Архив за месяц: Август 2023

Уязвимость 2017-го года, которая до сих пор активно эксплуатируется и входит в расширенный англосаксонский список

2 комментария

Уязвимость 2017-го года, которая до сих пор активно эксплуатируется и входит в расширенный англосаксонский список

Уязвимость 2017-го года, которая до сих пор активно эксплуатируется и входит в расширенный англосаксонский список. Её ещё недавно Касперские подсветили в своём блоге.

CVE-2017-11882 — RCE-уязвимость в редакторе уравнений Microsoft Office. Для эксплуатации злоумышленник должен создать вредоносный файл и каким-то образом убедить жертву открыть его. В случае успеха злоумышленник выполниякт произвольный код с привилегиями пользователя, открывшего вредоносный файл. Таким образом, если у жертвы есть права администратора, злоумышленник сможет получить полный контроль над системой: устанавливать программы, просматривать, изменять или уничтожать данные, создавать новые аккаунты и т.п. 🤷‍♂️

PoC для уязвимости появился через неделю после публикации и с тех пор, уже более 5 лет, она активно эксплуатируется. 🙈

Что делать? Обновляться/импортозамещаться 😏, левые офисные файлы не открывать (особенно работая от администратора), использовать AV/EDR. 😉

Эксплойт из GitHub-а, как правило, со временем попадает в специализированный сплойт-пак, НО НЕ ВСЕГДА!

Добавить комментарий

Эксплойт из GitHub-а, как правило, со временем попадает в специализированный сплойт-пак, НО НЕ ВСЕГДА! Эксплойт из GitHub-а, как правило, со временем попадает в специализированный сплойт-пак, НО НЕ ВСЕГДА! Эксплойт из GitHub-а, как правило, со временем попадает в специализированный сплойт-пак, НО НЕ ВСЕГДА!

Эксплойт из GitHub-а, как правило, со временем попадает в специализированный сплойт-пак, НО НЕ ВСЕГДА!

Вот, например, Command Injection - SAP NetWeaver (CVE-2022-22536), которая также входит в недавний расширенный англосаксонский список. Видим, что для этой уязвимости эксплойты есть только на гитхабе. И, судя по описанию, они валидные. А если мы выпустим отчёт Vulristics с --vulners-use-github-exploits-flag "False", то мы эту информацию потеряем. Так что имейте в виду и используйте опцию с осторожностью. 😉

Кстати, про Zerologon (CVE-2020-1472)

1 комментарий

Кстати, про Zerologon (CVE-2020-1472)

Кстати, про Zerologon (CVE-2020-1472). На днях R-Vision выложили на Хабре подробную статью про эту уязвимость.

Уязвимость старенькая, но всё ещё актуальная, в недавний расширенный список англосаксов входит.

"Она позволяет злоумышленникам изменить пароль компьютерной учетной записи контроллера домена и получить доступ к содержимому Active Directory.

Эксплуатация Zerologon возможна на следующих не пропатченных версиях Windows Server: 2008 R2, 2012, 2012R2, 2016, 2019. В версии Windows Server 2022 уязвимость уже исправлена. Для реализации атаки достаточно наличия сетевой связности с устройства, к которому имеет доступ атакующий, до уязвимого контроллера домена."

В отчёте Vulristics уязвимость абсолютно топовая. Единственное что снижает критичность это тип - EoP, но в контексте контроллера домена это, конечно, совсем другая история. 😏

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics

1 комментарий

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics
Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics. Для "громких" уязвимостей, например для Zerologon (CVE-2020-1472), в отчёте бывает слишком много ссылок на GitHub, большая часть из которых с эксплойтами не связана. А автоматически понять где репозитарии с эксплойтом, а где какая-то нерелевантная ерунда, весьма сложно. Да и, как правило, не особо и нужно. Реально работающий эксплойт скорее всего попадёт в специализированные сплойт-паки, хоть и с некоторой задержкой.

Поэтому, думаю у пользователей Vulristics должна быть возможность выпустить и отчёт, содержащий максимум информации по эксплойтам (пусть и несколько замусоренный), и отчёт только с учётом сплойт-паков.

Я добавил параметр --vulners-use-github-exploits-flag, который может принимать значение либо True либо False. По умолчанию значение True.

Также добавил [источник] ссылки.

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT

Добавить комментарий

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPTTenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPTTenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT

Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT. Продукт (или скорее технология) будет называться ExposureAI и будет доступен в составе Tenable One.

Основные фичи:

1. Можно будет делать запросы на естественном языке.
2. Можно будет генерить человекочитаемые описания Attack Path сценариев (экономит время при составлении отчётов).
3. Можно будет видеть инсайты "чем в первую очередь нужно заняться".

Как и в случае с Cyclops Security, которые анонсировали похожую функциональность чуть раньше, всё зависит от того, насколько система окажется умной и как сильно она будет ошибаться. А так-то прикольно. Думаю чуть менее чем все VM-вендоры будут с такой функциональностью экспериментировать.

🎞 Видяшка у них забавная, ироничная. 👍🙂

Занимательный кейс с third-party утилитой под macOS, у которой поменялся владелец и она начала творить дичь

Добавить комментарий

Занимательный кейс с third-party утилитой под macOS, у которой поменялся владелец и она начала творить дичь

Занимательный кейс с third-party утилитой под macOS, у которой поменялся владелец и она начала творить дичь. Утилитка NightOwl позволяет переключать внешний вид приложений в Dark/Light Mode. 😎 Если верить исследователю, после смены владельца в 2022 году в приложение добавили функциональность, которая "принудительно подключает ваши устройства к ботнету для использования в маркетинговых исследованиях": tinyproxy поднимает, ssh соединения открывает, трафик пользователя перенаправляет. В общем, делает какие-то странные штуки, которые утилита для настройки интерфейса делать явно не должна.

И тут вопрос скорее не в самой NightOwl, с ней понятно - внести в чёрный список софта и массово выпилить. Вопрос в том, умеете ли вы оперативно выявлять такие кейсы с превращением легитимного софта в spyware? 🤔

По поводу активности ЦБ по рассылке учебного фишинга на 30+ адресов банков

Добавить комментарий

По поводу активности ЦБ по рассылке учебного фишинга на 30+ адресов банков

По поводу активности ЦБ по рассылке учебного фишинга на 30+ адресов банков. Хорошая инициатива. 👍 Чем-то перекликается с централизованным контролем безопасности периметра по 250 Указу. И также выглядит как мотивация заняться проработкой проблемы ИБ до того как придёт регулятор и проверит сам.

Будут ли такие учебные фишинговые атаки эффективны? Вполне вероятно, что да. На качественный фишинг попадаются все, включая ИБшников. Кто считает иначе, и при этом не имеет постоянного процесса учебных Антифишинговых рассылок-атак, тот глубоко ошибается и, вероятно, будет немало удивлен, когда этот процесс у себя внедрит. Если ты не попадался на фишинг, значит тебя ещё толком не фишили. 😏 Только те, кто в каждом входящем письме подозревают провокацию от ИБ отдела (и во вторую очередь реальную атаку злоумышленников) попадаются на фишинг реже. Так что только Awareness + учебные рассылки + детектирование фишинга автоматизированными средствами, товарищи!