Августовский Microsoft Patch Tuesday. 130 CVE, из которых 45 были добавлены с июльского MSPT.
В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂
6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.
🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)
Другие:
🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂
6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.
🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)
Другие:
🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189).
Microsoft Project - программа управления проектами. Обеспечивает разработку планов, распределение ресурсов по задачам, отслеживание прогресса и анализ объёмов работ.
Уязвимость исправлена в рамках августовского Patch Tuesday. Зловредный код выполняется при открытии жертвой специального файла Microsoft Office Project, полученного в фишинговом письме или скаченного с сайта злоумышленника.
👾 Для успешной атаки должны быть отключены:
🔹 Политика "Блокировать запуск макросов в файлах Office из Интернет" (по умолчанию включена).
🔹 "VBA Macro Notification Settings".
Предпросмотр файлов в "Preview Pane" не является вектором эксплуатации. 👍
Как видите, для успешной атаки требуется довольно много условий, однако Microsoft сообщает о случаях эксплуатации уязвимости вживую. 🤷♂️
@avleonovrus #Microsoft #MSProject #VBA
Microsoft Project - программа управления проектами. Обеспечивает разработку планов, распределение ресурсов по задачам, отслеживание прогресса и анализ объёмов работ.
Уязвимость исправлена в рамках августовского Patch Tuesday. Зловредный код выполняется при открытии жертвой специального файла Microsoft Office Project, полученного в фишинговом письме или скаченного с сайта злоумышленника.
👾 Для успешной атаки должны быть отключены:
🔹 Политика "Блокировать запуск макросов в файлах Office из Интернет" (по умолчанию включена).
🔹 "VBA Macro Notification Settings".
Предпросмотр файлов в "Preview Pane" не является вектором эксплуатации. 👍
Как видите, для успешной атаки требуется довольно много условий, однако Microsoft сообщает о случаях эксплуатации уязвимости вживую. 🤷♂️
@avleonovrus #Microsoft #MSProject #VBA
Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. Эксплоитов и признаков эксплуатации вживую пока не видно, но описание уязвимости выглядит страшновато. 😱
Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".
🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷♂️
Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱
Update
@avleonovrus #Microsoft #PatchTuesday #Windows #CyberKunlun #TCPIP #IPv6
Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".
🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷♂️
Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱
Update
@avleonovrus #Microsoft #PatchTuesday #Windows #CyberKunlun #TCPIP #IPv6
Про уязвимость Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213). Уязвимость вышла в рамках августовского Microsoft Patch Tuesday (хотя ZDI пишут, что MS исправили её раньше, в июне).
Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.
В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.
🔹 К WebDAV шаре можно обращаться через веб-браузер:
🔹 А можно через Windows Explorer (как к SMB):
И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷♂️ Отсюда название "Copy2Pwn". 😏
Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.
@avleonovrus #Microsoft #MoTW #Copy2Pwn #ZDI #WebDAV #DarkGate
Уязвимость позволяет злоумышленникам обходить функцию безопасности SmartScreen, защищающую пользователей от запуска потенциально вредоносных файлов, скаченных из Интернет.
В чём суть. Есть такой набор расширений над HTTP для совместной работы с файлами - WebDAV.
🔹 К WebDAV шаре можно обращаться через веб-браузер:
http://10.37.129.2/example_webdav_folder/somefile
🔹 А можно через Windows Explorer (как к SMB):
\\10.37.129.2@80\example_webdav_folder
И при копировании из шары через Windows Explorer метка Mark-of-the-Web почему-то не проставлялась. 🤷♂️ Отсюда название "Copy2Pwn". 😏
Исследователи ZDI обнаружили признаки эксплуатации уязвимости в марте 2024 в семплах, связанных с оператором зловреда DarkGate.
@avleonovrus #Microsoft #MoTW #Copy2Pwn #ZDI #WebDAV #DarkGate
По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178). Уязвимость из августовского Patch Tuesday. Жертва переходит по ссылке злоумышленника, происходит повреждение памяти и выполнение произвольного кода злоумышленника.
Тонкость в том, что жертва должна открывать ссылку в браузере Edge от Microsoft в режиме совместимости с Internet Explorer. Но зачем жертве настраивать браузер в такой режим?
