Архивы автора: Александр Леонов

Об авторе Александр Леонов

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте. And I invite all English-speaking people to another Telegram channel @avleonovcom.

Пару слов про сегодняшний корпоратив Positive Technologies

Добавить комментарий

Пару слов про сегодняшний корпоратив Positive Technologies

Пару слов про сегодняшний корпоратив Positive Technologies. Я обычно корпоративы не очень, но этот был суперский. 👍🔥 Вкусная и разнообразная еда, классное общение с коллегами про VM и про ИБ вообще, много пуфиков и шезлонгов чтобы почилить, разнообразные интровертские активности (познавательные лекции от коллег, мастер-классы, турнир по CS и т.д.). 😉

Как по мне, самой топовой была игра в "Что? Где? Когда?" 🦉

Не самодельный квиз под спортивное ЧГК, а лицензионная версия ТВ игры по правилам из конца 80-х со сменой команд за зеркальным столом и со всей культовой атрибутикой: ведущим за кадром (был сам Михаил Мун), волчком, гонгом, смачно закрученными вопросами "от телезрителей", распределителем в красной жилетке, чёрным ящиком и всем прочим. 🤩

Команда наша в общем зачёте оказалась где-то посередине, но приятных эмоций была масса. 😊

С днём рождения, родной Позитив!
Спасибо за праздник! Многая Лета!

Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday

1 комментарий

Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday

Про Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193) и другие EoP уязвимости Windows из августовского Patch Tuesday. Всего в августовском MSPT было 3 EoP с признаками эксплуатации вживую. У них идентичные описания: злоумышленник может поднять права на хосте до уровня SYSTEM. Уязвимость в Windows Kernel эксплуатировать сложнее, т.к. нужно выиграть race condition.

Только для EoP в Windows Ancillary Function Driver (AFD.sys) есть информация, кто именно её эксплуатирует. Эксплуатирует её известная группировка Lazarus. Об этом сообщается в пресс-релизе Gen Digital, компании стоящей за антивирусами Avira и Avast. Для нейтрализации ИБ продуктов в процессе атаки злоумышленники Lazarus используют руткит Fudmodule. Это привет тем, кто считает, что раз на хосте стоит EDR, то хост полностью защищён и обновлять его уже необязательно. 😏

Positive Technologies и индонезийский университет SGU заключили меморандум о стратегическом партнёрстве

Добавить комментарий

Positive Technologies и индонезийский университет SGU заключили меморандум о стратегическом партнёрстве

Positive Technologies и индонезийский университет SGU заключили меморандум о стратегическом партнёрстве. 🇮🇩 Будут проводиться совместные образовательные программы. Для меня, как для человека активно интересующегося Индонезией, в том числе состоянием их ИБ, новость супер-крутая. 🥳👍

🎓 Частный университет SGU находится в Тангеранге, городе-спутнике Джакарты. Он был основан в 2000 году. Там учится около 1000 студентов на 11 бакалаврских и 3 магистерских программах. Среди них бакалаврская программа IT - CYBER SECURITY и магистерская программ Master of Information Technology. Кампус расположен в крутом 35-этажном небоскрёбе. 🤩

🟥 Меморандум был подписан в последний день Positive Hack Camp. Это двухнедельная учебная программа по практической ИБ, проходившая в августе в Москве. В программе приняли участие 70 студентов из 20 стран. PHC будет проводиться ежегодно. ⚡️

Надеюсь, что сотрудничество Positive Technologies с индонезийскими ВУЗами будет расширяться. 😉

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Добавить комментарий

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063)

Прогресс в эксплуатации Remote Code Execution - Windows TCP/IP IPv6 (CVE-2024-38063). Уязвимость из августовского Patch Tuesday. 2 недели назад я уже писал почему она потенциально опасна. Теперь опасность значительно повысилась:

🔻 24 августа на GitHub появился PoC эксплоита. Есть видео с запуском небольшого python-скрипта (39 строк), вызывающего падение Windows с ошибкой "KERNEL SECURITY CHECK FAILURE". Выглядит скорее как DoS, чем RCE. Но это пока.

🔻 Известный исследователь Marcus Hutchins выложил в своём блоге статью "CVE-2024-38063 - Remotely Exploiting The Kernel Via IPv6". В ней описаны технические подробности эксплуатации уязвимости.

В общем, уже есть детали и первый работающий код. Вероятность того, что уязвимость докрутят до практической эксплуатации RCE значительно повысилась.

❗️ Проверьте, что уязвимость у вас запатчена и повысьте приоритет задаче на исправление, если ещё нет.

