Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Июльский Microsoft Patch Tuesday

Добавить комментарий

Июльский Microsoft Patch Tuesday

Июльский Microsoft Patch Tuesday. Всего 152 уязвимостей, в два раза больше, чем в июне. Из них 15 уязвимостей были добавлены между июньским и июльским MSPT. Есть одна уязвимость с признаком эксплуатации вживую:

🔻 Memory Corruption - Chromium (CVE-2025-6554)

Для одной уязвимости есть эксплойт на GitHub:

🔸 EoP - Windows Update Service (CVE-2025-48799). Уязвимость эксплуатируется на Win11/Win10 хостах с двумя и более жёсткими дисками.

Из остальных можно выделить:

🔹 RCE - CDPService (CVE-2025-49724), KDC Proxy Service (CVE-2025-49735), SharePoint (CVE-2025-49704, CVE-2025-49701), Hyper-V DDA (CVE-2025-48822), MS Office (CVE-2025-49695), NEGOEX (CVE-2025-47981), MS SQL Server (CVE-2025-49717)
🔹 InfDisc - MS SQL Server (CVE-2025-49719)
🔹 EoP - MS VHD (CVE-2025-49689), TCP/IP Driver (CVE-2025-49686), Win32k (CVE-2025-49727, CVE-2025-49733, CVE-2025-49667), Graphics Component (CVE-2025-49732, CVE-2025-49744)

🗒 Полный отчёт Vulristics

Уязвимости подрядчиков - это ваши уязвимости

Добавить комментарий

Уязвимости подрядчиков - это ваши уязвимости

Уязвимости подрядчиков - это ваши уязвимости. Есть масса публичных кейсов, когда подрядчика ломали и получали доступ к данным компаний-клиентов. А то и доступ непосредственно в их инфраструктуры! И что с этим делать? 🤔

Даже только по VM-ной части. Вы, как минимум теоретически, можете выстроить В СВОЕЙ КОМПАНИИ красивый и эффективный VM-процесс для 100% инфраструктуры. Но вы же не будете сами выстраивать VM-процесс у всех ваших подрядчиков? 🙂

Получается гарантировать безопасность подрядчиков следует как-то иначе: через выставление требований по ИБ к подрядчикам и контроль их выполнения (анкетирование, контроль периметра, внутренний аудит и т.п.).

🎞 У Алексея Лукацкого недавно был хороший вебинар про безопасность подрядчиков. Там ещё в раздатке были категории подрядчиков для компаний из разных отраслей: банки, IT-компании, ритейл, сельхоз, нефтянка. 👍

➡️ А завтра в 12:00 (МСК) об этом будут говорить в Код ИБ "Безопасная Среда". Собираюсь посмотреть. 👀

В национальном мессенджере MAX появились каналы!

Добавить комментарий

В национальном мессенджере MAX появились каналы!

В национальном мессенджере MAX появились каналы! 🎉 Даже осени ждать не пришлось. Но создать свой канал пока не получится. Пока добавили только 50 каналов популярных блогеров и организаций. Полный список доступен на витрине. Вот, например, канал газеты Коммерсант.

Я посмотрел историю сообщений нескольких каналов, они были заведены во второй половине июня. Массового переноса старых сообщений из Telegram не делали (а жаль).

Выглядит пока, безусловно, страшнее, чем в телеграме. 🙂 Поле справа раза в два шире, что ужимает иллюстрации и вытягивает пост. Количество просмотров не показывается. Ссылки в постах работают нормально, но ссылки на хештеги не работают. Реакции есть. Обсуждений, ожидаемо, нет. Припиненных сообщений тоже нет.

Но это всё частности. Главное, что MAX-каналам быть! Будем ждать окончания тестирования и открытие общей регистрации каналов. 🙂

Централизация репортинга уязвимостей

Добавить комментарий

Централизация репортинга уязвимостей

Централизация репортинга уязвимостей. Раз уж последний пост на эту тему набрал много реакции (хоть и отрицательных 😅) и даже породил дискуссию, я расписал как бы мог работать гипотетический государственный регулятор "Инициатива Нулевого Дня" ("ИНД"; отсылка к ZDI 🙂), контролирующий репортинг уязвимостей в продуктах вендоров из недружественных стран.

