Архивы автора: Alexander Leonov

Разбирал содержимое рюкзака и нашёл раздатку VulnsIO с Территории Безопасности

Разбирал содержимое рюкзака и нашёл раздатку VulnsIO с Территории БезопасностиРазбирал содержимое рюкзака и нашёл раздатку VulnsIO с Территории БезопасностиРазбирал содержимое рюкзака и нашёл раздатку VulnsIO с Территории Безопасности

Разбирал содержимое рюкзака и нашёл раздатку VulnsIO с Территории Безопасности. Стикеры довольно забавные. Мне "I believe I can patch" больше всего нравится (почему там Фредди Меркури, правда, непонятно, но пофиг 🤷‍♂️🙂).

I think about it every night and day
Spread my agents and patch away

😅

Заявленную функциональность из листовки тоже интересно посмотреть. Здесь, правда, есть золотое правило: при анализе маркетинговых материалов нужно обращать внимание не на то, что там есть, а на то, чего там нет и на то, что указано мельком, без особой детализации. 😏

Всё больше акцентов VM-вендоры делают не на хостах и софтах, а на контейнеризации. Куда двигается IT, туда и VM.

Про поддержку систем и софтов, кстати, нашёл у них на сайте актуальный список поддерживаемых ОС, ПО и сетевых устройств от 22.03.2024. 👍 Для теста проверил Con­flu­ence — есть. Но только в разделе Win­dows. А Con­flu­ence, естественно, и на Lin­ux ставится.

Выпустил базированный трек про Vulnerability Management

Выпустил базированный трек про Vul­ner­a­bil­i­ty Man­age­ment. 🙂 Это на основе поста "На что похожа работа специалиста по Управлению Уязвимостями".

[verse]
В ИБшном департаменте есть специалист,
Чей рабочий путь опасен и тернист.
В IT, разрабах, бизнесе ему никто не рад.
Его задача изменить привычный всем расклад.

[cho­rus]
Конкретен как сигнал "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!
Конкретен как сигнал "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!

[verse]
На обсуждениях патчинга стоит ажиотаж:
Скепсис, обвинения и скрытый саботаж.
"Мы обновить не можем", лукавят хитрецы.
А в случае инцидента — "мы ж не знали, не спецы".

[cho­rus]
На ропот наш ответ — "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!
Включаем наш сигнал "Внимание Всем"!
Наша норма! Наша база! Это VM! Это VM!

Vulnerability Management и горячая картошка

Vulnerability Management и горячая картошка

Vul­ner­a­bil­i­ty Man­age­ment и горячая картошка. 🥔 Подумалось, что важнейшая задача Vul­ner­a­bil­i­ty Man­age­ment решения заключается в том, чтобы защищать самого VM-специалиста (и его руководителей вплоть до CISO). Решение должно предоставлять надёжные доказательства, что специалист добросовестно выполнял свою часть работы:

🔸 Своевременно и достаточно полно анализировал инфраструктуру.
🔸 Оперативно информировал ответственных о найденных уязвимостях и связанных рисках, ставил им задачи на исправление.
🔸 Контролировал выполнение задач ответственными и указывал, если задачи не были выполнены в срок.
🔸 Особое внимание уделял критичным уязвимостям из рассылок регуляторов.

Цель в том, чтобы в момент внешнего аудита или расследования инцидента, в руках VM-щика не было "горячей картошки" (необработанных критичных уязвимостей). 😏 Это значит, необходимо постоянно оценивать количество "картошки" в руках и автоматически минимизировать его или предлагать шаги для этого. Задача для AI? 🤔 Возможно.

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor — операцию по обнаружению атак группировки TA558

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor - операцию по обнаружению атак группировки TA558

В понедельник на сайте Pos­i­tive Tech­nolo­gies вышла большая статья про SteganoAmor — операцию по обнаружению атак группировки TA558. Несмотря на многообразие инструментов и методов атак, которые использовала группировка, в статье упоминается только одна CVE уязвимость. Это старая RCE в Microsoft Office (CVE-2017–11882), которая используется для запуска макросов в RTF-документах. Несмотря на возраст, уязвимость регулярно всплывает в описаниях актуальных атак.

Отсюда вывод для VM-процесса. Не так важно, что какая-то команда обновляется раз в 2 месяца, а не каждый месяц. Важно выделить хосты и софты, которые принципиально не обновляются и не будут обновляться и бороться прежде всего с ними.

