Архив за месяц: Январь 2025

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям

Добавить комментарий

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям. Записал выпуск специально для подписчиков Телеграм-канала avleonovrus «Управление Уявзимостями и прочее». 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Приветствие
🔻 00:28 Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)
🔻 01:30 Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)
🔻 02:37 Remote Code Execution - Apache Struts (CVE-2024-53677)
🔻 03:31 Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)
🔻 04:44 Трендовые уязвимости 2024 года

👾 08:10 Маскот канала 😅

24 февраля приму участие в конференции "INFOSTART TEAMLEAD & CIO EVENT 2025"

Добавить комментарий

24 февраля приму участие в конференции INFOSTART TEAMLEAD & CIO EVENT 2025

24 февраля приму участие в конференции "INFOSTART TEAMLEAD & CIO EVENT 2025". Кажется, впервые буду выступать на преимущественно неИБ-шном мероприятии. 🙂 Конференцию организует Инфостарт - компания, которая занимается автоматизацией на 1C и поддерживает сообщество 1С-специалистов, насчитывающее 1,5 млн участников. 🤯 Совершенно другой мир и другая аудитория. 🤩

Буду рассказывать про Базовую оценку состояния Управления Уязвимостями. В рамках подготовки доклада соберу все свои посты на тему БОСПУУ из канала в драфтовую версию руководства по БОСПУУ. 😉

Выступать буду в первый день конференции, 24 февраля, в 15:40. Площадка знакомая - ЦМТ. Но в Пресс-зале выступать мне пока не приходилось. 🙂

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411)

Добавить комментарий

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411)

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411). 7-Zip - популярный бесплатный архиватор с открытым исходным кодом. Он широко используется в организациях в качестве стандартного средства для работы с архивами.

Уязвимость заключается в обходе механизма Mark-of-the-Web.

🔹 Если вы в Windows скачаете подозрительный исполняемый файл и запустите его, то функция SmartScreen Microsoft Defender-а отработает и заблокирует запуск файла из ненадёжного источника.

🔹 А если вы скачаете 7z архив, содержащий вложенный 7z архив со зловредом, то сможете в три дабл-клика запустить исполняемый файл и SmartScreen не сработает. 🤷‍♂️ Причина в том, что 7-Zip до версии 24.09, вышедшей 30 ноября 2024 года, некорректно проставлял метку Mark-of-the-Web на распакованные файлы. На GitHub есть пример эксплоита.

Признаков эксплуатации уязвимости вживую пока нет. Но, скорее всего, они появятся, так как это простой способ повысить эффективность фишинговых атак. Обновите 7-Zip!

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации

Добавить комментарий

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации. Тестирование проводили специалисты компании "Базис", ИСП РАН и испытательной лаборатории "Фобос-НТ" на стенде Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Студенты МГТУ им. Баумана и ЧГУ помогали с разметкой данных и настройкой целей для фаззинга.

Проверяли nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделяли libvirt.

Всего выявили 191 дефект:

🔹 178 нашли SAST-ом (больше всего в ActiveMQ Artemis и Apache Directory)

🔹 13 нашли фазингом (в Apache Directory LDAP API и libvirt)

Исправления интегрировали в основные ветки проектов.

Инициатива классная. 👍 Но было бы неплохо, конечно, узнать какие из этих детектов являются эксплуатабельными уязвимостями и проконтролировать, что фиксы уязвимых компонентов дошли до связанных сертифицированных продуктов в адекватные сроки. 😉

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591)

Добавить комментарий

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591)

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591). Уязвимость позволяет удаленному злоумышленнику получить привилегии суперадминистратора с помощью специальных запросов к модулю Node.js websocket. Уязвимости подвержены сетевые устройства Fortinet под управлением FortiOS (включая FortiGate NGFW), а также решения FortiProxy.

🔹 10 января Arctic Wolf сообщили об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. 👾 Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.

🔹 14 января вышел бюллетень вендора. Уязвимость добавили в CISA KEV.

🔹 С 21 января на GitHub доступен публичный эксплойт.

🔹 По состоянию на 26 января Shadow Server фиксируют около 45 000 уязвимых устройств, доступных из Интернет.

Вендор рекомендует обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).

Должен ли VM-щик быть в курсе происходящего в даркнете?

Добавить комментарий

Должен ли VM-щик быть в курсе происходящего в даркнете?

Должен ли VM-щик быть в курсе происходящего в даркнете? Безусловно. Хотя бы в общих чертах. Иначе можно самому увериться в классическом "да кому мы нужны, чтобы нас атаковать". 😏

А реальность такова, что постоянно атакуют вообще всех. Это похоже на промысловый лов рыбы траулерами. Всё, что попало в сети, будет разобрано, оценено и выставлено на продажу. 🐟 В современном мире киберпреступности доступы в инфраструктуру организаций - это товар. 🏪 Такая же ситуация с уязвимостями, эксплоитами и готовыми малварями.

Группы злоумышленников специализируются:

🔻 одни исследуют уязвимости и пишут эксплоиты
🔻 другие встраивают их в малвари
🔻 третьи реализуют обход СЗИ
🔻 четвёртые получают первичные доступы
🔻 пятые доступы монетизируют 💰
🔻 шестые поддерживают работу торговых площадок

И насколько у всех этих ребят получится вынести вашу ООО "Ромашка", зависит от тебя, VM-щик. 😉

🟥 У PT на днях вышло большое исследование на эту тему и вебинар (доступна запись). 👍

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298)

Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298). Уязвимость из январского Microsoft Patch Tuesday. OLE (Object Linking and Embedding) - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Наглядный пример использования этой технологии - открытие таблицы Excel в документе Word.

В чём суть этой уязвимости? Код злоумышленника выполняется на хосте жертвы при открытии специального RTF-документа или при открытии специального email-сообщения в почтовом клиенте Microsoft Outlook (в том числе и в preview-режиме). Во втором случае от жертвы не требуется никаких действий кроме клика по сообщению. 🤷‍♂️ Microsoft рекомендуют настроить просмотр сообщений в Outlook только в plain text.

20 января на GitHub появился PoC эксплоита, демонстрирующий Memory Corruption при открытии RTF-документа. Теперь ждём и RCE-эксплойт для Outlook. 😉

Сообщений об атаках пока не было.

Устраните уязвимость в приоритетном порядке!