🔻 Жертва может по работе пользоваться каким-то старым веб-приложением, которое работает только в Internet Explorer, поэтому браузер так настроен. Не такая уж редкая ситуация. 😏
🔻Злоумышленник может попытаться убедить жертву включить настройку "Allow sites to be reloaded in Internet Explorer mode (IE mode)" в Edge. 🤷♂️
Так или иначе, уязвимость эксплуатируется вживую и для неё уже есть (полу?🤔)публичный эксплоит. Мои коллеги по PT ESC поделились сегодня в канале @ptESCalator как они этот эксплоит нашли и протестировали. 🔍
@avleonovrus #Microsoft #Edge #InternetExplorer #PositiveTechnologies #PTESC
Тонкость в том, что жертва должна открывать ссылку в браузере Edge от Microsoft в режиме совместимости с Internet Explorer. Но зачем жертве настраивать браузер в такой режим?
🔻 Жертва может по работе пользоваться каким-то старым веб-приложением, которое работает только в Internet Explorer, поэтому браузер так настроен. Не такая уж редкая ситуация. 😏
🔻Злоумышленник может попытаться убедить жертву включить настройку "Allow sites to be reloaded in Internet Explorer mode (IE mode)" в Edge. 🤷♂️
Так или иначе, уязвимость эксплуатируется вживую и для неё уже есть (полу?🤔)публичный эксплоит. Мои коллеги по PT ESC поделились сегодня в канале @ptESCalator как они этот эксплоит нашли и протестировали. 🔍
@avleonovrus #Microsoft #Edge #InternetExplorer #PositiveTechnologies #PTESC
Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. 2 недели назад я уже писал почему она потенциально опасна. Теперь опасность значительно повысилась:
🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.
🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.
В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.
❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.
@avleonovrus #Microsoft #PatchTuesday #Windows #TCPIP #IPv6
🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.
🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.
В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.
❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.
@avleonovrus #Microsoft #PatchTuesday #Windows #TCPIP #IPv6
Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday. Всего в августовском MSPT было 3 EoP с признаками эксплуатации вживую. У них идентичные описания: злоумышленник может поднять права на хосте до уровня SYSTEM. Уязвимость в Windows Kernel эксплуатировать сложнее, т.к. нужно выиграть race condition.
Только для EoP в Windows Ancillary Function Driver (AFD.sys) есть информация, кто именно её эксплуатирует. Эксплуатирует её известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, компании стоящей за антивирусами Avira и Avast. Для нейтрализации ИБ продуктов в процессе атаки злоумышленники Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то хост полностью защищён и обновлять его уже необязательно. 😏
@avleonovrus #Windows #Microsoft #PatchTuesday #AFDsys #GenDigital #Lazarus #Fudmodule
Только для EoP в Windows Ancillary Function Driver (AFD.sys) есть информация, кто именно её эксплуатирует. Эксплуатирует её известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, компании стоящей за антивирусами Avira и Avast. Для нейтрализации ИБ продуктов в процессе атаки злоумышленники Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то хост полностью защищён и обновлять его уже необязательно. 😏
@avleonovrus #Windows #Microsoft #PatchTuesday #AFDsys #GenDigital #Lazarus #Fudmodule
Обнаружил, что данные ресёрчей по Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077), о которых я писал недели 3 назад, были удалены. И на GitHub, и на Google Sites.
И что это всё значит? 🤔 А фиг его знает. 🤷♂️ Учитывая, что пропало сразу на двух платформах, то удалили видимо сами китайские ресёрчеры. Зачем они это сделали? Возможно они наладили диалог с Microsoft и те попросили их убрать всё из паблика (что, естественно, глуповато - Интернет всё помнит). Возможно кто-то другой попросил их это сделать. 🫡 Лишний повод обратить внимание на эту уязвимость.
@avleonovrus #Microsoft #Windows #MadLicense #RDP #RDL
И что это всё значит? 🤔 А фиг его знает. 🤷♂️ Учитывая, что пропало сразу на двух платформах, то удалили видимо сами китайские ресёрчеры. Зачем они это сделали? Возможно они наладили диалог с Microsoft и те попросили их убрать всё из паблика (что, естественно, глуповато - Интернет всё помнит). Возможно кто-то другой попросил их это сделать. 🫡 Лишний повод обратить внимание на эту уязвимость.
