Архив за месяц: Октябрь 2024

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM

Посмотрел вебинар про on-prem ScanFactory VM и SECURITM. Было интересно. На паре слайдов были цитаты моих постов про VM без бюджета и розовые очки. 😇

Можно отметить:

🔻 Агрессивное позиционирование: утверждают, что у отечественных VM-вендоров проблемы с полнотой баз детектирования, им сложно работать с большим количеством результатов, низкий уровень автоматизации процесса. 🤷‍♂️ Якобы большинство российских вендоров тратит деньги на маркетинг, а не на экспертизу. Про прямых конкурентов: "у них там nmap".

🔻 Основная фишка ScanFactory VM - это конвейер из 21 сканеров, среди которых коммерческий "N-сканер", и платные источники данных по уязвимостям.

🔻 Как со сканированием российских продуктов? Битрикс - могут, российские ОС - пока нет. Планируют внедрить сертифицированный ФСТЭК сканер. 🤔 Своего сертификата ФСТЭК нет.

🔻 VM процесс реализуют интеграцией с SECURITM. Интересные фичи: оценки критичности по ФСТЭК, ссылки на бюллетени НКЦКИ, автоматизация реагирования (RPA).

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982)

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982)

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2024-31982). XWiki - это бесплатная вики-платформа с открытым исходным кодом. Основная её особенность - простая расширяемость. XWiki часто используется в корпоративной среде как замена коммерческим Wiki-решениям (например, Atlassian Confluence).

Уязвимость с CVSS Base Score 10, опубликованная 10 апреля, позволяет злоумышленникам выполнять произвольный код через запрос в интерфейсе поиска по базе данных XWiki. Он доступен всем пользователям по умолчанию и дополняет обычный поиск по XWiki. Если он не нужен, его можно отключить, удалив страницу Main.DatabaseSearch. Уязвимость исправлена в версиях XWiki 14.10.20, 15.5.4 и 15.10RC1.

Пример эксплуатации содержится в самом бюллетене разработчиков. 🤷‍♂️ Работающие скрипты для эксплуатации уязвимости доступны на GitHub с 22 июня.

Если в вашей организации используется XWiki, обязательно обратите внимание.

Тарас Кропоткин и пара по вульнеросологии

Тарас Кропоткин и пара по вульнеросологии

Тарас Кропоткин и пара по вульнеросологии.

Тарас Кропоткин, первокурсник Императорского Высшего Магического Училища, сидел в аудитории, ожидая начала первой лекции по вульнеросологии. Он немного запыхался. Найти нужную аудиторию оказалось не так-то просто. Аудитория находилась на пятом этаже южного крыла Слободского дворца. Чтобы отыскать её, нужно было пройти до самого конца коридора на третьем этаже, а потом уже подняться на пятый по крутой лестнице. И только так! Ещё более странным было то, что снаружи Слободского дворца ни третьего, ни тем более пятого этажей не было видно. Их попросту не было. По словам старшекурсников, эту часть дворца построят в будущем, но доступ к ней возможен уже сейчас через пространственно-временной карман.

Рядом с таинственной аудиторией на пятом этаже располагались административные помещения факультета Чапай, куда был недавно распределён Тарас. Ему было известно, что этот факультет обычно выбирает студентов из семей рабочих и крестьян, так что результаты распределения его нисколько не удивили.

В аудиторию вошёл преподаватель - профессор Рувиль Иосифович Тоибас, приятный старичок известный своими былыми подвигами на службе в восьмом отделении Тайного Приказа Его Императорского Величества.

Профессор сел за стол, представился, обвёл глазами аудиторию и начал свой рассказ:

- Итак, сегодня вы познакомитесь с вульнеросологией. Эта наука исследует магию нашего мира. Предметы и существа нашего мира могут обладать некоторыми свойствами, называемыми вульнеросами, которые характеризуют их подверженность воздействиям… Весьма необычным воздействиям, приводящим к весьма необычным результатам. А раз вульнеросы существуют, значит их можно исследовать и использовать.

Профессор сделал паузу, позволяя студентам осмыслить его слова.

- Некоторые вульнеросы можно использовать только при непосредственном контакте, в то время как другие можно активировать на некотором расстоянии. Вульнеросы можно блокировать, создавая защитные чары. Таким образом мы можем защитить вещи и существ от нежелательных воздействий.

Профессор встал и подошёл к столу.

- Всесильна ли эта магия? Ответ - нет. Но она обладает силой, достаточной, чтобы влиять на реальность. Поэтому вы будете учиться понимать, как работает эта магия, как её использовать и как защищаться от её воздействия… Но хватит пока теории, давайте начнём с элементарной демонстрации.

Профессор Тоибас взял со стола металлический навесной замок и поднял его вверх, чтобы всем студентам было видно.

- Как видите, это обычный замок и он закрыт ключом. Я знаю, что этот замок подвержен вульнеросу, который позволяет открыть его без ключа. И сейчас я это продемонстрирую.

Он положил замок на стол, нарисовал мелом круг вокруг него и аккуратно вывел символы, отвечающие за использование вульнероса открытия замка.

- Теперь я кладу руки на круг и произношу заклинание: "Метасплойтус!"

На мгновение нарисованный круг озарился яркой красной вспышкой.

Профессор поднял замок в руках, и тот оказался открытым. В аудитории раздался гул восторга.

