Taggat med: windows

Windows RCE i LDAP

I tisdags var det återigen dags för Microsofts månatliga Patch-tisdag, och denna gång adresserades ett antal mycket allvarliga säkerhetsbrister. Totalt patchades 16 sårbarheter som möjliggör Remote Code Execution (RCE), varav flera klassas som kritiska.

Den brist med högst CVSSv3 base score var en sårbarhet i Windows LDAP-hantering som hamnar på hela 9.8. Som förmildrande åtgärd rekommenderar Microsoft att blockera inkommande RPC-anrop, samt förhindra helt utgående trafik från domänkontrollanter. Vid utnyttjande av bristen så erhåller en eventuell angripare samma rättigheter som LDAP-tjänsten. Samt så klart installera själva patchen som åtgärdar bristen (och övriga brister inom LDAP som listas nedan).

Extended Protection for Authentication (EPA), SMB signing och LDAP signing + channel binding är rekommenderat att använda generellt i Windows-miljöer för att höja säkerheten.

Även så har ett aktivt utnyttjande av en zero-day i Windows Common Log File System (CLFS) identifierats och patchats, CVE-2024-49138. Den har en något lägre CVSS på 7.8, främst för att det är en lokal brist men medger rättighetshöjningar.

Nedan följer en tabell med samtliga tre brister som åtgärdas i LDAP:

SeverityCVSS ScoreCVEDescription
Critical9.8CVE-2024-49112Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability
Critical8.1CVE-2024-49124Windows Lightweight Directory Access Protocol (LDAP) Client Remote Code Execution Vulnerability
Critical8.1CVE-2024-49127Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability

0-klick RCE i Windows IPv6-stack åtgärdad

0-klick RCE i Windows IPv6-stack åtgärdad

Uppdatering: Enligt en källa på X (fd Twitter) så återfinnes sårbarheten i funktionen Ipv6pProcessOptions.

I veckan så var det dags för den månatliga patch-tisdagen, då Microsoft släpper viktiga buggfixar för Windows. Denna gång hanterades hela 90 CVE:er, varav en särskilt intressant sårbarhet stack ut: en 0-klick Remote Code Execution-sårbarhet i Windows TCP/IP-stack.

Detta innebär att skadlig kod kan fjärrexekveras på en Windows-server eller klient utan någon som helst användarinteraktion. Sårbarheten har identifierats som CVE-2024-38063 och återfinns specifikt i IPv6-delarna av TCP/IP-stacken. Den har tilldelats en allvarlighetsgrad på hela 9.8 och klassificeras som:

  • CWE-191: Integer Underflow (Wrap or Wraparound)

Denna kritiska sårbarhet upptäcktes av det kinesiska säkerhetsföretaget Kunlun Lab, och Microsoft har i sin säkerhetsrådgivning angivit att risken för utnyttjande är hög: Exploitation More Likely.

Rekommenderad åtgärd är att stänga av IPv6 temporärt alternativt installera denna månads säkerhetspatch.

Remote Code Execution i Windows http.sys

Remote Code Execution i Windows http.sys

På tisdagen var det åter igen för Microsofts månatliga patch-release. En av de mer intressanta säkerhetsbristerna som åtgärdades var en Remote Code Execution (RCE) brist i http.sys. Sårbarheten har fått CVE-2022-21907.

Denna sårbarhet återfinns i hanteringen av HTTP-headers och mer specifikt HTTP trailers (RFC7230) och Microsoft uppger att sårbarheten kan utnyttjas för att spridas per automatik ”wormable”.

Som förmildrande åtgärd har Microsoft uppget att ta bort registernyckeln EnableTrailerSupport om den finns under denna sökväg:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

Värt att notera är också att den har en CVSS base score på 9.8 av 10. Microsoft uppger även att standardinstallationer av Windows Server 2019 och Windows 10 version 1809 inte är sårbara, utan enbart om man manuellt slår på EnableTrailerSupport. Sårbarheten finns inte i Windows 10, version 1909.

