Архив за месяц: Март 2024

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023
Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023. Уязвимость позволяет получать привилегии SYSTEM. С сентября 2023 eсть PoC на гитхабе.

Вот как оно бывает. Была ничем не примечательная уязвимость с небольшим CVSS, которую в момент выхода июньского Microsoft Patch Tuesday только Qualys мельком подсветили. А потом бамс - оказывается и уязвимый компонент другой, и уязвимость успешно эксплуатируется. 🤷‍♂️

CheckPoint-ы пишут, что Raspberry Robin использует и Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802), но для неё признак эксплуатации вживую был в сентябрьском MSPT, так что не особо новость. Для этой уязвимости также есть PoC на GitHub.

Кажется, на этой неделе Прожектора по ИБ не будет

Кажется, на этой неделе Прожектора по ИБ не будет

Кажется, на этой неделе Прожектора по ИБ не будет. Походу к 25 эпизоду запал у нас иссяк и мы готовы тушить свет. 🤷‍♂️ Press F. 🫡 В связи с этим хочу посоветоваться:

Как считаете, еженедельные видяшки по контенту из этого канала нужны?

🔹 Да, нужны. Но обязательно, чтобы было несколько человек со своими новостями и живое обсуждение.
🔹 Да, нужны. Можешь и в соло записывать по контенту из этого канала. Хотим такое и будем смотреть.
🔹 Не, не особо надо. Текстом в канале вполне достаточно. Лучше займись чем-то более полезным.
🔹 Этот ваш Прожектор по ИБ вообще какая-то неинтересная тема была. Правильно, что дропнули.
🔹 Фиг знает. Просто хочу результаты поглядеть.

➡️ Голосуйте

Что такое "Device Vulnerability Management" у IDC? Почему Device

Что такое Device Vulnerability Management у IDC? Почему Device

Что такое "Device Vulnerability Management" у IDC? Почему Device? Оно только для сетевых устройств что ли? Цисок, джуниперов, фортиков и прочих апплаенсов? 🤔

Ну на самом деле нет. 🙂 Хорошо, что в отчёте IDC есть отдельный небольшой раздел про определение рынка, который я сейчас разберу.

"Управление Уязвимостями Устройств [Device vulnerability management] включает в себя сетевые или локальные сканеры/агенты, которые сканируют серверы, рабочие станции, другие устройства и приложения для выявления уязвимостей безопасности в виде известных [known] дыр в безопасности (уязвимостей) или параметров конфигурации, которые могут быть проэксплуатированы."

То есть всё ок, "устройства" толкуют максимально широко, как практически все инфраструктурные активы. Фактически описывают таргеты как для СДУИ (Средства Детектирования Уязвимостей Инфраструктуры). Чтобы не припахать сюда ещё сканеры приложений делают акцент на "известных" уязвимостях, то есть детектировать должны в основном CVE-шки.

"Они могут

🔹 иметь доступ к устройствам с использованием учетных записей (имен пользователей и паролей)

или

🔹 предоставлять взгляд но устройство без использования учётных записей (hacker's view).

Сканеры с использованием учетных записей могут глубоко погрузиться в устройство, чтобы найти известные уязвимости, а hacker view имитирует атаки, чтобы понять, может ли устройство быть проэксплуатировано."

То есть фиксируют 2 типа сканирования: с аутентификацией и без. Замечаем, что тут довольно жёстко сформулированы типы сканов. Нет "пассивного сканирования" на основе анализа трафика или логов. Забыли или посчитали, что это тоже hacker view? Имхо, скорее забыли.

Дальше новый абзац:

"Эти сканеры анонимно ищут [search out] и обнаруживают [discover] устройства и пытаются найти известные уязвимости в целевых системах."

Это "анонимно" меня смутило. Но наверное имеется ввиду, что раз при сетевых сканированиях (PING или SYN) мы учётку не указываем, значит взаимодействуем с узлами "анонимно". Возможно они хотели подчеркнуть, что решение должно уметь детектить активные хосты и сервисы самостоятельно, а не полагаться только на интеграции. Но то, что это необязательное требование будет видно ниже.

"Всё чаще платформы управления уязвимостями устройств приоритизируют результаты сканирования (какие активы требуют первоочередного внимания) и риски организации от обнаруженных уязвимости, в случае если они не будут исправлены."

Функциональность по приоритизации активов (которая невозможна без приоритизации уязвимостей) и оценке риска эксплуатации уязвимости является желательной, но видимо необязательной.

"Сканирование уязвимостей также распространилось на устройства интернета вещей (IoT, internet of things) / промышленной автоматизации (OT, Operational technology), а также облачные контейнеры и инфраструктуру."

Набор типов активов из первого предложения здесь дополняется. Причём включаются и "эфемерные" (в терминах BOD 23-01) активы, такие как контейнеры. Весьма интересно что выше задаются 2 типа сканирования, которые вряд ли кто-то будет использовать для OT (т.к. будут смотреть по трафику) и для облачных активов (т.к. будут использовать API).

"Помимо вендоров, предлагающих сканеры, есть и другие вендоры, которые принимают [ingest] результаты работы сканеров в свои платформы, объединяют их с другими данными и определяют приоритетность проблем [issues], которые необходимо решить. Поскольку результаты сканирования уязвимостей устройств являются основой их платформы, они включены [в DVM]."

Таким образом IDC расписываются в том, что сознательно мешают разные вещи: поставщиков информации об обнаруженных уязвимостях и обработчиков этой информации. То есть в моих терминах Средства Детектирования Уязвимостей Инфраструктуры (СДУИ) и Средства Анализа Уязвимостей (САУ). Правильно ли так делать? На мой взгляд, неправильно. Когда в одном отчёте Tenable или Qualys с выдающейся экспертизой по детекту уязвимостью и Balbix, у которых её вообще нет, это выглядит странновато. 🤷‍♂️

Итого: DVM = СДУИ + САУ 😉

24 марта стартует второй набор онлайн-практикума по Управлению Уязвимостями от Positive Technologies

24 марта стартует второй набор онлайн-практикума по Управлению Уязвимостями от Positive Technologies

24 марта стартует второй набор онлайн-практикума по Управлению Уязвимостями от Positive Technologies. Программу существенно расширили и улучшили. Стало вообще круто! 🙂

Я записал для него сегодня 2 новых модуля:

🔹 Построение Vulnerability Management-системы на основе open source и freeware компонентов. 🆓 Какие инструменты можно использовать для детектировании и приоритизации уязвимостей, а также визуализации состояния инфраструктуры. Какие там есть подводные камни. 🪨

🔹 Сканирование сетевого периметра. От понимания, что такое периметр в организации, к тому, как организовать регулярное сканирование и исправление уязвимостей. 📊

В этот раз читал заранее подготовленный текст с суфлёра, так что должно получиться чётенько. 🙂

➡️ Записывайтесь на практикум, рекомендуйте друзьям.

Здесь ещё официальный пост про него.