Архив за месяц: Ноябрь 2022

Ещё один пример того, что NIST и MITRE не справляются с ведением базы уязвимостей

Ещё один пример того, что NIST и MITRE не справляются с ведением базы уязвимостей

Ещё один пример того, что NIST и MITRE не справляются с ведением базы уязвимостей. И американским регуляторам, включая CISA, видимо наплевать.

Mozilla Foundation Security Advisory 2022-09
Announced March 5, 2022
CVE-2022-26486: Use-after-free in WebGPU IPC Framework

Эта уязвимость есть в CISA Known Exploited Vulnerabilities Catalog. Значит эта критичная уязвимость эксплуатируется в реальных атаках.

Но если вы попробуете перейти по ссылке на CVE-2022-26486, например из той же CISA KEV, на сайт на NVD, то вы увидете "CVE ID Not Found". В MITRE аналогично: "RESERVED". Статус 9 месяцев не менялся (и видимо не поменяется). Что-то где-то пошло не так.

Могли бы CISA попушить NIST, MITRE или Mozilla, чтобы с этой критичной CVE навели порядок? Запросто. Но они это не делают. Им видимо норм ссылаться в никуда.

А вот в БДУ ФСТЭК для CVE-2022-26486 видим вполне адекватное описание с CVSS и всем, что нужно. ФСТЭК молодцы. 👍

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее
Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее. Авторка этого отчета DEBRA M. FEZZA REED 🧡🌻 (She/Her) обиделась на меня, потому что я указал на ее ошибки публично, а не в личном сообщении в одной американской соцсеточке для профессионального общения. ¯\_(ツ)_/¯

> почему вы сочли необходимым пойти сразу на публичное осмеяние, а не обратиться ко мне напрямую, в профессиональной манере, чтобы исправить эту ошибку?

Честно говоря, у меня не было мотивации делать это после того, как Qualys ушла с российского рынка и оборвала все связи. Я даже не посмотрел, кто автор этого поста. И чего так серьезно-то? Это была просто невинная шутка с моей стороны, потому что описание получилось забавное.

> Я очень много работала, чтобы создать профессиональную репутацию, основанную на добросовестности, прозрачности, ответственности и подотчетности. Восприятие — это все, и действия имеют последствия. Вопреки вашему намерению, я не интерпретирую ваш пост как "невинную шутку".

Хорошо, продолжайте обвинять меня в своей ошибке. Видимо я помешал вам перечитать пост перед его публикацией. Видимо это моя вина, что с 8 ноября 2022 года больше никто не читал этот пост (ни в Qualys, ни во вне) и не указал вам на эти ошибки. Во всем виноват рандомный парень из России, который не написал вам в личку. Как непрофессионально с моей стороны. 🙂

PS: на QSC меня теперь вряд ли когда-нибудь пригласят. 😅

Зарелизил на неделе утилитку imgtov, с помощью которой свои видяшки собираю, как и обещал ранее

Зарелизил на неделе утилитку imgtov, с помощью которой свои видяшки собираю, как и обещал ранее. Последнюю видяшку собрал аж в 8k качестве, вроде норм на Youtube и VK залилось.

Название это абберевиатура от "images to video". Кроме того "tov" это "хорошо" на иврите ("טוב"). И это хорошо. 🙂

Сделал максимально примитивно. В input.txt кладем таймстемпы. Исходные файлы с картинками кладем в директорию images. В корень кладем input.mp3. Запускаем imgtov.py. Получаем video.mp4, радуемся. Подробнее читайте в описании проекта на гите.

Если вдруг кому-то ещё такое надо, пользуйтесь!

Выпустил-таки видео по ноябрьскому Patch Tuesday

Выпустил-таки видео по ноябрьскому Patch Tuesday. С одной стороны, вроде и 0day-ев много вышло. А с другой стороны, чего-то супер-критичного не просматривается. Нет, ну атаки на браузер? Серьезно? Или метки для скаченных файлов (не так давно была похожая тема про macOS)? Патчиться конечно надо, но, к счастью, хвататься за голову в этот раз повода пока нет. 🙂

Вспомнилась старая студенческая шутка "а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает"

Вспомнилась старая студенческая шутка а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает

Вспомнилась старая студенческая шутка "а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает". Уязвимость Print Spooler оказывается каким-то боком касается JScript9 scripting language. 😜

Qulays по ошибке подставили для "CVE-2022-41073 | Windows Print Spooler Elevation of Privilege (EoP) Vulnerability" описание из "CVE-2022-41128 | Windows Scripting Languages Remote Code Execution (RCE) Vulnerability". Причем это же описание вставили ещё и в "CVE-2022-41091 | Windows Mark of the Web Security Feature Bypass Vulnerability". Но кто ж это читает-то. 😏

На днях вышел бюллетень CISA про эксплуатацию уязвимости Log4Shell (CVE-2021-44228) в некоторой американской государственной организации

На днях вышел бюллетень CISA про эксплуатацию уязвимости Log4Shell (CVE-2021-44228) в некоторой американской государственной организации. В pdf бюллетене приводится подробное описание атаки. Ознакомился. Мне, конечно, было наиболее интересно собственно про Log4Shell и начальную эксплуатацию.