Det är inte första gången som brister identifieras i http.sys, för att nämna några tidigare RCEer:

Ny version av Windows Sysinternals Sysmon

Uppdatering: Nya versionen har nu släppts och event ID 22 representerar DNS-frågor:

Event ID 22: DNSEvent (DNS query)

This event generates when a process executes a DNS query, whether the result is successful or fails, cached or not.

is event generates when a process executes a DNS query, whether the result is successful or fails, cached or not.

Även så framgår följande uppdateringar i v10:

This release of Sysmon adds DNS query logging, reports OriginalFileName in process create and load image events, adds ImageName to named pipe events, logs pico process creates and terminates, and fixes several bugs.

Mark Russinovich som tillvardags är CTO på Microsoft Azure meddelade på Twitter att det kommer en ny version av System Monitor (Sysmon) idag Tisdag.

Denna nya version stödjer bl.a. DNS-loggning direkt till eventloggen i Windows. Både förfrågningar och svar loggas till eventloggen som DnsQuery.

När jag skriver detta under tisdagen har dock ännu inte den nya versionen av Sysmon släppts.

Skärmdump:

Ovan skärmdump visar att QueryResults returnerar 5 vilket är CNAME. Att logga svaren på detta sätt är bra vid SOC/SIEM och Threat Hunting eftersom svaren kan ändras med tiden och på detta sätt så får vi en ögonblicksbild hur frågan och svaret såg ut vid just detta tillfälle.

Här kan du ladda hem Sysmon: docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Microsoft månatliga patchar för Mars

Microsoft har nu släppt de månatliga säkerhetspatcharna för Mars månad. En av de viktigaste säkerhetsfixarna är en som åtgärdar en RCE (Remote Code Execution) i CredSSP som används för bl.a. RDP (Remote Desktop). Denna sårbarhet har CVE-2018-0886 och som förmildrande faktor så måste angripare utföra MITM (man-i-mitten).

75 sårbarheter åtgärdas totalt varav 14 är kritiska och följande produkter åtgärdar Microsoft brister i:

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Microsoft Exchange Server
  • ASP.NET Core
  • .NET Core
  • PowerShell Core
  • ChakraCore
  • Adobe Flash

För den som undrar så är ChakraCore den JavaScript-motor som återfinnes i webbläsaren Edge. Och vad som jag tycker är intressant är att Microsoft patchar en sårbarhet i Adobe Flash.

Uppdatering: Att Adobe Flash uppdateras beror troligtvis på att Flash numera är inbyggt i webbläsaren.

Nyupptäckt sårbarhet i IIS 6.0

Mer än 8 miljoner webbplatser kan vara sårbar för en nyligen identifierad säkerhetsbrist i Internet Information Services (IIS) 6.0. Sårbarheten har utnyttjats på Internet sedan Juli 2016 och identifierades ”in the wild”.

Den sårbara funktionen heter ScStoragePathFromUrl och är en del av WebDAV:

Microsoft Windows Server 2003 R2 allows remote attackers to execute arbitrary code via a long header beginning with ”If: <http://” in a PROPFIND request

Säkerhetsbuggen identifierades av Zhiniang Peng samt Chen Wu vid South China University of Technology Guangzhou, Kina.

Enligt tjänsten BuiltWith så IIS används IIS på 13.8% av alla webbsajter samt IIS 6.0 versionen på 2.3% av alla webbsajter vilket motsvarar cirka 8.3 miljoner sajter.

Behöver Er organisation hjälp med cybersäkerhet? Kontakta Triop AB >

Github så kan du hitta följande exploit som demonstrerar sårbarheten genom att starta upp kalkylatorn i Windows, calc.exe:

https://raw.githubusercontent.com/edwardz246003/IIS_exploit/master/exploit.py

Givetvis ska inte IIS 6.0 användas då detta är en mycket gammal version, men troligtvis så kan det hjälpa att stänga av WebDAV för att förhindra att sårbarheten utnyttjas.

