Вот это важная тема. Патчить там пока нечего, но скиньте своим SOC-оводам, что бы детекты и черные списки настроили.
Upd. Ответ от Microsoft и указание CVE: CVE-2022–41040 Microsoft Exchange Server Server-Side Request Forgery (SSRF) и CVE-2022–41082 PowerShell RCE
О национальных базах уязвимостей, в частности китайских.
В Китае две основные государственные базы уязвимостей:
- https://www.cnnvd.org.cn/ Chinese National Vulnerability Database поддерживается China Information Security Evaluation Center
- https://www.cnvd.org.cn/ China National Vulnerability Database поддерживается National Computer Network Emergency Technical Handling Coordination Center, CNCERT/CC, подразделение Ministry of Industry and Information Technology
Зачем вообще нужны национальные базы уязвимостей, когда есть NVD? Обычно такие базы создаются при гос. органе, который, кроме прочего, должен предупреждать компании и организации о появлении опасных уязвимостей требующих оперативного исправления. Чтобы это делать нужна как минимум страница с профилем уязвимости. Делать это ссылкой на американскую базу мало того, что довольно унизительно, но ещё и ненадежно. Сегодня NVD публично доступна, а завтра, например, ограничат доступ по IP или даже сделают хитрую закрытую регистрацию. Тогда что? А они могут. Или если появилась информация о новой уязвимости в софте, который в западном мире вообще не представлен, то получается нужно в обязательном порядке репортить её в MITRE/NVD и ждать пока они добавят (если вообще добавят)? Тоже как-то не очень. Опять же данные в NVD дополнительными полями не расширишь, в случае каких-то выявленных проблем в описании по-быстрому не поправишь. Зависимость.
В общем, даже если национальная база уязвимостей это буквальный клон NVD, все равно её существование видится вполне оправданным. При условии конечно, что её наполнение не хуже, чем NVD. Обеспечивать это пока NVD публично доступна, дело довольно простое. Дергаешь фиды и раскладываешь их к себе. А если NVD вдруг перестанет быть доступной публично, то и статус её в мире довольно оперативно изменится. А если же национальная база лучше по наполнению (по количеству уязвимостей, их описанию или поддержке продуктов), то и тем более оправдано.
Единственная сложность в том, что национальные базы уязвимостей обычно ведутся на национальных же языках. Ну, имеют право. Но в наш век дешевого и достаточно качественного автоматического перевода, это перестает быть чем-то непреодолимым. Тем более, что описания уязвимостей достаточно однотипные. И вот ребята из Vulners эту проблему успешно решают. Они добавили поддержку CNVD сразу на английском! https://vulners.com/search?query=type:cnvd Теперь работать с CNVD не сложнее чем с NVD. Это ли не круто, товарищи?! 🙂
Сегодня пролетала новость о том, что в Windows 11 22H2 добавили фичу, которая ругается на ввод пароля от системной учетки пользователя в "неположенных" местах: в текстовых редакторах, формах вебсайтов и прочем. Преподносится это как защита от фишинга "Enhanced phishing protection". Я ещё подумал, что прикольно они кейлоггер в систему встроили. И со смехом предположил, что они наверное весь пользовательский input в облако забирают для анализа. 😁 Нельзя же локально хранить последние N введенных символов и искать в них пароль! Только в облаке! 😏 А потом заглянул в официальный блогопост и увидел, что они это презентуют в составе "Microsoft Defender Smartscreen", который согласно Википедии "is a cloud-based anti-phishing and anti-malware component". 🤩
На канале Код ИБ вышла запись ИБшного Движа со мной (от 8 сентября). Ссылки на доп. материалы публиковал ранее. В целом формат прикольный, можно подумать над продолжением. 🙂
02:02 Обо мне
03:13 Неприятная, но интересная трансформация Vulnerability Management в 2022 году: глобальные VM-вендоры ушли (на примере Tenable), доверие к глобальным IT-вендорам было подорвано (на примере Microsoft)
11:28 Оценка стабильности вендоров и проект Monreal
14:40 Как патчить продукты нестабильных вендоров? Реализация алгоритма НКЦКИ в проекте Monreal
21:23 Open Source нас спасет? Да, но есть нюансы. "Товарищи, а кто ваш апстрим?"
25:41 Можем ли мы защититься от зловредной функциональности в OpenSource?
29:27 В этом году регуляторы развернулись лицом к проблемам Vulnerability Management‑а (Молодцы!)
Тяжела и неказиста жизнь простого Vulnerability Management специалиста. Тоже напишу про European Cybersecurity Skills Framework (ECSF).
"Целью ECSF является создание общего понимания соответствующих ролей, компетенций, навыков и знаний; способствовать признанию навыков кибербезопасности; и поддерживать разработку учебных программ, связанных с кибербезопасностью. В нем все роли, связанные с кибербезопасностью, объединены в 12 профилей, которые индивидуально проанализированы с учетом деталей обязанностей, навыков, синергии и взаимозависимостей, которым они соответствуют."
Грубо говоря, такой примерный набор ИБ-шных профессий-специализаций.
Как видите отдельного профиля под Vulnerability Management здесь нет. Из того что есть более-менее похоже:
- Cybersecurity Implementor. Но тут упор по идее должен быть в конфигурирование, а не детект проблем.
- Cybersecurity Risk Manager. Но риски бывают отнюдь не связанные с уязвимостями.
- Penetration Tester. Но упор по идее должен быть на эксплуатацию уязвимостей, а не планомерное исправление всех потенциальных проблем.