@avleonovrus #Microsoft #Windows #MadLicense #RDP #RDL
Сентябрьский Microsoft Patch Tuesday. 107 CVE, из которых 28 были добавлены с августовского MSPT. 6 уязвимостей с признаками эксплуатации вживую:
🔻 Remote Code Execution - Windows Update (CVE-2024-43491)
🔻 Elevation of Privilege - Windows Installer (CVE-2024-38014)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38217), Microsoft Publisher (CVE-2024-38226), Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)
Без признаков эксплуатации, но с приватными эксплоитами:
🔸 Authentication Bypass - Azure (CVE-2024-38175)
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-43487)
🔸 Elevation of Privilege - Windows Storage (CVE-2024-38248)
Остальное интересное:
🔹 Remote Code Execution - Microsoft SQL Server (CVE-2024-37335 и ещё 5 CVE)
🔹 Remote Code Execution - Windows NAT (CVE-2024-38119)
🔹 Elevation of Privilege - Windows Win32k (CVE-2024-38246, CVE-2024-38252, CVE-2024-38253)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 Remote Code Execution - Windows Update (CVE-2024-43491)
🔻 Elevation of Privilege - Windows Installer (CVE-2024-38014)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38217), Microsoft Publisher (CVE-2024-38226), Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)
Без признаков эксплуатации, но с приватными эксплоитами:
🔸 Authentication Bypass - Azure (CVE-2024-38175)
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-43487)
🔸 Elevation of Privilege - Windows Storage (CVE-2024-38248)
Остальное интересное:
🔹 Remote Code Execution - Microsoft SQL Server (CVE-2024-37335 и ещё 5 CVE)
🔹 Remote Code Execution - Windows NAT (CVE-2024-38119)
🔹 Elevation of Privilege - Windows Win32k (CVE-2024-38246, CVE-2024-38252, CVE-2024-38253)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺
📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #MadLicense #RDP #RDL #MoTW #Copy2Pwn #ZDI #WebDAV #DarkGate #AFDsys #GenDigital #Lazarus #Fudmodule #WordPress #LiteSpeedCache
📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #MadLicense #RDP #RDL #MoTW #Copy2Pwn #ZDI #WebDAV #DarkGate #AFDsys #GenDigital #Lazarus #Fudmodule #WordPress #LiteSpeedCache
YouTube
В тренде VM: дайджест за август
«В тренде VM» — ежемесячная рубрика в SecurityLab, посвященная трендовым уязвимостям.
В этом выпуске обсудим, как шесть трендовых уязвимостей августа могут поставить под угрозу вашу безопасность. Рассмотрим уязвимости в компонентах Windows, которые потенциально…
В этом выпуске обсудим, как шесть трендовых уязвимостей августа могут поставить под угрозу вашу безопасность. Рассмотрим уязвимости в компонентах Windows, которые потенциально…
Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday. На момент публикации, Microsoft не отмечали эту уязвимость как эксплуатирующуюся вживую. Сделали они это только через 3 дня, 13 сентября.
Уязвимость обнаружил исследователь ZDI Threat Hunting team Питер Гирнус в ходе расследования атак APT группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.
Суть уязвимости в том, что злодеи скрывали расширение открываемого зловредного HTA файла, добавляя в его имя 26 пробельных символа из шрифта Брайля. Таким образом жертва могла подумать, что открывает безобидный PDF документ.
После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение. 👍
@avleonovrus #Microsoft #MSHTML #ZDI #VoidBanshee
Уязвимость обнаружил исследователь ZDI Threat Hunting team Питер Гирнус в ходе расследования атак APT группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.
Суть уязвимости в том, что злодеи скрывали расширение открываемого зловредного HTA файла, добавляя в его имя 26 пробельных символа из шрифта Брайля. Таким образом жертва могла подумать, что открывает безобидный PDF документ.
После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение. 👍
@avleonovrus #Microsoft #MSHTML #ZDI #VoidBanshee
Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014). Уязвимость была исправлена 10 сентября в рамках сентябрьского Microsoft Patch Tuesday. Её обнаружил Michael Baer из SEC Consult. 12 сентября вышел их блог-пост с деталями эксплуатации.
MSI файлы - стандартный способ установки, восстановления (repair) и удаления программ в Windows. Установка требует высоких привилегий. А функцию восстановления может запускать и низкопривилегированный пользователь. При том, что сама функция может выполняться в контексте NT AUTHORITY\SYSTEM. 🤔
Злоумышленник запускает MSI файл уже установленного приложения, выбирает режим repair и взаимодействует со всплывающим окном консоли, запущенным от SYSTEM. Через несколько шагов он получает интерактивную консоль с правами SYSTEM.
Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI установщик выполняет действие с повышенными привилегиями, т.е. до появления окна консоли. Это блокирует атаку.
@avleonovrus #Microsoft #WindowsInstaller
MSI файлы - стандартный способ установки, восстановления (repair) и удаления программ в Windows. Установка требует высоких привилегий. А функцию восстановления может запускать и низкопривилегированный пользователь. При том, что сама функция может выполняться в контексте NT AUTHORITY\SYSTEM. 🤔
Злоумышленник запускает MSI файл уже установленного приложения, выбирает режим repair и взаимодействует со всплывающим окном консоли, запущенным от SYSTEM. Через несколько шагов он получает интерактивную консоль с правами SYSTEM.
Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI установщик выполняет действие с повышенными привилегиями, т.е. до появления окна консоли. Это блокирует атаку.
@avleonovrus #Microsoft #WindowsInstaller
Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014). Чтобы не выглядело, что эта уязвимость может эксплуатироваться абсолютно универсально.
🔹 Для атаки злоумышленнику требуется доступ к GUI Windows. Естественно, окошко ведь нужно увидеть и "поймать". Вот прям мышкой. Задачу упрощает утилита SetOpLock, которое не даёт окошку закрываться.
🔹 Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причём актуальный Edge или IE не подойдёт, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge или IE не должны быть установлены в качестве браузера по умолчанию.
🔹 Не для каждого MSI файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.
@avleonovrus #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI
🔹 Для атаки злоумышленнику требуется доступ к GUI Windows. Естественно, окошко ведь нужно увидеть и "поймать". Вот прям мышкой. Задачу упрощает утилита SetOpLock, которое не даёт окошку закрываться.
🔹 Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причём актуальный Edge или IE не подойдёт, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge или IE не должны быть установлены в качестве браузера по умолчанию.
🔹 Не для каждого MSI файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.
@avleonovrus #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI
Октябрьский Microsoft Patch Tuesday. 146 CVE, из которых 28 были добавлены с сентябрьского MSPT. 2 уязвимости с признаками эксплуатации вживую:
🔻 Remote Code Execution - Microsoft Management Console (CVE-2024-43572)
🔻 Spoofing - Windows MSHTML Platform (CVE-2024-43573)
Без признаков эксплуатации, но с PoC-ом эксплоита:
🔸 Remote Code Execution - Open Source Curl (CVE-2024-6197)
Существование приватных эксплоитов зафиксировано для:
🔸 Information Disclosure - Microsoft Edge (CVE-2024-38222)
🔸 Security Feature Bypass - Windows Hyper-V (CVE-2024-20659)
Из остальных можно выделить:
🔹 Remote Code Execution - Remote Desktop Protocol Server (CVE-2024-43582)
🔹 Remote Code Execution - Windows Remote Desktop Client (CVE-2024-43533, CVE-2024-43599)
🔹 Remote Code Execution - Windows Routing and Remote Access Service (RRAS) (CVE-2024-38212 и ещё 11 CVE)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 Remote Code Execution - Microsoft Management Console (CVE-2024-43572)
🔻 Spoofing - Windows MSHTML Platform (CVE-2024-43573)
Без признаков эксплуатации, но с PoC-ом эксплоита:
🔸 Remote Code Execution - Open Source Curl (CVE-2024-6197)
Существование приватных эксплоитов зафиксировано для:
🔸 Information Disclosure - Microsoft Edge (CVE-2024-38222)
🔸 Security Feature Bypass - Windows Hyper-V (CVE-2024-20659)
Из остальных можно выделить:
🔹 Remote Code Execution - Remote Desktop Protocol Server (CVE-2024-43582)
🔹 Remote Code Execution - Windows Remote Desktop Client (CVE-2024-43533, CVE-2024-43599)
🔹 Remote Code Execution - Windows Routing and Remote Access Service (RRAS) (CVE-2024-38212 и ещё 11 CVE)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁
Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.
📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Содержание:
🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA
Этот эпизод мы сначала выпускаем на ВК Видео и RUTUBE. Ролик на YouTube появится ориентировочно на следующей неделе.
