Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. Всего 79 уязвимостей, примерно в полтора раза больше, чем в феврале. Совершенно аномально то, что в этот раз не было ни одной уязвимости с признаками эксплуатации или публичным эксплоитом! 🤔 Ну, во всяком случае пока. 😏

Можно выделить уязвимости:

🔹 RCE - Print Spooler (CVE-2026-23669), Office (CVE-2026-26110, CVE-2026-26113), Excel (CVE-2026-26107, CVE-2026-26108, CVE-2026-26109, CVE-2026-26112), SharePoint Server (CVE-2026-26106, CVE-2026-26114)
🔹 EoP - SQL Server (CVE-2026-21262, CVE-2026-26115, CVE-2026-26116), Windows Kernel (CVE-2026-24287, CVE-2026-24289, CVE-2026-26132), Windows Win32k (CVE-2026-24285), SMB Server (CVE-2026-24294, CVE-2026-26128), Windows Graphics Component (CVE-2026-23668), .NET (CVE-2026-26131)
🔹 DoS - .NET (CVE-2026-26127)

🗒 Полный отчёт Vulristics

На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement)

Добавить комментарий

На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement). Jonathan описывает ситуацию, когда в организаций вроде как есть всё необходимое для нормального VM/EM процесса: сканеры, дашборды, SLA, процессы эскалации. Но принуждение к исполнению в организации слабое, и система постепенно адаптируется: дедлайны превращаются в рекомендации, ответственность ("ownership") становится предметом обсуждений, а принятые риски годами не пересматриваются ("stops being revisited"). 🫠 При этом вроде какая-то активность есть, но экспозиции практически не устраняются, растёт exposure debt.

Что имеет смысл делать в такой ситуации VM/EM-специалисту?

🔊 Попробовать достучаться до руководства. Подсветить управленческую проблему: решения принимаются, но не исполняются, поэтому экспозиции не снижаются и это приведёт к инцидентам.

📝 Формализовать всё. Фиксировать владельцев активов, конкретные задачи по исправлению, этапы исправления, risk acceptance, нарушения SLA и т.д. Это делает процессы максимально прозрачными и вы, как VM-щик, с меньшей вероятностью окажитесь "крайними".

🎯 Фокусироваться на реальном риске. Если всё не исправить, закрывать то, что действительно эксплуатируется (в первую очередь трендовые уязвимости) на наиболее критичных для бизнеса системах.

🚪 Если система не меняется - задуматься о смене работы. Это весьма грустно, но если в организации сплошная "электрификация" ("всем всё до лампочки" 😉), снизу это исправить практически нереально. А вот стать в итоге "козлом отпущения" можно запросто. Обязательно это учитывайте.

Про уязвимость Remote Code Execution - Windows Shell (CVE-2026-21510)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows Shell (CVE-2026-21510). Уязвимость из февральского Microsoft Patch Tuesday. Windows Shell - это основной интерфейс, через который пользователи взаимодействуют с ОС Windows. Он включает такие видимые элементы, как Рабочий стол (Desktop), Панель задач (Taskbar) и меню «Пуск» (Start Menu). Некорректная работа защитных механизмов (CWE-693) позволяет злоумышленнику выполнить произвольный код на системе в обход механизма Windows SmartScreen и предупреждений Windows Shell. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя открыть специально созданный файл-ярлык (.LNK) или перейти по вредоносной ссылке.

👾 Microsoft сообщают об эксплуатации уязвимости в реальных атаках. Уязвимость в CISA KEV с 10 февраля.

💬 Microsoft классифицировали уязвимость как Security Feature Bypass, однако выглядит правильным классифицировать её как Remote Code Execution.

🛠 Публичных эксплоитов пока нет.