1. В какой организации произошел инцидент? Непонятно. Это одна из FCEB organizations. Это может быть всем известная NASA, а может быть какая-нибудь Commission of Fine Arts. Но по большей части организации в списке выглядят критично.

2. Когда нашли? В апреле 2022. Предположительное время компрометации - февраль 2022 года.

3. Как нашли? Через ретроспективный контроль трафика с помощью CISA-вской EINSTEIN IDS. Увидели ip-адрес ранее засветившийся в атаках использующих Log4Shell.

4. Как известно Log4Shell (CVE-2021-44228 заведена 10.12.2021) касается кучи продуктов, а что именно поломали? VMware Horizon. Патч вышел 16.12.2021. Детект у Tenable для этой уязвимости (без аутентификации) вышел 07.01.2022. CISA требовали зафиксить все Log4Shell уязвимости до 24.12.2021.

5. Исходя из таймлайна, в сроки CISA (7 дней по факту) уложиться было мало реально. Причем это нужно было сделать ещё до появления нормальных детектов. Но то, что не уложились даже за 1-2 месяца вплоть до успешной атаки злоумышленников это конечно неслабое нарушение. И раз такое в принципе было возможно, CISA видимо не особо контролирует VM процесс в подопечных FCEB организациях, а сроки устранения, которые они спускают через свой Known Exploited Vulnerabilities Catalog видимо по факту не выдерживаются.

Что Наталья Касперская говорила на SOC форуме про кибервойну и децифровизацию (2/2)

Что Наталья Касперская говорила на SOC форуме про кибервойну и децифровизацию (2/2).

Про цифровизацию

"Говоря про импортозамещение, оно у нас усложняется массово ведущейся несколько лет в стране цифровизацией. Цифровизация, к моему большому сожалению, строилась без оглядки на информационную безопасность. По началу предполагалось, что информационная безопасность будет пронизывать всю цифровую экономику, потом её становилось все меньше и меньше, потом свелось к трем пунктам, практически свелось на нет. Основными целями [цифровизации] заявлялась производительность, повышение эффективности, экономическое ускорение. Это все замечательно. Но теперь очень многие системы построены либо на системах с открытым кодом, либо на импортных системах кое-как слеплены. И нам сейчас ещё и это нужно тоже либо заменять, либо каким-то образом блокировать.

По поводу подхода к импортозамещению. Как нам сразу заместить всё. Из всех подходов к импортозамещению, которые я видела мне лично больше всего понравился подход Банка России. […] Есть технологические процессы, давайте определим самые критичные, в самых критичных определим самые критичные, наиболее санкционнозависимые, и будем замещать с них. И потом будем расширяться. Это грубо и упрощенно. Мне кажется очень правильно определить те процессы, где "если упадёт, то всё", и начинать замещать с них.

Что касается средств наложенной безопасности, NGFW самая наша больная тема. Сейчас многие компании резко бросились в эту область, пытаются что-то делать. Но у нас здесь нет альтернативы. У нас нет возможности сказать "ой, мы потеряем в производительности". Ну потеряем, да. А что, какие альтернативы? Остаться на Check Point? Чтобы нам в определенный момент просто все выключили? Этой альтернативы у нас нет, поэтому давайте её не рассматривать. Нет у нас возможности рассказывать о том, что у нас снизится качество. Ну снизится. Будет торможение. Ну будет, да. И чего? Альтернативы? Альтернативы нет."

Про децифровизацию

"Предсказывать течение конкретных угроз неблагодарная задача. С точки зрения объектов атак это скорее всего промышленные объекты. Раньше этого не было, т.к. мошенничество было направлено на хищение. Поэтому у нас банки защищены на порядок лучше, чем все остальные. А сейчас всем остальным нужно дотягивать этот уровень. Причем до такой непопулярной меры как децифровизация. Возможно съем интернет-датчиков там, где они может быть не очень нужны. Возможно где-то переход на механические системы. Безусловно разделение АСУ ТП и корпоративного сегмента и т.п. Там где это смешивается это чудовищное нарушение безопасности. К сожалению, это нельзя сделать извне. Это должны сделать сами промышленные предприятия. Они должны посмотреть свои объекты, которые являются наиболее критичными, понять насколько их можно атаковать и понять что с этим делать, какие действия могут быть предприняты."

Как видим о децифровизации речь шла в контексте промышленных предприятий и АСУ ТП, а не отказа от госуслуг, перехода на бумажный документооборот и прочего такого, что журналисты и комментаторы сами себе напридумали.