📹 Ролик "В тренде VM" на VK Видео и RUTUBE
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Содержание:
🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #WindowsInstaller #SECConsult #msiscan #MSI #LNKStomping #MotW #MSHTML #ZDI #VoidBanshee #DCERPC #VMware #vCenter #Veeam #Backup #Replication #CODEWHITE #watchTowrLabs #Sophos #Akira #Fog #Roundcube #WordPress #TheEventsCalendar #reCAPTCHA #Phishing #HumanVM #pager #GoldApollo #AR924 #ICOM #ICV82 #smartphone #VMprocess #PTVMcourse #Remediation #SLA
VK Видео
В тренде VM: уязвимости сентября
Эксперты Positive Technologies выделили семь критичных уязвимостей сентября. Некоторые из них уже используют злоумышленники, а остальные могут стать их следующей мишенью. В этом выпуске разбираем трендовые уязвимости, включая повышение привилегий в установщике…
Повысилась критичность уязвимости Elevation of Privilege - Microsoft Streaming Service (CVE-2024-30090). Уязвимость была исправлена в рамках июньского Microsoft Patch Tuesday. На тот момент никто эту уязвимость не выделял. Уязвимость обнаружил исследователь с ником Angelboy из компании DEVCORE. Подробности по уязвимости содержатся в серии его постов, опубликованных 23 августа и 5 октября.
Уязвимость касается фреймворка Kernel Streaming, который отвечает за обработку потоковых данных. Он используется, например, когда системе необходимо прочитать данные с ваших микрофонов или веб-камер в оперативную память. Этот фреймворк работает, в основном, в режиме ядра.
5 октября Angelboy выложил видео эксплуатации уязвимости, демонстрирующее получение интерактивной консоли с правами System.
17 октября исследователь с ником Dor00tkit выложил PoC эксплоита на GitHub.
Обновления доступны для Windows 10 и 11, а также Windows Server от 2008 до 2022.
@avleonovrus #Microsoft #StreamingService #KernelStreaming #DEVCORE
Уязвимость касается фреймворка Kernel Streaming, который отвечает за обработку потоковых данных. Он используется, например, когда системе необходимо прочитать данные с ваших микрофонов или веб-камер в оперативную память. Этот фреймворк работает, в основном, в режиме ядра.
5 октября Angelboy выложил видео эксплуатации уязвимости, демонстрирующее получение интерактивной консоли с правами System.
17 октября исследователь с ником Dor00tkit выложил PoC эксплоита на GitHub.
Обновления доступны для Windows 10 и 11, а также Windows Server от 2008 до 2022.
@avleonovrus #Microsoft #StreamingService #KernelStreaming #DEVCORE
Повысилась критичность уязвимости Elevation of Privilege - Windows Kernel-Mode Driver (CVE-2024-35250). Эта уязвимость была исправлена в июньском Microsoft Patch Tuesday. Как и в случае с уязвимостью CVE-2024-30090, её обнаружил исследователь с ником Angelboy из компании DEVCORE. И она также касается фреймворка Kernel Streaming, а конкретно его ядерного компонента - драйвера ks.sys. Подробности по этой уязвимости Angelboy написал в посте 23 августа.
13 октября на GitHub появился PoC эксплоита от пользователя varwara. Также в репозитории есть видео, демонстрирующее запуск эксплоита и получение прав System.
Обновления доступны для Windows 10 и 11, а также Windows Server от 2008 до 2022.
@avleonovrus #Microsoft #kssys #KernelStreaming #DEVCORE
13 октября на GitHub появился PoC эксплоита от пользователя varwara. Также в репозитории есть видео, демонстрирующее запуск эксплоита и получение прав System.
Обновления доступны для Windows 10 и 11, а также Windows Server от 2008 до 2022.
@avleonovrus #Microsoft #kssys #KernelStreaming #DEVCORE
Повысилась критичность уязвимости Remote Code Execution - Microsoft SharePoint (CVE-2024-38094). Уязвимость была исправлена в рамках июльского Microsoft Patch Tuesday (9 июля).
SharePoint - популярная платформа для корпоративных порталов. Согласно бюллетеню Microsoft, аутентифицированный злоумышленник с правами Site Owner может использовать уязвимость для внедрения произвольного кода и выполнения этого кода в контексте SharePoint Server.