- Теперь давайте рассмотрим, как можно сделать так, чтобы замок таким образом уже не открывался. Я снова кладу замок, рисую круг, отвечающий за устранение вульнероса, подношу руки к кругу и произношу заклинание: "Аптгетапдейтус! Аптгетапгрейдус!"

Снова вспышка. На этот раз зелёная.

- Всё, в замке больше нет этого вульнероса на открытие, - объявил он с довольной улыбкой. - Но давайте всё же попробуем снова открыть его.

Профессор повторил действия для использования вульнероса открытия, произнёс заклинание, но ничего не произошло. Даже вспышки не было.

Довольный профессор обратился к аудитории.

- Всё работает, как видите! Само существование вульнеросов создаёт потребность в тех, кто умеет их исследовать, определять их наличие, использовать и предотвращать их использование.

Он сделал паузу, а затем добавил:

- А теперь перейдём к практическим занятиям.

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday?

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday?

Что известно про уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-43573) из октябрьского Microsoft Patch Tuesday? На самом деле только то, что она эксплуатируется вживую. Write-up-ов и публичных эксплоитов пока нет. Секция Acknowledgements в бюллетене Microsoft пуста. Непонятно, кто её зарепортил и от кого ждать подробностей.

В обзоре Patch Tuesday от ZDI предположили, что это может быть дополнительным исправлением похожей июльской уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-38112). У них совпадает тип и уязвимый компонент. Июльская уязвимость касалась обработки ".url" файлов и эксплуатировалась APT группировкой Void Banshee для установки зловреда Atlantida Stealer. Возможно, что злоумышленники научились обходить исправление для уязвимости, Microsoft это отследили и усилили меры безопасности новым патчем. Пока это только предположение. Но уязвимость лучше не игнорировать, несмотря на её низкий CVSS Base Score (6.5).

Тренды фишинга, бесплатные материалы и инструменты от StopPhish

Тренды фишинга, бесплатные материалы и инструменты от StopPhish

Тренды фишинга, бесплатные материалы и инструменты от StopPhish. Вебинар был насыщенный. 👍

Подсветили тренды:

🔻 Использование QR-кодов (квишинг), которые не проверяются автоматом.
🔻 Сценарий "FIND-TRAP" - провокация поиска в интернет-поисковике уникальной строки, которая есть только на зловредном сайте.
🔻 Атаки от имени контрагентов, "отклики на вакансии" и т.п.
🔻 Атаки через мессенджеры и соцсети.
🔻 Использование ИИ (в т.ч. аудио- и видео-дипфейки топ-менеджеров).

🔮 Атак через мессенджеры и кейсов с ИИ ожидается всё больше.

⚡️ Важно подсвечивать выгоду сотрудников от антифишингового обучения. Обучать регулярно. Вместо тестовых атак можно использовать тренажёры "определи фишинг" (отработка сразу нескольких кейсов).

🆓 Бесплатная раздатка от StopPhish. 2 курса по распознанию фишинга, ПО для проведения учебных атак, плагин для Outlook, чек-лист защиты от СИ, классификатор онлайн-векторов СИ, генератор сценариев СИ, памятки, плакаты, скринсейверы. 😇

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack. Цель релиза амбициозная: "предоставить все необходимые ресурсы для создания и внедрения полностью функционирующей программы Управления Уязвимостями для вашей компании".

Состав документов:

🔻 Определения Управления Уязвимостями и примеры SLA по устранению уязвимостей
🔻 Требования к репортингу уязвимостей
🔻 Чеклист для подготовки программы по работе с уязвимостями
🔻 Диаграмма процесса Управления Уязвимостями
🔻 Руководство (runbook) по Управлению Уязвимостями
🔻 Метрики управления уязвимостями

Неплохо сочетается с моим виженом по БОСПУУ, особенно в части контроля состояния задач на устранение уязвимостей. На этом в документах основной акцент. 👍 А не так как обычно: "вот вам PDCA, поприоритизируйте уязвимости, скиньте их админам и вжух - всё исправится". 🤪🪄

Разумеется, по деталям нужно вчитываться и править/дополнять, но как основа это определённо заслуживает внимания.

На сайте Anti-Malware вышел обзор сканера уязвимостей HScan 2.0.8 от компании Крайон

На сайте Anti-Malware вышел обзор сканера уязвимостей HScan 2.0.8 от компании Крайон

На сайте Anti-Malware вышел обзор сканера уязвимостей HScan 2.0.8 от компании Крайон. Раньше о них не слышал. Решение выглядит интересно. 🧐

🔹 Это не очередной EASM, а инфраструктурный сканер. Поставляется как SaaS и On-prem. Заявляется возможность сканирования активов в black-box режиме и с аутентификацией (SSH, WinRM). Есть веб-сканер. Есть API.

🔹 Работают не с отдельными сканами, а с активами. Активы могут автоматически собираться в группы "по определённому администратором алгоритму". Как именно это работает пока непонятно.

🔹 Настройка сканирования сделана по лекалам Nessus-а, включая выбор преднастроенного шаблона сканирования. Удобно. 👍

🔹 На скриншотах помимо CVE-шных уязвимостей видны детекты EoL софта и мисконфигураций.

🔹 Пишут, что ядро продукта собственное, сторонние решения не используются.

🔹 Основной вопрос - полнота базы детектов. Тут ясности нет, советую выяснять на пилотах.

Конкуренция на отечественном VM-ном рынке продолжает расти и это радует. 🙂