Och här finnes en Snort-signatur (källa):

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-MISC IIS v6
WebDAV ScStoragePathFromUrl overflow attempt"; flow:to_server,established;
content:"PROPFIND"; nocase; http_method; content:"|0a|If|3a|"; nocase;
http_raw_header; isdataat:1000,relative; content:!"|0A|"; http_raw_header;
within:1000; reference:cve,2017-7269; reference:url,github.com/
edwardz246003/IIS_exploit;
classtype:web-application-attack; sid:1; rev:1;)

 

Ny version av PuTTY åtgärdar säkerhetsbrister

Putty är en omåttligt populär programvara till Windows som används för att ansluta med ssh. Nu har version 0.68 släppts som åtgärdar två säkerhetsbrister som återfinnes i SSH-agent forwarding samt hur DLL:er laddas in.

Läs mer här:

Och den som kan sin putty-historia vet att den är kantad med diverse sårbarheter. Det har hänt åtskilliga gånger exempelvis att minnet inte har rensats korrekt efter nycklar och lösenord.

Och här kan du ladda hem en ny version av putty:

Glöm inte att verifiera signaturen.

Windows SMBv3 zero-day

Proof of Concept (PoC)-kod för en ny zero-day har släppts på Github. Koden kan få en Windows-klient att krascha över nätverket i dagsläget (denial of service) men oklart om detta kan leda till något allvarligare.

Det koden gör är simulera en server och skickar då SMBv3-paket som får klienter av typen Windows 8 eller Windows Server 2012 är blåskärma. Detta för att enbart dessa operativsystem och nyare som stödjer version 3 av SMB-protokollet.

För att förmildra eventuell skada så rekommenderas blockering av TCP portar 139 och 445 samt UDP port 137 och 138 in/utgående genom brandväggar.

PCAP finnes här:

Skärmdump från Windows 8 där denna brist utnyttjas:

Badlock: Den 12:de April släpps ny allvarlig säkerhetsbugg

badlockDen 12:de April så kommer en ny sårbarhet att publiceras till Windows och Samba. Och säkerhetsbuggen har redan nu en webbplats, namn och logotyp.

Säkerhetsbuggen har fått namnet Badlock och vi kan gissa att det har någonting med behörighetskontrollerna att göra.

Buggen har upptäckts av den tyska utvecklaren Stefan Metzmacher som jobbar för Sambas utvecklingsteam.

Vi kommer att släppa mer information om buggen längre fram och håll även koll på webbplatsen: badlock.org

 

Kryptouppdateringar i Microsoft Windows

Windows krypteringMicrosoft meddelade för ett tag sedan att man avser att stärka krypteringen i Windows under perioden 2012-2013 och nedan kan du se några av förbättringarna som håller på att införas.

Många av dessa förändringar är redan inbyggda i Windows 8 samt Windows Server 2012 och är även nu åtgärdade för att fungera på äldre operativsystem.

Generellt så gäller förändringarna vilka krypteringsalgoritmer som används men även längden på nycklar.

Microsoft Security Advisory 2661254
This update set a mandatory key length for RSA keys of 1024 bits or stronger by restricting the use of certificates with RSA keys less than 1024 bits in length.

Microsoft Security Advisory 2813430
This update establishes functionality that enables consumers to update trusted and disallowed Certificate Trust Lists (CTL) in non-internet connected environments. CTL’s are a list of approved hashes or certificates approved by a trusted third party. This update allows customers more control in which parties they trust.

Microsoft Security Advisory 2862966
This update established a framework for managing asymmetric cryptography by adding features for monitoring and directly controlling which cryptographic algorithms are used (RSA, DSA or ECDSA), options to set minimum key length as well as to set which hashing algorithms will be permitted for code signing and other functions. All functionality is documented in detail on Microsoft TechNet.

Microsoft Security Advisory 2862973
This update released today as Downloadable Content (DLC) gives customers the option to restrict the use of certificates that utilize the MD5 hashing algorithm as part of their digital signature. We recommend that customers download and test the update in their environment at the earliest opportunity, this will be especially useful for environments that have little or no inventory of their cryptographic and certificate dependencies. This update will only affect MD5 as used in server authentication, code signing and time stamping. There are exceptions for certain certificates and timestamps, please see KB 2862973 for additional details. Microsoft is planning to release this update through Windows Update on February 11, 2014 after customers have a chance to assess the impact of this update and take necessary actions in their enterprise.