSEC #Win32k #Windows #WindowsKernel #MicrosoftOffice #Outlook #WiFi
🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.
Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.
В профильных СМИ обращают внимание на эти 2:
🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.
На что ещё можно обратить внимание:
🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.
🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Chromium #MSMQ #DNSSEC #Win32k #Windows #WindowsKernel #MicrosoftOffice #Outlook #WiFi
Резко повысилась критичность уязвимости Elevation of Privilege - Windows CSC Service (CVE-2024-26229). Уязвимость из апрельского Microsoft Patch Tuesday. В апреле эту уязвимость вообще никто не подсвечивал.
"На Танечку внимания никто не обращал" (c)
Microsoft про неё писали "Exploitation Less Likely". Известно было только то, что в случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.
Но через 2 месяца, 10 июня, на GitHub появился рабочий эксплоит. 🤷♂️ Сюрприз! Критичность уязвимости скачкообразно повысилась.
Можно было это как-то прогнозировать? Имхо, вообще никак. Ещё одно подтверждение, что прогнозирование трендовости это, конечно, хорошо и правильно, но регулярный безусловный патчинг согласно установленному SLA (AIT) не отменяет.
Небольшая подробность. Автор эксплоита уточнил CWE уязвимости.
Было: CWE-122 - Heap-based Buffer Overflow
Стало: CWE-781 - Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code
@avleonovrus #CSC #Microsoft #Windows
"На Танечку внимания никто не обращал" (c)
Microsoft про неё писали "Exploitation Less Likely". Известно было только то, что в случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.
Но через 2 месяца, 10 июня, на GitHub появился рабочий эксплоит. 🤷♂️ Сюрприз! Критичность уязвимости скачкообразно повысилась.
Можно было это как-то прогнозировать? Имхо, вообще никак. Ещё одно подтверждение, что прогнозирование трендовости это, конечно, хорошо и правильно, но регулярный безусловный патчинг согласно установленному SLA (AIT) не отменяет.
Небольшая подробность. Автор эксплоита уточнил CWE уязвимости.
Было: CWE-122 - Heap-based Buffer Overflow
Стало: CWE-781 - Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code
@avleonovrus #CSC #Microsoft #Windows
Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169). В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM. Уязвимость была исправлена в мартовском Microsoft Patch Tuesday. Как это частенько бывает, тогда эту уязвимость никто не выделял. 🤷♂️
Однако, через 3 месяца, 12 июня, исследователи Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔
13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.
Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений - лучше.
@avleonovrus #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware
Однако, через 3 месяца, 12 июня, исследователи Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔
13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.
Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений - лучше.
@avleonovrus #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware
Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088). Уязвимость свежая, из июньского Microsoft Patch Tuesday. Я её выделял в обзоре, так как для неё, согласно CVSS вектору, существовал приватный Proof-of-Concept Exploit. Но подробностей не было. Было ясно только то, что в случае успешной эксплуатации, злоумышленник может получить привилегии SYSTEM. Согласно бюллетеню ZDI, уязвимость затрагивает реализацию NtQueryInformationToken и заключается в отсутствии правильной блокировки при выполнении операций над объектом.
24 июня, через 2 недели после июньского Patch Tuesday, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC-ом эксплоита. Также доступно видео с запуском утилиты для получения привилегий SYSTEM.
В последнее время EoP/LPE уязвимости Windows очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.
@avleonovrus #Microsoft #Windows #WindowsKernel #ZDI #NtQueryInformationToken
24 июня, через 2 недели после июньского Patch Tuesday, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC-ом эксплоита. Также доступно видео с запуском утилиты для получения привилегий SYSTEM.
В последнее время EoP/LPE уязвимости Windows очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.
@avleonovrus #Microsoft #Windows #WindowsKernel #ZDI #NtQueryInformationToken
Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
YouTube
AirPods подслушивают / Трекеры убивают / Мир сходит с ума / 156
— Шпион в ушной раковине. Как AirPods предали миллионы пользователей.
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor.
🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.
🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.
🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.
Что сказать? Фейл эпичнейший.
🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.
🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.
@avleonovrus #CrowdStrike #BSODStrike #Microsoft #Windows
🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.
🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.
🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.
Что сказать? Фейл эпичнейший.
🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.
🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.
@avleonovrus #CrowdStrike #BSODStrike #Microsoft #Windows
No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы...)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет...)
И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали...
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали...
(Пока что...)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка...
С таким не справится устаревший онпрем, для такого нужны облака...
А если серьёзно... В 22-ом CrowdStrike из России ушёл...
И, как по мне, это очень, очень, ну просто ооочень хорошо!
MP3 файл
@avleonovrus #fun #music #поёмCVE #CrowdStrike #BSODStrike #Microsoft #Windows #CloudAgent #SecurityContent #Detection #onprem
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы...)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет...)
И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали...
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали...
(Пока что...)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка...
С таким не справится устаревший онпрем, для такого нужны облака...
А если серьёзно... В 22-ом CrowdStrike из России ушёл...
И, как по мне, это очень, очень, ну просто ооочень хорошо!
MP3 файл
@avleonovrus #fun #music #поёмCVE #CrowdStrike #BSODStrike #Microsoft #Windows #CloudAgent #SecurityContent #Detection #onprem
YouTube
Трек про инцидент c CrowdStrike BSODStrike "No Boot - No Hacker!"
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike…
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike…
Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.
Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷♂️
9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.
Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷♂️ В интранетах их должно быть без счёта.
❗️ Выглядит как долгоиграющая трендовая история.
Исследователи обещают нам ещё BadLicense и DeadLicense. 😉
@avleonovrus #Microsoft #Windows #MadLicense #RDP #RDL
Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷♂️
9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.
Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷♂️ В интранетах их должно быть без счёта.
❗️ Выглядит как долгоиграющая трендовая история.
Исследователи обещают нам ещё BadLicense и DeadLicense. 😉
@avleonovrus #Microsoft #Windows #MadLicense #RDP #RDL