Архив за месяц: Апрель 2023

Коллизии CVE идентификаторов

2 комментария

Коллизии CVE идентификаторовКоллизии CVE идентификаторов

Коллизии CVE идентификаторов. Вспомнился давнишний кейс с WinRAR. Помимо неоднозначной функциональности в WinRAR иногда находят и уязвимости. В 2021 эксперт Positive Technologies Игорь Сак-Саковский нашел RCE уязвимость в WinRAR. Она НЕ связана с открытием вредоносного архива. Дело в окне-нотификации об окончании триального периода. Если провести MiTM атаку, можно выполнять код на хосте с уязвимой версией WinRAR: "запуск приложений, получение информации о хосте и запуск калькулятора". Эксплуатация не самая простая, но уязвимость была, вендор её признал и исправил в 6.02, а PT получил для неё CVE-2021-35052.

Теперь смотрим эту CVE в NVD. EoP в Kaspersky PM?! 🙄 Номер CVE отдали ZDI! Хотя бюллетень ZDI от 29 ноября 2021, а у PT пресс-релиз вышел 26 октября 2021. То, что я имел ввиду под "мусор про Twitter заводят, а нормальных исследователей прокатывают".

PS: В БДУ это BDU:2021-05327 без CVE. По CVE-2021-35052 в БДУ ничего не ищется.

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

1 комментарий

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения
Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения. В том числе и зловредные PowerShell скрипты например. Статья вышла 2 недели назад, но только сейчас дошли руки ознакомиться с оригиналом. CrowdStrike блочит российские IP, можно через Internet Archive. По описанию всё очень просто и изящно. И это никакая не уязвимость, а штатная функциональность, о которой все забыли, пока она не начала использоваться в атаках (упоминают ботнет Emotet). 🙂

Причем запускаться таким образом может зловред распакованный из самого SFХ архива, и тогда +- понятно как это детектить. А может быть так, что в архиве ничего опасного нет, а вся заловредная функциональность заключается именно в команде после извлечения. И такое детектят не все.

Взять бы эти WinRAR SFX архивы и запретить напрочь. Но проблема в том, что они могут использоваться в установщиках вполне легитимного софта. Так что без анализа скорее всего не обойдется.

Заключительный пост про CISO-FORUM 2023

1 комментарий

Заключительный пост про CISO-FORUM 2023Заключительный пост про CISO-FORUM 2023

Заключительный пост про CISO-FORUM 2023. Как по мне, мероприятие прошло просто отлично! 🔥

1. Было много приятного и разнообразного общения. Практически всё оно было на тему Vulnerability Management-а. 😊

2. Почти все из намеченных докладов удалось посмотреть и вынести для себя что-то полезное. С трансляцией в канале кажется вышло удачно, собираюсь такое практиковать. 🙂

3. Моя презентация "Карты отечественных околоVMных вендоров" тоже вполне удалась. Видео пока нет, но есть слайды. Было много дельных вопросов из зала. Подробно обсудили почему среди САУ (анализа) сейчас одни SGRC. Был провокационный вопрос можно ли считать отечественным решение, которое не работает на российском Linux (и насколько сами эти Linux-ы отечественные). 😄 Резонный вопрос: а где средства детектирования уязвимостей контейнеров? Буду думать как их лучше добавить. 🧐

Спасибо всем за общение и контент! Спасибо большое организаторам! До встречи в следующем году!

Upd. видеозапись выступления

Доклад Рустэма Хайретдинова про багбаунти

Добавить комментарий

Доклад Рустэма Хайретдинова про багбаунтиДоклад Рустэма Хайретдинова про багбаунтиДоклад Рустэма Хайретдинова про багбаунтиДоклад Рустэма Хайретдинова про багбаунти

Доклад Рустэма Хайретдинова про багбаунти. Доклад был секретный про внутреннюю кухню багбаунти-сервисов. Видео для него не будет. Были интересные подробности. 👍 Из того, что можно было сфоткать это 3 слайда со сравнением пентеста и багбаунти. Что в итоге выбрать? "И то, и другое, и можно без хлеба" (с)

Доклад Ильи Борисова про Архитектуру Безопасности

Добавить комментарий

Доклад Ильи Борисова про Архитектуру БезопасностиДоклад Ильи Борисова про Архитектуру БезопасностиДоклад Ильи Борисова про Архитектуру БезопасностиДоклад Ильи Борисова про Архитектуру БезопасностиДоклад Ильи Борисова про Архитектуру БезопасностиДоклад Ильи Борисова про Архитектуру БезопасностиДоклад Ильи Борисова про Архитектуру Безопасности

Доклад Ильи Борисова про Архитектуру Безопасности. Очень интересно, очень высокоуровнево и мудрено. Настолько, что я даже адекватно описать впечатления не могу. 🙂

Местами даже несколько медитативно. Например, первая картинка про построение ИБ архитектуры. "Здесь намеренно нет этапа внедрения, потому что НЕ нужно относиться к этому как к PDCA циклу, как к повороту колеса". 😇

Наверное самое близкое ко мне это про декомпозицию требований, их приоритизацию и группировку. Здесь имеются ввиду вообще все требования, но по применимо и к требованиям по безопасной конфигурации систем.

Те, кто занимается разработкой архитектуры ИБ (методологи?), посмотрите видяшечку доклада, когда будет. Вам должно зайти.

Доклад Айдеко про NGFW

Добавить комментарий

Доклад Айдеко про NGFWДоклад Айдеко про NGFWДоклад Айдеко про NGFW

Доклад Айдеко про NGFW. Понравилась подборка отечественных NGFW вендоров. Как "старичков" из правого нижнего "квадранта IBS Platformix", так и "новичков", которые зарезили NGFW недавно или только анонсировали их. Также интересная подборка слабых мест, на которые стоит обратить внимание при выборе NGFW решения.