Исследователь, обнаруживший уязвимость в продукте вендора из недружественной страны, передаёт результаты ресёрча в ИНД. Эксперты ИНД проводят анализ и выносят решение:

🔹 Если уязвимость представляет интерес с точки зрения национальной безопасности, исследователь подписывает соглашение о неразглашении и ему выплачивается вознаграждение от ИНД. Вендор не уведомляется. Также как NSA годами использовали EternalBlue и не сообщали MS. 😉

🔹 Если уязвимость не представляет интереса, ИНД либо сообщает о ней вендору, либо даёт разрешение исследователю сообщить вендору самостоятельно. Уязвимость заводится в БДУ.

Провели недельный отпуск в Санкт-Петербурге

Добавить комментарий

Провели недельный отпуск в Санкт-Петербурге
Провели недельный отпуск в Санкт-ПетербургеПровели недельный отпуск в Санкт-ПетербургеПровели недельный отпуск в Санкт-ПетербургеПровели недельный отпуск в Санкт-ПетербургеПровели недельный отпуск в Санкт-ПетербургеПровели недельный отпуск в Санкт-ПетербургеПровели недельный отпуск в Санкт-ПетербургеПровели недельный отпуск в Санкт-ПетербургеПровели недельный отпуск в Санкт-Петербурге

Провели недельный отпуск в Санкт-Петербурге. В этот раз, стараниями жёнушки, программа получилась очень насыщенной: сходили на балет в Михайловский театр и в Мариинку, на оперный концерт в Капелле, посетили Эрмитаж, музей Фаберже, музей этнографии, Юсуповский, Шереметьевский и Строгановский дворцы, Михайловский замок, музей театрального искусства, музей-квартиру Пушкина и музей-квартиру актёров Самойловых. 🙂 Нагулялись по полной.

В части имперской красоты Питер, безусловно, не имеет равных. Периодически приезжать, чтобы приобщиться к нашему культурному наследию, очень здорово. 😍🔥

Но жить там постоянно я бы не хотел. 🙂 В основном, конечно, из-за погоды. Даже летом она там безумная: в течение одного дня то жарко, то холодно, то сдувает, то заливает. 🤯 А уж что творится осенью и зимой и подумать страшно. 🫣😅

В этот раз ездили на "Сапсане". 🚄 Супер-удобно. 👍 Расстояние совсем не ощущается, как будто в Тверь или Сергиев Посад доехал.

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому "закону о белых хакерах

Добавить комментарий

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому закону о белых хакерах

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому "закону о белых хакерах":

"Кроме того, передача информации о выявленных недостатках программ для ЭВМ и (или) базы данных правообладателям, находящимся под юрисдикцией государств, совершающих недружественные действия в отношении Российской Федерации, не отвечает интересам обеспечения безопасности Российской Федерации."

Вполне справедливо. Более того, контакты российских исследователей с вендорами из недружественных стран (зачастую крупным гос. подрядчиками) в текущей непростой геополитической ситуации могут иметь признаки противоправной деятельности. 🤔 См. 275 УК РФ: "консультационная или иная помощь". А оно вам надо?

Централизация репортинга уязвимостей могла бы помочь: российский исследователь сдаёт найденную уязвимость не вендору, а российскому регулятору (ФСТЭК? НКЦКИ?), а регулятор уже принимает решение - следует ли сообщать об этой уязвимости вендору из недружественной страны или нет.

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы

Добавить комментарий

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы. 🤷‍♂️ Ведь задача, которая ставится перед их разработчиками - получить за минимальное время и с минимальными затратами решение с максимальной функциональностью. И заработать на этом. 👛

Для того чтобы отечественные ОС стали по-настоящему отечественными, необходимо менять подход. Исходить из того, что западные опенсурсные компоненты - зло. Они нашпигованы закладками (иногда под видом уязвимостей 😏). Для того чтобы минимизировать риски, связанные с этими закладками, необходимо минимизировать и количество зависимостей. А для этого нужно хотя бы поддерживать актуальный реестр зависимостей.

Тогда постепенно можно будет избавляться от наиболее сомнительных зависимостей, переходить на отечественные аналоги и форки. Тем самым формируя по-настоящему отечественные операционные системы. Которых (сюрприз-сюрприз!) сейчас нет. 🌝