Архив за месяц: Ноябрь 2025

Про уязвимость Elevation of Privilege - Windows Remote Access Connection Manager (CVE-2025-59230)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Remote Access Connection Manager (CVE-2025-59230)

Про уязвимость Elevation of Privilege - Windows Remote Access Connection Manager (CVE-2025-59230). Уязвимость из октябрьского Microsoft Patch Tuesday. Служба удалённого доступа Windows (Windows Remote Access Connection Manager, RasMan) - это базовая служба Windows, которая управляет подключениями по коммутируемой линии (dial-up) и виртуальным частным сетям (VPN), обеспечивая безопасное соединение компьютера с удалёнными сетями. Ошибка контроля доступа в службе RasMan может позволить аутентифицированному злоумышленнику повысить привилегии до уровня SYSTEM.

👾 Microsoft изначально, 14 октября, сообщали о признаках эксплуатации уязвимости в реальных атаках. 22 октября уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.

🛠 Публичных эксплоитов пока не наблюдается.

В воскресенье со своими девчонками ходил на балет "Золушка" в Театр на Цветном

Добавить комментарий

В воскресенье со своими девчонками ходил на балет Золушка в Театр на Цветном

В воскресенье со своими девчонками ходил на балет "Золушка" в Театр на Цветном. Появился повод поразмышлять о том, как эта сказка перекликается с Vulnerability Management процессом. 😉

О чём она? О том, что безрадостное существование может измениться к лучшему. ✨ Так к VM-щику, который тянет весь процесс на себе, борется по мере сил с IT-шным хамством и саботажем, старается, чтобы все активы были покрыты, все уязвимости были продетектированы, учтены и устранены, однажды спустится C-level фея-крёстная. 🧙‍♀️🪄

🔹 Отвалит бюджет на нормальное VM-решение. 🎃➡️🏎

🔹 Промотивирует дорогих коллег перестать крысить и впрячься в совместную работу. 🐀➡️🐴

Жаль, что так бывает только в сказках. Да и там ненадолго. 🕛😉

В реальности VM-щику, у которого начало что-то получаться, запросто могут назначить "созвон с руководителем и HRBP". 🤷‍♂️ А у C-level феи-крёстной может быть своя agenda и следовать её советам следует с осторожностью (а то будет, как в песне Пикника 😉).

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями"

Добавить комментарий

На портале @CISOCLUB вышло интервью со мной Эволюция подхода к управлению уязвимостями

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями". В прошлом году я рассказывал о вещах, которые считаю наиболее важными в VM-е, а в этот раз в основном о будущем VM-а и Exposure Management (Управление Экпозициями). И немного о своих регуляторных хотелках. 😉

Ответил на вопросы:

🔹 Как изменился подход российских организаций к VM процессу в 2025 году?
🔹 По структуре EM и VM процессы совпадают?
🔹 Моделирование действий атакующего - это не то же самое, что пентест?
🔹 Насколько актуальными остаются традиционные способы приоритизации уязвимостей и выделение «трендовых уязвимостей»?
🔹 Как расширенные VM-практики (EM) соотносятся с требованиями регуляторов?
🔹 Какие регуляторные требования могли бы повысить защищённость российских организаций и национальную безопасность?
🔹 Какие изменения в VM/EM-решениях ждут нас в будущем?

Насколько актуально VM-вендорам ввести списки трендовых уязвимостей?

Добавить комментарий

Насколько актуально VM-вендорам ввести списки трендовых уязвимостей?

Насколько актуально VM-вендорам ввести списки трендовых уязвимостей? Как по мне, более чем. Это полезно и для клиентов, и для самих VM-вендоров.

🔹 Самое очевидное - сообщения о трендовых уязвимостях помогают клиентам приоритизированно устранять наиболее критичные и эксплуатабельные уязвимости.

🔹 Публикация таких сообщений показывает адекватность VM-вендора. Что в компании есть люди, которые отслеживают "VM-ное инфополе" и понимают, через какие уязвимости злоумышленники ломают компании и как именно. Если потребуется, они могут инициировать создание недостающих правил детектирования.

