Архив за месяц: Август 2024

Последний год Телеграма в России?

Добавить комментарий

Последний год Телеграма в России?

Последний год Телеграма в России?

14 августа Телеграму исполнилось 11 лет. По этому поводу было много восторженных постов. Действительно, главный мессенджер в России и очень удобный продукт. Не поспоришь.

Самое главное, что это одна из немногих нейтральных глобальных платформ, которой удаётся работать во множестве стран, применяя рациональную политику по удалению/фильтрации контента.

Ну или удавалось… 🤔

Мне кажется, что шансы на то, что в течение года Телеграм перестанет быть массово доступным мессенджером в России весьма высоки:

🔹 2 месяца подряд выносятся судебные решения со штрафами за неудаление контента: 13 августа, 8 июля. До этого штрафы были в 2023 и 2021 году.

🔹 Окончательное превращение ТГ в "супер-апп" со встроенным кошельком неизбежно вызовет вопросы у регуляторов во многих локациях, включая Россию.

Надеюсь, конечно, что всё-таки механизмы взаимодействия доработают и как-то договорятся. Но, скорее всего, не договорятся. 🤷‍♂️

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

1 комментарий

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Про уязвимость Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. Эксплоитов и признаков эксплуатации вживую пока не видно, но описание уязвимости выглядит страшновато. 😱

Неаутентифицированный злоумышленник отправляет пакеты IPv6 на компьютер под управлением Windows и это приводит к удаленному выполнению кода. CVSS 9.8, "Exploitation More Likely".

🔹 Если IPv6 отключен, то уязвимость не эксплуатируется. Но по умолчанию он включен. 😏
🔹 Блокировка IPv6 на локальном фаерволе Windows не помешает эксплуатации (эксплуатация происходит до обработки фаерволом). 🤷‍♂️

Уязвимость нашли эксперты из китайской ИБ-компании Cyber Kunlun. Когда появятся технические детали и эксплоиты, это может быть очень критично и "wormable". 🪱

Update

Прочитал статью в блоге US Council on Foreign Relations (CFR) про импортозамещение в России и Astra Linux

1 комментарий

Прочитал статью в блоге US Council on Foreign Relations (CFR) про импортозамещение в России и Astra Linux

Прочитал статью в блоге US Council on Foreign Relations (CFR) про импортозамещение в России и Astra Linux. Ссылку давать не буду. Статья довольно дурацкая и с ошибками типа вендора смартфонов "Xiamoi". 😅 Но настроения на Западе передаёт. 😉

Их основные идеи:

🔹 Русские зависят от китайских технологий. Нужно раздувать опасности, которые им это несёт, чтобы вбить клин между русскими и китайцами.
🔹 Нужно исследовать Astra Linux. Наверняка у русских ограничены возможности в области тестирования безопасности кода. США и союзники могут это использовать "to press the advantage in cyberspace".

Отсюда три вывода:

🔻 Импортозамещение - это круто, правильно и беспокоит потенциального противника. 👍
🔻 Open Source - это арена противостояния государств. Нужно вкладываться в средства контроля кода и уменьшать зависимость от сомнительных апстримов. Горячий привет российским переупаковщикам RHEL-а.
🔻 В игру с воздействием на апстримы могут играть двое. 😉 См. кейс с XZ Utils.

На Хабре вышла статья "Надзорщик за инфраструктурой: что делает VM-специалист и как им стать" по мотивам моих постов из Телеграм-канала

Добавить комментарий

На Хабре вышла статья Надзорщик за инфраструктурой: что делает VM-специалист и как им стать по мотивам моих постов из Телеграм-канала

На Хабре вышла статья "Надзорщик за инфраструктурой: что делает VM-специалист и как им стать" по мотивам моих постов из Телеграм-канала.

Содержание статьи:

🔹 Кто такой VM-специалист?
🔹 Что делать VM-специалисту, чтобы быть эффективным?
🔹 Тяжело ли стать таким специалистом?
🔹 Почему VM-специалисты высоко востребованы на рынке?
🔹 Как становятся VM-специалистами?

В общем, 🎵 "В ИБшном департаменте есть специалист, чей рабочий путь опасен и тернист". 😉

🟥 По поводу вкатывания в VM. 8-го сентября стартует очередная (уже третья) волна курса "Управление уязвимостями: от теории к практике", в котором есть записанные мной видео-модули. Также планирую участвовать в онлайн "встречах с экспертами" в рамках курса. 😉

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189)

Про уязвимость Remote Code Execution - Microsoft Project (CVE-2024-38189).

Microsoft Project - программа управления проектами. Обеспечивает разработку планов, распределение ресурсов по задачам, отслеживание прогресса и анализ объёмов работ.

Уязвимость исправлена в рамках августовского Patch Tuesday. Зловредный код выполняется при открытии жертвой специального файла Microsoft Office Project, полученного в фишинговом письме или скаченного с сайта злоумышленника.

👾 Для успешной атаки должны быть отключены:

🔹 Политика "Блокировать запуск макросов в файлах Office из Интернет" (по умолчанию включена).
🔹 "VBA Macro Notification Settings".

Предпросмотр файлов в "Preview Pane" не является вектором эксплуатации. 👍

Как видите, для успешной атаки требуется довольно много условий, однако Microsoft сообщает о случаях эксплуатации уязвимости вживую. 🤷‍♂️

Августовский Microsoft Patch Tuesday

4 комментария

Августовский Microsoft Patch Tuesday

Августовский Microsoft Patch Tuesday. 130 CVE, из которых 45 были добавлены с июльского MSPT.

В ТОПе внезапно RCE - OpenSSH "regreSSHion" (CVE-2024-6387), который MS пофиксил в Azure. 🙂

6 уязвимостей с признаками эксплуатации вживую. 😱 Давненько такого не было. Их буду разбирать отдельно.

🔻 EoP - Windows Kernel (CVE-2024-38106), Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38213)
🔻 RCE - Microsoft Project (CVE-2024-38189)
🔻 RCE - Scripting Engine (CVE-2024-38178)

Другие:

🔸 AuthBypass - Windows Update Stack (CVE-2024-38202) - уязвимость была недавно представлена на BlackHat
🔹 Интересные RCE - Windows TCP/IP (CVE-2024-38063) и LPD (CVE-2024-38199)
🔹 Очень много EoP в компонентах Windows (~26)

🗒 Полный отчёт Vulristics

Выпустил новую версию Vulristics 1.0.7

1 комментарий

Выпустил новую версию Vulristics 1.0.7

Выпустил новую версию Vulristics 1.0.7.

🔹 Теперь, если вы видите в отчёте эксплоиты, которые на самом деле эксплоитами не являются (а являются, например, скриптами для детектирования), вы можете исключить их из рассмотрения. Для этого создайте для CVE идентификатора custom data source (json файл) и добавьте идентификаторы эксплоитов, которые хотите исключить, в тег ignore_exploits.

🔹 Добавил возможность управлять баннером html-отчёта через ключ --result-html-label. Можно указать баннер для Linux Patch Wednesday (lpw), баннер для Microsoft Patch Tuesday (mspt) или URL произвольной картинки.

Changelog
Непожатая картинка