- Cyber Threat Intelligence Specialist. Но тут упор по идее должен быть на детектировании злоумышленников и малварей.
- Cybersecurity Auditor. Но тут упор по идее должен быть на регуляторику.
Смотрю описание ролей, ищу там по "vulnerabi"
- CYBER INCIDENT RESPONDER — 2
- CYBERSECURITY IMPLEMENTER — 1
- CYBERSECURITY RISK MANAGER — 2
- DIGITAL FORENSICS INVESTIGATOR — 1
- PENETRATION TESTER — 8
В общем намекают на то, что VM-щикам в пентестеры надо. Плюс альтернативное название этой специализации "Vulnerability Analyst".
Как по мне, Vulnerability Management это далжна быть отдельная специализация с упором разные способы детектирования, оценку уязвимости, патчинг, переконфигурирование. Но вот заинтересованной группы, которая продвигала бы такой взгляд на вещи я не наблюдаю. Даже VM-вендоры в эту сторону не особо активничают (а могли бы). Какого-то профессионального комьюнити, концентрирующегося именно на VM‑е, тоже как такового нет. Печально.
Давайте посмотрим на сентябрьский Microsoft Patch Tuesday. В этот раз компактненько. Всего 63 уязвимости. С учетом уязвимостей вышедших между августовским и сентябрьским Patch Tuesday (как обычно, в Microsoft Edge), получается 90. Весьма и весьма немного.
1. Уязвимостей с публичными эксплоитами пока нет. Есть 3 уязвимости для которых существует Proof-of-Concept Exploit по данным из CVSS
Elevation of Privilege — Kerberos (CVE-2022–33679)
Elevation of Privilege — Azure Guest Configuration and Azure Arc-enabled servers (CVE-2022–38007)
Elevation of Privilege — Windows GDI (CVE-2022–34729)
Но вероятность, что это докрутят до боевого состояния невысока.
2. Есть 3 уязвимости с признаком эксплуатации вживую
Elevation of Privilege — Windows Common Log File System Driver (CVE-2022–37969). Можно поднять права до SYSTEM. Затрагивает массу версий Windows, есть патчи даже под EOL операционки. Кроме этой уязвимости был пучок виндовых EoP-шек без признаков эксплуатации, например Elevation of Privilege — Windows Kernel (CVE-2022–37956, CVE-2022–37957, CVE-2022–37964)
Security Feature Bypass — Microsoft Edge (CVE-2022–2856, CVE-2022–3075). Уязвимости Edge это по факту уязвимости Chromium. Обратная сторона использования одного и того же движка. Уязвимости Chrome аффектят также Edge, Opera, Brave, Vivaldi и прочее.
3. RCE от посланного IP пакета 😱
Remote Code Execution — Windows TCP/IP (CVE-2022–34718). "An unauthorized attacker can use it to execute arbitrary code on the attacked Windows computer with the IPSec service enabled by sending a specially crafted IPv6 packet to it. This vulnerability can only be exploited against systems with Internet Protocol Security (IPsec) enabled." IPsec и IPv6 зло, лол. 🙂 Но если серьезно, то скверно, что такое вообще бывает.
И это ещё не все, есть ещё Remote Code Execution — Windows Internet Key Exchange (IKE) Protocol Extensions (CVE-2022–34721, CVE-2022–34722). "An unauthenticated attacker could send a specially crafted IP packet to a target machine that is running Windows and has IPSec enabled, which could enable a remote code execution exploitation."
4. Denial of Service — Windows DNS Server (CVE-2022–34724). С одной стороны только DoS, с другой стороны работу компании можно неплохо так парализовать.
5. Memory Corruption — ARM processor (CVE-2022–23960). Фикс для очередного Spectre, на этот раз Spectre-BHB. Про практическую эксплуатабельность видимо говорить не приходится, так же как и в случае остальных уязвимостей типа Spectre, но практически все обзорщики на эту уязвимость внимание обратили.
Полный отчет Vulristics: https://avleonov.com/vulristics_reports/ms_patch_tuesday_september2022_report_with_comments_ext_img.html
Сделал блогпост и видяшку про мой опенсурсный проект Scanvus. Проекту уже год и я этой утилитой практически каждый день пользуюсь. Но вот только сейчас дошли руки нормально попиарить это дело.
Scanvus (Simple Credentialed Authenticated Network VUlnerability Scanner) это сканер уязвимостей для Linux. Задача у него получить список пакетов и версию Linux дистрибутива, сделать запрос к внешнему API для получения уязвимостей (в данный момент только Vulners Linux API поддерживается) и отобразить продетектированные уязвимости в репорте.
Scanvus может показать уязвимости для
- локалхоста
- удаленного хоста по SSH
- docker-образа
- файла c инвентаризацией
Такая простенькая утилита, которая сильно упрощает жизнь при аудитах линуксовой инфраструктуры. Ну и кроме того это проект в рамках которого я могу реализовывать свои идеи по сканированию на уязвимости.
В эпизоде разбираю содержание отчета, как поставить и настроить утилиту, режимы сканирования, ну и размышляю о том можно сделать Scanvus совсем бесплатным (сейчас это интерфейс к платному Vulners Linux API).
Video: https://youtu.be/GOQEqdNBSOY
Video2 (for Russia): https://vk.com/video-149273431_456239100
Blogpost: https://avleonov.com/2022/09/17/scanvus—my-open-source-vulnerability-scanner-for-linux-hosts-and-docker-images/
Github: https://github.com/leonov-av/scanvus