Одновременно курьёзный и печальный факт. Уязвимость была обнаружена исследователем из Embe­di. К сожалению, компания не пережила американские санкции и на их сайте, где было выложено оригинальное исследование, теперь онлайн-казино. 🎰🤷‍♂️

Повысилась критичность уязвимости RCE — Windows MSHTML Platform (CVE-2023–35628)

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)

Повысилась критичность уязвимости RCE — Win­dows MSHTML Plat­form (CVE-2023–35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tues­day 2023.

"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Out­look (до просмотра в Pre­view Pane). 🔥"

И вот через 4 месяца Aka­mai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Win­dows File Explor­er. 🤔

А где zero-click RCE в Out­look? Такая эксплуатация возможна вместе с EoP — Microsoft Out­look (CVE-2023–23397):

"This vul­ner­a­bil­i­ty can be trig­gered through Out­look (0‑click using CVE-2023–23397)".

Впрочем, CVE-2023–23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏

По данным из БДУ ФСТЭК уязвимость CVE-2023–35628 эксплуатируется вживую (флаг vul_incident).

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды Max­Pa­trol VM Pos­i­tive Tech­nolo­gies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы. Активность просто огненная. 🔥

Задания хакатона:

🔻 Стендирование. Написать плейбук для развертывания ПО с помощью Ansi­ble.
🔻 Обнаружение ПО. Написать скрипт для обнаружения ПО на хосте на языке Python. Цель скрипта сгенерировать OVAL Vari­ables с информацией по софту.
🔻 Обнаружение уязвимостей. Распарсить источник данных об уязвимостях и сформировать OVAL Def­i­n­i­tions. Затем провести детектирование уязвимостей используя OVAL Def­i­n­i­tions и артефакт работы скрипта обнаружения ПО (OVAL Vari­ables) с помощью утилиты Open­SCAP.

Таким образом участники хакатона пройдут весь путь поддержки продукта в сканере уязвимостей с использованием нейтрального опенсурсного стека:

Ansi­ble + Python + OVAL/OpenSCAP

При этом использование Python для сборки OVAL Vari­ables позволит снять ограничения связанные с OVAL объектами (мороки с их сбором — атас, а Open­SCAP под Win­dows вообще dic­scon­tin­ued) и при этом получить все преимущества OVAL — формализованное описание правил детектирования уязвимостей и готовые инстурумент для расчёта статусов в виде Open­SCAP.
Б — Баланс. 👍

💳 За выполнение заданий участники будут получать баллы, которые будут конвертированы в деньги.

🚀 Результаты работы участников не пропадут, а будут использованы в Max­Pa­trol VM (после ревью и через конвертацию в пакеты Max­Pa­trol VM).

Для участников сплошной Win:

🔸 Получаем реальную практику с востребованными технологиями (Ansi­ble и Python вообще must have в IT, а OVAL/SCAP кучей VM-продуктов используется и в России, и зарубежом).
🔸 Получаем отличную строчку в резюме (рассказывать на собесе как детекты писал, которые в Max­Pa­trol VM сейчас используется — круто же 🙂).
🔸 Получаем приятный денежный бонус с этого.
🔸 Получаем фаст-трек для вкатывания в команду разработки Max­Pa­trol VM, если процесс понравится и будут хорошие результаты. 😉

➡️ Подробности и регистрация тут
🟥 Официальный пост в канале Pos­i­tive Tech­nolo­gies

В этом году в премии "Киберпросвет" от Cyber Media будет отдельная номинация за вклад в развитие Vulnerability Management процессов

В этом году в премии Киберпросвет от Cyber Media будет отдельная номинация за вклад в развитие Vulnerability Management процессов

В этом году в премии "Киберпросвет" от Cyber Media будет отдельная номинация за вклад в развитие Vul­ner­a­bil­i­ty Man­age­ment процессов. 👍 Всего будет 21 номинация.

Премия «Киберпросвет» призвана отметить компании и блогеров, принимающих активное участие в освещении актуальных вопросов кибербезопасности, распространении информации о лучших практиках и продуктах обеспечения ИБ как среди профессионального сообщества, так и среди рядовых пользователей.

Чтобы стать участником необходимо отправить заявку на адрес: info@securitymedia.org

В заявке необходимо указать номинации, в которые вы планируете заявиться, а также в произвольной форме указать, каких достижений вы достигли в этом направлении, привести примеры ваших работ и проектов.

Заявки принимаются до 16 мая включительно, оглашение результатов 31 мая.

Официальный пост