Мы снова провели длинные праздничные выходные в прекрасной Твери

Добавить комментарий

Мы снова провели длинные праздничные выходные в прекрасной Твери. 🙂

✂️ Сходили на два мастер-класса в детский музейный центр:

🔹 В театре теней смотрели "Маму для мамонтёнка" и делали своих мамонтят. В этот раз у меня получилось лучше, чем в феврале. 😅

🔹 На лего-анимации пересняли сцену из "Хоббита" с падением гномов и Бильбо в воду. С брызгами и прочим. 👌

🎤 Сходили на два концерта:

🔹 В филармонию на сборный праздничный концерт, посвящённый Международному женскому дню. В основном слушали советские шлягеры в симфонической обработке.

🔹 На концерт "Песняров" (классический состав "Белорусские легенды"). Очень душевно послушали и попели их главные хиты "Наши любимые", "За полчаса до весны", "Косил Ясь конюшину", "Беловежская Пуща", "Родина моя Белоруссия", "Вологда" и другие песни.

🩰 Сходили на балет "Лебединое озеро". Мои балеринки такое не пропускают. 😅 Несмотря на то, что это были гастроли коллектива на не совсем подходящей для этого сцене, отработали они здорово. Приятно удивили костюмы и техника исполнения. 👍 На "русском танце" пробрало до мурашек. 😇

🖼 Сходили на экскурсию в картинную галерею тверского художника-пейзажиста Ефрема Зверькова.

В общем, весьма насыщенно и интересно провели эти праздничные дни. 🙂

А теперь буду возвращаться к теме уязвимостей. 😉

От души поздравляю дорогих подписчиц канала "Управление Уязвимостями и прочее" с Международным женским днём!

Добавить комментарий

От души поздравляю дорогих подписчиц канала "Управление Уязвимостями и прочее" с Международным женским днём! Желаю крепкого здоровья, любви, счастья, самореализации, позитивных эмоций и материального достатка! Чтобы с близкими всё было благополучно и они вас всегда радовали! Спасибо, что вы есть! 🌷😇

В связи с запретом на покупку/продажу рекламы в Telegram и YouTube вспомнилась сцена из "Место встречи изменить нельзя"

Добавить комментарий

В связи с запретом на покупку/продажу рекламы в Telegram и YouTube вспомнилась сцена из "Место встречи изменить нельзя". Когда карманника Костю Сапрыкина по кличке Кирпич ведут в отделение, а он бахвалится, что нет у МУРа против него методов. Но, как оказалось, методы были. Простые и весьма эффективные. 😏

Так и российские контентмейкеры в TG и YouTube полагали, что блокировку сервисов можно будет игнорировать: аудитория как-нибудь приспособится, а рекламодатели никуда не денутся. Но оказалось, что для обрушения рекламного рынка на этих платформах было достаточно одного разъяснения ФАС. 🤷‍♂️ И теперь этих авторов фактически поставили перед выбором: либо продолжать держаться за заблокированные платформы, но уже без адекватной монетизации, либо переходить на отечественные аналоги и активно агитировать свою аудиторию тоже туда переходить. 🌝

И как по мне, выбор тут абсолютно очевиден: подписывайтесь на avleonovrus "Управление Уязвимостями и прочее" в MAX❗😉 В среднесрочной перспективе на Телеге уже можно ставить крест. ❌ Нужно быть законченным фанатиком, чтобы всерьез топить за демшизную британодубайскую биржу gif-ок, плохо маскирующуюся под мессенджер. Ну, было дело, пользовались этим подельем несколько лет, ввиду отсутствия более вменяемых альтернатив, но давно пора двигаться дальше. Безотносительно того, насколько сырой сейчас MAX. А он, конечно, очень сырой, но для переката уже сгодится. 😉

Можно согласиться с тем, что юридически запрет на рекламу в блокируемых сервисах был оформлен, мягко говоря, недостаточно изящно. Но, видимо, там наверху считают, что цель снижения привлекательности вражеской Телеги оправдывает любые средства. Перефразируя коронную фразу Жеглова: "Российский блогер должен сидеть на отечественной платформе!" 😅