10 июля на GitHub появился репозиторий с PoC-ом эксплоита для этой уязвимости, а также видео, демонстрирующее как злоумышленник может запускать процессы на атакуемом сервере SharePoint. Поиском в GitHub по номеру CVE репозиторий с эксплоитом не находится, но ссылка есть в материале The Hacker News. Согласно описанию эксплоита, он также относится к июльским RCE-уязвимостям в SharePoint CVE-2024-38023 и CVE-2024-38024.
22 октября уязвимость добавили в CISA KEV, значит появились доказательства её эксплуатации в реальных атаках.
@avleonovrus #SharePoint #Microsoft #CISAKEV
SharePoint - популярная платформа для корпоративных порталов. Согласно бюллетеню Microsoft, аутентифицированный злоумышленник с правами Site Owner может использовать уязвимость для внедрения произвольного кода и выполнения этого кода в контексте SharePoint Server.
10 июля на GitHub появился репозиторий с PoC-ом эксплоита для этой уязвимости, а также видео, демонстрирующее как злоумышленник может запускать процессы на атакуемом сервере SharePoint. Поиском в GitHub по номеру CVE репозиторий с эксплоитом не находится, но ссылка есть в материале The Hacker News. Согласно описанию эксплоита, он также относится к июльским RCE-уязвимостям в SharePoint CVE-2024-38023 и CVE-2024-38024.
22 октября уязвимость добавили в CISA KEV, значит появились доказательства её эксплуатации в реальных атаках.
@avleonovrus #SharePoint #Microsoft #CISAKEV
Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday? На самом деле только то, что она эксплуатируется вживую. Write-up-ов и публичных эксплоитов пока нет. Секция Acknowledgements в бюллетене Microsoft пуста. Непонятно, кто её зарепортил и от кого ждать подробностей.
В обзоре Patch Tuesday от ZDI предположили, что это может быть дополнительным исправлением похожей июльской уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-38112). У них совпадает тип и уязвимый компонент. Июльская уязвимость касалась обработки ".url" файлов и эксплуатировалась APT группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, что злоумышленники научились обходить исправление для уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение. Но уязвимость лучше не игнорировать, несмотря на её низкий CVSS Base Score (6.5).
@avleonovrus #Microsoft #MSHTML #ZDI #VoidBanshee #AtlantidaStealer
В обзоре Patch Tuesday от ZDI предположили, что это может быть дополнительным исправлением похожей июльской уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-38112). У них совпадает тип и уязвимый компонент. Июльская уязвимость касалась обработки ".url" файлов и эксплуатировалась APT группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, что злоумышленники научились обходить исправление для уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение. Но уязвимость лучше не игнорировать, несмотря на её низкий CVSS Base Score (6.5).
@avleonovrus #Microsoft #MSHTML #ZDI #VoidBanshee #AtlantidaStealer
С чего бы количеству новых уязвимостей уменьшаться, если код не становится лучше? Даже Майкрософт с их образцовой системой выявления и исправления уязвимостей (без шуток, в этом они top-notch) и минимизацией использования чужого кода практически каждый месяц исправляет больше сотни уязвимостей в своих продуктах. Откуда-то ведь они берутся? Кто-то лепит эти баги, уходящие беспрепятственно в прод? Учитывая лаг в месяцы между тем как исследователь сообщает об уязвимости в Microsoft и, собственно, датой выхода фикса, известных незакрытых уязвимостей в бэклоге у MS должно быть очень и очень много.
Что уж говорить о компаниях попроще, продающих под видом своих продуктов сплошной суп из за... заимствованного опенсурсного кода. 🙂 Который зачастую разрабатывает полусумасшедший мейнтейнер-энтузиаст на пару с очередным фейковым Jia Tan-ом. 😈 Это они, должны требования по безопасной разработке выполнять, чтобы не допускать уязвимостей? Ну да, конечно, ждите-ждите. 😏
@avleonovrus #Microsoft #Prediction #OpenSource
Что уж говорить о компаниях попроще, продающих под видом своих продуктов сплошной суп из за... заимствованного опенсурсного кода. 🙂 Который зачастую разрабатывает полусумасшедший мейнтейнер-энтузиаст на пару с очередным фейковым Jia Tan-ом. 😈 Это они, должны требования по безопасной разработке выполнять, чтобы не допускать уязвимостей? Ну да, конечно, ждите-ждите. 😏
@avleonovrus #Microsoft #Prediction #OpenSource