🔹 Наконец, это даёт PR/маркетингу VM-вендора актуальный контент, полезный для потенциальных клиентов. 😉

Но если VM-вендор не хочет ретранслировать чужие новости и обновления CISA KEV, необходимо выстраивать независимый процесс непрерывной переоценки уязвимостей: "достаточно ли текущих данных для отнесения конкретной уязвимости к трендовым"? 🤔 Здесь широкое поле для работы экспертов и AI-инструментов.

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Добавить комментарий

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491)

Про уязвимость Remote Code Execution - Windows LNK File (CVE-2025-9491). Уязвимость в механизме обработки ярлыков Microsoft Windows (.LNK) позволяет скрывать зловредные аргументы командной строки в поле Target пробельными символами, что делает визуальную проверку .LNK файла стандартными средствами невозможной. Запуск такого файла приводит к выполнению произвольного кода.

🔻 Peter Girnus, эксперт компании Trend Micro, уведомил Microsoft об уязвимости 20 сентября 2024 года, однако они приняли решение её не устранять. 🤷‍♂️ 26 августа 2025 года эта 0day уязвимость ZDI-CAN-25373 получила идентификатор CVE-2025-9491.

👾 18 марта 2025 года на сайте Trend Micro вышел пост об эксплуатации этой уязвимости в APT атаках. 30 октября Arctic Wolf Labs сообщили, что уязвимость использовали для развёртывания зловреда PlugX в атаках на дипломатические представительства Венгрии и Бельгии.

🛠 Метод модификации .LNK файлов описан в отчёте Trend Micro.

"Вовка в Тридевятом царстве" - это самый VM-ный советский мультфильм

Добавить комментарий

Вовка в Тридевятом царстве - это самый VM-ный советский мультфильм

"Вовка в Тридевятом царстве" - это самый VM-ный советский мультфильм. Подумалось мне после вчерашней экскурсии. 🙂

Сюжет матчится идеально:

👑 CEO Царёв (выходец из технарей) не согласен с молодым VM-щиком Вовкой, что устранять уязвимости должны только IT-шники и грозится уволить его как тунеядца.

🐡 CTO Рыбкин игнорирует эскалацию проблем по устранению уязвимостей от VM-щика, который "палец о палец не ударил, а туда же, задачи заводит".

🧝‍♀️ Премудрые эксперты-Василисы преподают оторванный от реальности курс по VM-у.

🤤 Команда "одинаковых с лица" IT-шников, выделенная для решения задач патчинга, включает дурака и саботирует VM-процесс.

🥧🔥 Лютый фейл при попытке устранить уязвимости в OT-инфраструктуре PECHKA своими силами.

📃 Определённые успехи у Вовки пошли только после изменения майндсета, изучения нормативки, формализации общения и VM-процесса. 😉

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893)

Добавить комментарий

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893)

Про уязвимость Remote Code Execution - XWiki Platform (CVE-2025-24893). XWiki - бесплатная и открытая вики-платформа, написанная на Java, с особым акцентом на расширяемость. В ней можно делать визуальное редактирование (WYSIWYG), импорт и экспорт документов в формате OpenDocument, добавлять аннотации и теги, а также гибко управлять правами доступа. Уязвимость позволяет злоумышленнику с правами guest-пользователя добиться выполнения произвольного кода на сервере, отправив специальный SolrSearch-запрос.

⚙️Уязвимость исправлена в версиях 15.10.11, 16.4.1 и 16.5.0RC1, вышедших в июле 2024 года.

🛠 POC эксплоита был доступен в оригинальном таске на исправление ZDI-CAN-23994, а также в бюллетене безопасности от 20 февраля 2025 года. Сейчас на GitHub более 30 вариантов эксплоитов.

👾 28 октября компания VulnCheck сообщила об эксплуатации уязвимости в реальных атаках для установки майнеров криптовалюты. 30 октября уязвимость добавили в CISA KEV.