Посмотрел интервью директора по связям с инвесторами Positive Technologies Юрия Мариничева на канале ГОС ИТ Богатырёва

Добавить комментарий

Посмотрел интервью директора по связям с инвесторами Positive Technologies Юрия Мариничева на канале ГОС ИТ Богатырёва

Посмотрел интервью директора по связям с инвесторами Positive Technologies Юрия Мариничева на канале ГОС ИТ Богатырёва. Должно быть интересно тем, кто хочет узнать о Позитиве и со стороны клиентов, и со стороны будущих сотрудников, и со стороны инвесторов. О чём там говорили:

🔹 Как российские и западные регуляторы помогают развитию отечественного рынка по ИБ. О том, что все уже осознали: импортозамещение - это всерьёз и надолго, "обратного пути нет". ИБ решения должны быть свои и должны быть качественными (интервью снимали на фоне BSODStrike 🙂).

🔹Как PT вырос до 2700 человек. Больше 50% RnD и эксперты в области ИБ. Я отчётливо помню, что где-то в 2013 прошли отметку в 300 человек - казалось ничего себе! 😅 Рассказали про то как поощрение акциями работает.

🔹 Сейчас у PT уже 25 продуктов и решений практически во всех сегментах рынка. Поговорили конкретно про NGFW. Как отстраиваются от западных лидеров (Check Point, Palo Alto и Fortinet). 30 российских компаний кинулись пилить свой NGFW. Есть решения на рынке, которые так называются, но не все "вывозят" по функциональности. Реальные кейсы внедрения PT NGFW будут в конце года.

🔹 Про то как продавать решения через результативный кибербез и оценку недопустимых событий. Как экспортировать решения за рубеж. PT выходит в ЮВА, Ближний и Средний Восток, Латинскую Америку и отдельные страны Африки. Около 10 первых стран. Проговорили как PT это делает и какие при этом бывают сложности.

🔹 Каверзный вопрос про то как конкурирует большая четвёртка: PT, Kaspersky, RT Solar, BiZone. 😉

🔹 Что делать с сопротивлением кадров, которые не рвутся пересаживаться на новые продукты. Тут про курсы, вебинары-cеминары.

🔹 Про советы молодым специалистам, инвестиции и позитивную медийку (уже более 20 каналов 😲).

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Добавить комментарий

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).

🔹 Уязвимость нашёл исследователь John Blackbourn и сдал её по программе багбаунти, получив $14400. То есть где-то 1.3 млн. рублей. Сумма за одну уязвимость, согласитесь, весьма приличная. 👏

🔹 Уязвимость не эксплуатируется на Windows инсталляциях, т.к. там отсутствует функция, которая необходима для генерации хэша. Так пишут во write-up-е. Правда не пишут, а как тогда вообще этот плагин на Windows инсталляциях работает и работает ли вообще. 🤔 Но если плагин работает и уязвимость не эксплуатируется, то получается иногда использовать Windows вместо Linux в качестве хостинга для вебсайтов это не такая уж странная затея. 🙃

Довольно забавно наблюдать в мейнстримных СМИ и не-ITшных каналах панику по поводу рабочей переписки в Телеграм и отсутствия альтернатив

Добавить комментарий

Довольно забавно наблюдать в мейнстримных СМИ и не-ITшных каналах панику по поводу рабочей переписки в Телеграм и отсутствия альтернатив

Довольно забавно наблюдать в мейнстримных СМИ и не-ITшных каналах панику по поводу рабочей переписки в Телеграм и отсутствия альтернатив.

🔹 На самом деле в России разных мессенджеров (и корпоративных, и публичных) как у дурака фантиков. Ищем "российские мессенджеры 2024" и первой же ссылкой находим 11 вариантов. У одной только VK-шечки после громкого сворачивания ICQ и МейлРу Агента остались VK мессенджер и ТамТам. Хочется бесплатно и on-prem? Можно свой опенсурсный Mattermost поднять или XMPP сервер с открытым клиентом. Не совсем удобен опенсурс? Можно уже допиленный Mattermost с поддержкой от Т-банка взять. Я долго им пользовался, нормальная замена Slack-у. Положа руку на сердце, мессенджер это вовсе не rocket science. Есть даже проекты, которые дают экспириенс как в мессенджере, являясь фактически клиентом электронной почты, там вообще никакой инфраструктуры не нужно кроме почтового сервера. 🤷‍♂️

🔹 Основные причины почему люди продолжают пользоваться Телеграмом (именно как мессенджером, а не каналами) или, ещё хуже, WhatsApp-ом - это банальная лень и эффект уже набранной базы. Все же пользуются. Дефолтное средство связи. Вот и продолжают использовать, даже не пробуя поискать и попробовать что-то другое. Ну а если речь о корпоративном общении, то это ещё и забивание на элементарные требования ИБ. 🤦‍♂️

Имхо, переход на массовую альтернативу и для личного, и для корпоративного общения обязательно случится, когда заработают эффективные блокировки. Большая часть пользователей не будет заморачиваться их обходом и дефолтными средствами для общения станут другие продукты.

Была у нас в российском ИБ-мирке дефолтная соцсеточка, где "были все". Ну и что? Довольно быстро после начала блокировок соцсеточка таковой быть перестала. И практически все перекатились в телегу и VK. И в случае потенциального блокирования ТГ всё также будет норм.