В Тренде VM Апрель 2024: 5 CVE в Windows и файрволах Palo Alto Networks
00:00 Приветствие, что такое трендовые уязвимости
00:14 Удаленное выполнение команд в файрволах Palo Alto Networks (CVE-2024-3400)
(❗ Оценка по CVSS — 10,0, критически опасная уязвимость)
Комбинируя две ошибки в PAN-OS, злоумышленники могут выполнить двухэтапную атаку и добиться выполнения произвольных команд на уязвимом устройстве.
Первые попытки эксплуатации уязвимости были зафиксированы 26 марта. Для этих атак исследователи выбрали название «операция MidnightEclipse».
В ходе атак злоумышленники устанавливали на уязвимые устройства кастомный бэкдор на Python, который исследователи из Volexity назвали UPSTYLE, а также другие утилиты для упрощения эксплуатации. Например, утилиту для туннелирования GOST (GO Simple Tunnel).
Какие можно сделать выводы?
Уязвимости Microsoft
01:58 Повышение привилегий в сервисе Print Spooler (CVE-2022-38028)
(❗ Оценка по CVSS — 7,8, высокий уровень опасности)
Эта относительно старая уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. В обзорах Microsoft Patch Tuesday исследователи эту уязвимость не выделяли. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского National Security Agency. Это случается достаточно редко.
В таком состоянии уязвимость пребывала до 22 апреля 2024 года. В этот день Microsoft опубликовала пост про эксплуатацию уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg.
Утилита используется для повышения привилегий до уровня SYSTEM и кражи учеток. Это помогает злоумышленникам развивать атаку: удаленно выполнять код, устанавливать бэкдор, выполнять перемещение внутри периметра через скомпрометированные сети и т. д.
03:51 Удаленное выполнению кода в MSHTML (CVE-2023-35628)
(❗ Оценка по CVSS — 8,1, высокий уровень опасности)
Это еще одна прошлогодняя уязвимость, у которой повысилась степень опасности. Была исправлена в декабрьском Microsoft Patch Tuesday 2023 года.
По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Outlook (до просмотра в preview pane). В результате этого на десктопе пользователя может быть выполнен вредоносный код.
И вот через четыре месяца исследователи Akamai, поставщика услуг для акселерации веб-сайтов, выложили подробный write-up и PoC эксплойта.
05:09 Обход фильтра SmartScreen в Windows Defender (CVE-2024-29988)
(❗ Оценка по CVSS — 8,8, высокий уровень опасности)
Уязвимость была исправлена в апрельском Microsoft Patch Tuesday. По данным ZDI, эта уязвимость эксплуатируется в реальных атаках. При том, что в Microsoft в настоящее время так НЕ считают.
Уязвимость позволяет обходить функцию безопасности Mark of the Web. Эта функция помогает защищать устройства от потенциально вредоносных файлов, загруженных из сети, путем их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищенном режиме или выводить предупреждения о потенциальной опасности.
Как сообщают ZDI, злоумышленники посылают эксплойты в ZIP-файлах, чтобы избежать детектирования системами EDR и NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.
Исследователь угроз ZDI Питер Гирнус написал в своем посте, что патчи Microsoft для CVE-2024-29988 — это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатировалась вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с уязвимостью в файлах Internet Shortcut, позволяющей обходить ограничения безопасности, — CVE-2024-21412, которая попала в список трендовых уязвимостей в феврале.
06:10 Подмена драйвера прокси-сервера в Microsoft (CVE-2024-26234)
(❗ Оценка по CVSS — 6,7, средний уровень опасности)
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является уязвимость, связанная со спуфингом в Proxy Driver (CVE-2024-26234). Что это за зверь такой?
В декабре 2023 года исследователи Sophos в ходе проверок ложных срабатываний обнаруживают странный файл с опечатками в свойствах файла (Copyrigth вместо Copyright, rigths вместо rights) ?
В ходе изучения выяснилось, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP) ? Sophos сообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows revocation list) и завели CVE (CVE-2024-26234).
А причем тут прокси? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.
Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками! #ВтрендеVM #TrendVulns #PositiveTechnologies #PaloAlto #Microsoft #PrintSpooler #MSHTML #SmartScreen
7 views
1160
412
4 weeks ago 00:00:08 5
FOOH-реклама / Coca-Cola vs. Добрый / маркетинг
4 weeks ago 00:05:25 1
Дать ремня - стилист Живутская Юля про ремни в программе “Полезное утро“ на 78 канале
4 weeks ago 00:01:44 1
КУПИТЬ РОБОТА ДЛЯ ФОРЕКС
4 weeks ago 01:47:16 52
[kuji podcast] Александр Панчин: гомеопатия и ГМО (KuJi Podcast 19) (2160p)
4 weeks ago 00:01:32 1
✔ КУПИТЬ ПЛАТОК В ЕКАТЕРИНБУРГЕ 👚
4 weeks ago 00:05:17 1
Обе-рек. Поток. Тамбов.
4 weeks ago 00:01:32 1
🔥 ПАВЛОВОПОСАДСКИЕ ПЛАТКИ ОФИЦИАЛЬНЫЙ САЙТ
4 weeks ago 00:00:25 29
Так что такое Драма? У каждого своя Драма / - Drama Queen
4 weeks ago 00:00:08 2
*не знаю прошел ли комментарий модерацию под новым роликом или нет, но отвечу тут Маш
4 weeks ago 00:13:36 4
обзор на VEGAN паштеты с ОЗОН,паштет белый нут,лесные грибы,болгарский перец и томат,кабачки с пряными травами
4 weeks ago 00:02:04 1
[NTDRussian] Воки ручной работы – новый тренд среди китайской молодёжи
4 weeks ago 00:02:26 1
Советы и Тренды
4 weeks ago 00:04:04 1
[CNBC Television] What to expect from CES 2020
4 weeks ago 03:08:47 6K
Ракетный обмен. Новый виток эскалации? Как высоко поднимется доллар и биткоин?
4 weeks ago 00:01:44 2
🎁 Индикатор треугольник Форекс
4 weeks ago 00:25:57 3.1K
СОБИРАЕМ БЮДЖЕТНУЮ КОСМЕТИЧКУ 2024
4 weeks ago 00:30:10 2
Стрим Sosatov играет в CS2 | Часть 1
4 weeks ago 00:31:11 1
[Michelle McDaniel] The Wicked Cast is NOT ok... EXTREME Weight loss and Strange Meltdowns
4 weeks ago 00:01:44 1
🏁 ФОРЕКС ИНДИКАТОРЫ ТОП 10 ☑ ИНДИКАТОРЫ ДЛЯ ТРЕЙДИНГА С ПОНЯТНЫМИ СИГНАЛАМИ
4 weeks ago 00:03:18 2
Как живёт это существо, которое считал мамой. @arslan_ruslan_gumerov
@the_new_trend_of_the_buddha
4 weeks ago 00:05:13 162
Видео от Юрий Шатунов “ОН НЕ В ТРЕНДЕ-ОН В ИСТОРИИ“.....
4 weeks ago 00:25:47 15
[Alina Мuradimova] НАТУРАЛЬНАЯ КРАСОТА… МЕРТВА? | Как девушки потеряли свою индивидуальность?
4 weeks ago 00:01:12 1
🌈 Стратегия Форекс без риска 🤘 Ts lab 20 создание торговых роботов с нуля
4 weeks ago 00:01:44 1
СТРАТЕГИЯ ФОРЕКС НА СКОЛЬЗЯЩИХ СРЕДНИХ 🔔 СОВЕТНИК ФОРЕКС ЧТО ЭТО