Архив за месяц: Апрель 2024

Сделал трек для прошлогодней темы - концепту визуальной новеллы про Vulnerability Management

Сделал трек для прошлогодней темы - концепту визуальной новеллы про Vulnerability Management. 🙂

"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.

На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."

Светлана Надеждина:

С сетевым периметром всё как бы просто, но не совсем…
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.

Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.

То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.

Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.

А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.

Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!

Провели эту неделю в Костроме

Провели эту неделю в КостромеПровели эту неделю в КостромеПровели эту неделю в КостромеПровели эту неделю в КостромеПровели эту неделю в КостромеПровели эту неделю в Костроме

Провели эту неделю в Костроме. Красиво, вкусно, по московским меркам дёшево. Много всяких активностей для детей. Если бы ещё берёза не пылила, то совсем было бы хорошо. 😅 Из Москвы ходит комфортная Ласточка.

Занимательный исторический факт из поездки.

Пётр III Фёдорович
Жена Павла I - Мария Фёдоровна
Жена Николая I - Александра Фёдоровна
Жена Александра III - Мария Фёдоровна
Жена Николая II - Александра Фёдоровна

При том, что батюшек их совсем не Фёдорами звали. Почему так? Отчество давали при переходе в православие в честь Феодоровской иконы Божией Матери XII века, которая сейчас хранится в воссозданном Богоявленском соборе Костромского кремля.

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)? Основная причина, почему её можно выделить в апрельском Microsoft Patch Tuesday - упоминание в блоге ZDI (Zero Day Initiative). ZDI считают, что эта уязвимость эксплуатируется в реальных атаках. При том, что Microsoft в настоящее время так НЕ считают. Такая вот странная ситуация. 🤷‍♂️

Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.

Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024-29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Также Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412), которая попала в список трендовых уязвимостей в феврале.

В продолжение темы ханипотов, посмотрел свежее интервью с Александром Щетининым, сооснователем и генеральным директором deception-вендора Xello

В продолжение темы ханипотов, посмотрел свежее интервью с Александром Щетининым, сооснователем и генеральным директором deception-вендора Xello

В продолжение темы ханипотов, посмотрел свежее интервью с Александром Щетининым, сооснователем и генеральным директором deception-вендора Xello. Мы с Александром долгое время работали в отделе инфраструктурной безопасности Тинькофф. 💛 В 2018 году он ушёл строить свой бизнес, который удачно стрельнул.

В 2019 Xello выпустили первую версию deception-платформы (управление хостами-приманками в инфраструктуре). На 2022 год достигли ~115 млн. р. выручки и ~20 человек в команде. Сейчас оцениваются на 1-2 млрд. р.

В интервью есть и то, что обычно мотивирует уйти из найма в свой стартап (как сделать продукт и начать зарабатывать на нём 😎), и то, что обычно демотивирует:

🔻 С начала работы до момента, как они стали нормально зарабатывать прошло 2-3 года.

🔻 Чтобы успешно реализовать хотя бы одну продажу, необходимо провести критическую массу пилотов (минимум пять).

🔻 Текущая работа Александра состоит из встреч, звонков и разбора почты. 🤷‍♂️

В общем, очень интересно и без пафоса. 🔥👍

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Курс шёл 3 недели в апреле. Занятия проводил генеральный директор АО «Эшелон Технологии» Александр Дорофеев, CISSP, CISA, CISM.

Как по мне, получился неплохой курс для начинающих. Демонстрация детектирования уязвимостей там, конечно, на Сканер-ВС 6, но по большей части контент курса можно считать вендерно-нейтральным и он будет полезен всем начинающим VM-специалистам.

Список занятий:

1. Методика тестирования защищенности
2. Интернет-разведка (OSINT)
3. Поиск уязвимостей
4. Эксплуатация уязвимостей
5. Отчет по тестированию
защищенности
6. Организационные аспекты управления уязвимостями

Видеозаписи занятий выкладываются в плейлисты учебного центра «Эшелон» на YouTube, RuTube и ВКонтакте. На данный момент доступны записи первых четырёх занятий.

Слайды я по согласованию перезалил в свой канал из канала @EchelonEyes, чтобы всё было в одном месте. Это крутой канал с новостями по ИБ, сам подписан и вас приглашаю подписаться.

Обращаю внимание, что не весь контент курса отражён на слайдах! Например, на слайдах по эксплуатации описан только брутфорс паролей, а на видео ещё разбирается эксплуатация уязвимости с помощью метасплоита. Так что лучше смотрите видео.

Больше курсов по Vulnerability Management-у хороших и разных!

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028)

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028)

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028). Уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. CVSS 7.8. Никто эту уязвимость особо не выделял. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского NSA (National Security Agency). Это случается достаточно редко. В таком состоянии уязвимость пребывала до 22 апреля 2024 г.

🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾

🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.

🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷‍♂️

🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.

🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎

🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.

➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.

Telegram-канал @avleonovrus "Управление Уязвимостями и прочее" преодолел психологически важную отметку 5000 подписчиков

Telegram-канал @avleonovrus Управление Уязвимостями и прочее преодолел психологически важную отметку 5000 подписчиков

Telegram-канал @avleonovrus "Управление Уязвимостями и прочее" преодолел психологически важную отметку 5000 подписчиков. Ура-ура! 🎉 На Территории Безопасности меня спросили: а зачем я этим занимаюсь, какая цель этого всего? Отвечаю. Цели нет. Есть путь. Рефлексия превращается в слова, слова собираются в пост, пост публикуется. Всё. Ну и в результате получается такая база перелинкованных постов на разные темы, в которой можно, при необходимости, что-то найти. Особенно приятно, что я эту базу утащил на свой хостинг, где она продолжит существовать после блокировки Телеграма. 😉

Часто стали предлагать разместить здесь рекламу за деньги. Моя позиция: пока у меня есть хорошо оплачиваемая основная работа, мне такое неинтересно.

Но готов обмениваться постами с хорошими каналами. Идеально, чтобы была сходная тематика про VM/Compliance Management. Главное, чтобы без вареза и намёков на блэк.

Большое спасибо всем подписчикам! Особенное спасибо тем, кто лайкает и шарит посты! 🙂👨‍💻