И, положа руку на сердце, пока этот запрет ввели весьма лайтово. Могли ведь и вовсе признать ТГ экстремистской организацией по аналогии с Meta, получившей этот статус в 2022 году. С соответствующими жёсткими ограничениями не только на покупку/продажу рекламы, но и на упоминание, использование символики и финансирование (включая обычную покупку премиума). 🥷

Сам я никогда не продавал рекламу в своём ТГ-канале и продавать не собираюсь. Однако я прекрасно осознаю, что закон о рекламе - дело тонкое, и при желании к рекламе можно отнести практически любое упоминание чего-либо, независимо от наличия какой-либо материальной выгоды, и здесь большую роль играет сложившаяся правоприменительная практика. Хочется надеяться, что регулятор ограничится пресечением явных нарушений и не станет чрезмерно "жестить". 🙂 Но поживём - увидим. 😉

Распишу по поводу "карты достижимости" в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре

Добавить комментарий

Распишу по поводу "карты достижимости" в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре. Скриншоты я делал с трансляции, поэтому извините за качество. 🤷‍♂️ Апскейлер не особо помог, но основное там вроде видно. 🙂

Так вот, карта достижимости - это граф с информацией о том, до каких критических активов злоумышленник может дойти в ходе эксплуатации уязвимостей на активах IT-инфраструктуры организации.

Информация для построения карты сети берётся из результатов активного сканирования (инвентаризации) хостов и сетевых устройств. При построении используются собранные таблицы маршрутизации, сетевые службы, порты, протоколы, сетевые интерфейсы. Чем полнее сканируете инфру, тем адекватнее будет карта.

Критичность активов может как задаваться вручную на странице актива (уровень критичности и флаг "стратегического" актива - аналог "целевого" из методологии РКН), так и определяться автоматически (есть ли у актива доступ в Интернет, есть ли у актива привязка к стратегическому активу).

При построении графов достижимости поиск направлен в сторону стратегических активов.

Далее на граф накладывается информация о продетектированных уязвимостях и получается финальная карта достижимости.

🔴 Красные связи показывают достижимость атаки до критических активов через эксплуатацию уязвимостей на хостах.

🟡 Жёлтые связи показывают прерывание атаки на определенном активе и невозможность развития атаки по данному маршруту.

Эта карта кликабельна, при нажатии на иконку актива на карте открывается полная карточка с подробной информацией о его конфигурациях и уязвимостях.

Ок, это всё красиво. Но как это использовать для приоритизации активов и уязвимостей? 🤔

В правой части дашбордов есть таблички с ТОПом активов и их уязвимостей с параметром "степень участия". Этот параметр некоторым образом проприетарно высчитывается и характеризует степень участия актива или уязвимости в потенциальной атаке. Соответственно, следует в первую очередь обращать внимание на активы и уязвимости с максимальной степенью участия. Так на скриншоте можно видеть публично доступный Linux хост с Confluence (с.у. 0,5) уязвимый к CVE-2023-22527 (с.у. 0,5) и виндовую RCE CVE-2024-38063 (с.у. 1).

В общем, такая вот новая функциональность. Это, конечно, пока не тянет на полноценное моделирование Attack Paths, т.к.

🔹 На графе отображаются продетектированные уязвимости со зрелыми эксплоитами и сетевым вектором, НО не производится глубокого анализа, как именно конкретные уязвимости эксплуатируются, какие для этого должны выполняться условия, что именно злоумышленники могут достичь через эксплуатацию, как именно они могут развивать атаку и т.п. То есть нет явной симуляции действий злоумышленника в контексте конкретного хоста. Пока демонстрируемая эксплуатабельность носит более теоретический характер, но предвижу развитие продукта в сторону большей конкретики. 😉

🔹 Это всё про уязвимости софта (CVE), а не про экспозиции. Те же проблемы с учётками и мисконфигурации никак не учитываются, но коллеги из Security Vision обещают добавить их на граф уже в ближайших релизах.

Но в любом случае, как некоторые быстрые первые шаги в сторону дополнительной приоритизации уязвимостей на основе сетевой связности - это вполне имеет право на существование. 🙂👍