Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Первые впечатления от Йошкар-Олы

Добавить комментарий

Первые впечатления от Йошкар-Олы

Первые впечатления от Йошкар-Олы. "Ааа! Мы и правда выбрались в Марий Эл! Тут вывески дублируются на марийском: кевыт, эмгудо, йолчием!" 😲🤩 Когда до этого знакомишься с языком только в интернете, в основном по песням, очень необычно и приятно видеть его употребление в повседневной жизни. 🙂

Хотя, честно говоря, я пока не видел здесь людей, которые бы разговаривали между собой на марийском. 🤷‍♂️ Это ожидаемо: у марийского всего 258 000 носителей. С 2002 года каждые 10 лет сокращение числа носителей на 100 000 человек. 😨 Да и марийцев в Йошкар-Оле меньше 25% (в среднем по Марий Эл процент повыше - 36%).

Но в любом случае столица республики - самое очевидное место для погружения в марийскую культуру. Чем я и планирую активно заниматься в ближайшую неделю. 🙂 Про VM буду писать урывками и в основном общие размышления. Отпуск. 😇

Вчера были в Марийском театре оперы и балета имени Эрика Сапаева на Дон Кихоте. Фото из театрального музея.

Презент от нашей PR-службы - значок The Best Positive Speaker 2024

Добавить комментарий

Презент от нашей PR-службы - значок The Best Positive Speaker 2024

Презент от нашей PR-службы - значок The Best Positive Speaker 2024. 🙂 Вручается за активное участие во внешних коммуникациях: выступление на мероприятиях, написание статей, комментариев СМИ и прочее. Очень приятненько было получить. 😇 Спасибо коллегам!

Размеры значка 25 x 35 мм. Комфортно тяжеленький, металлический. Покрыт качественной яркой эмалью. С небольшим усилием раскрывается как чемоданчик. Изящная штучка. 👍

Апрельский Microsoft Patch Tuesday

Добавить комментарий

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday. Всего 153 уязвимости, в 2 раза больше, чем в марте. Из них 32 были добавлены между мартовским и апрельским MSPT. Есть 3 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Common Log File System Driver (CVE-2025-29824). Атакующий может получить привилегии SYSTEM. Подробностей пока нет.
🔻 SFB - Microsoft Edge (CVE-2025-2783). Побег из песочницы, есть PoC эксплоита.
🔻 RCE - Microsoft Edge (CVE-2025-24201). Изначально её заводили как уязвимость в WebKit для ОС от Apple. 🤷‍♂️

Также Microsoft исправляли уязвимости с эксплоитами в Kubernetes (CVE-2025-1974, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-24513)

Из остальных можно отметить:

🔹 RCE - LDAP (CVE-2025-26670, CVE-2025-26663), TCP/IP (CVE-2025-26686), Microsoft Office (CVE-2025-29794, CVE-2025-29793), RDS (CVE-2025-27480, CVE-2025-27482), Hyper-V (CVE-2025-27491)
🔹 SFB - Kerberos (CVE-2025-29809)

🗒 Полный отчёт Vulristics

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)?

Добавить комментарий

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)?

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)? Сегодня будет апрельский MSPT. Самое время посмотреть, а есть ли какие-то обновления по уязвимостям из мартовского MSPT, для которых были признаки эксплуатации вживую.

Публичных эксплоитов для этих уязвимостей пока не появилось. 🤷‍♂️

Первые две уязвимости аналогичны по вектору эксплуатации, различаются только типом уязвимой файловой системы:

🔻 Remote Code Execution - Windows Fast FAT File System Driver (CVE-2025-24985). Целочисленное переполнение или циклический переход (Integer Overflow or Wraparound, CWE-190) в драйвере Fast FAT ОС Windows позволяет неавторизованному злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD).

🔻 Remote Code Execution - Windows NTFS (CVE-2025-24993). Переполнение буфера в куче (Heap-based Buffer Overflow, CWE-122) в файловой системе Windows NTFS позволяет несанкционированному злоумышленнику выполнить код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD).

Ещё одна уязвимость также требует открытия зловредного файла:

🔻 Security Feature Bypass - Microsoft Management Console "EvilTwin" (CVE-2025-26633). Консоль управления Майкрософт (MMC) - компонент ОС Windows, который используется для создания, сохранения и открытия консолей администрирования для управления оборудованием, программным обеспечением и сетевыми компонентами Windows. MMC позволяет сохранять коллекцию настроек в виде файлов MSC. Для эксплуатации уязвимости злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC файл, что, согласно ZDI, приведёт к выполнению кода в контексте текущего пользователя. Для эксплуатации уязвимости злоумышленники могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы. Исследователи Trend Micro связывают случаи эксплуатации уязвимости вживую с деятельностью группировки EncryptHub (также известной как Water Gamayun и Larva-208).

И, наконец, классическая уязвимость повышения привилегий:

🔻 Elevation of Privilege - Windows Win32 Kernel Subsystem (CVE-2025-24983). Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации уязвимости злоумышленнику необходимо выиграть "race condition". Уязвимость была обнаружена исследователями ESET. Они нашли эксплойт для CVE-2025-24983 на системах, скомпрометированных с использованием бэкдора PipeMagic.

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Добавить комментарий

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live. Всё верно, традиционный ежегодный эфир по VM-у на AM Live раздвоился. ✌️

11:00 - Как выстроить процесс управления уязвимостями. Здесь будут представители Positive Technologies. SolidLab VMS, Security Vision, Vulns io VM, Kaspersky, R-Vision, RedCheck. Крепкий состав из основных игроков российского VM-рынка. 🛡 Модерировать будет Иван Шубин. От PT участвует Павел Попов.

15:00 - Лучшие практики Vulnerability Management. Здесь будут представители Инфосистемы Джет, Angara ASM, RebrandyCo, ScanFactory, BIZONE. Огненная смесь из EASM-вендоров, пентестреров и VM-консалтеров. 🔥 И я там тоже буду в качестве независимого эксперта. 😇 Модерировать будет Лев Палей.

Имхо, следует смотреть оба эфира. В первом ожидаю традиционную тонкую борьбу нарративов, отражающую текущие особенности предложений VM-игроков. 😏 Во втором - срыв покровов относительно реалий VM-а в российских организациях. 😉

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Добавить комментарий

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Про уязвимости VMware ESXicape (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). Бюллетень безопасности вендора вышел 4 марта. Все эти уязвимости зарепортили эксперты из Microsoft Threat Intelligence Center. Для всех трёх уязвимостей были признаки эксплуатации вживую и они были добавлены в CISA KEV.

По мнению исследователя Кевина Бомонта, эти уязвимости образуют цепочку уязвимостей, названную "ESXicape". Эксплуатируя её, злоумышленник, имеющий возможность запускать код на виртуальной машине, "может повысить уровень доступа к гипервизору ESX". Потенциально это позволяет скомпрометировать всю виртуализованную инфраструктуру организации.

Уязвимости касаются VMX процесса (Virtual Machine Executable), который выполняется в VMkernel и отвечает за обработку ввода-вывода на устройствах, не критичных к производительности. VMX также отвечает за взаимодействие с пользовательскими интерфейсами, менеджерами снапшотов и удаленной консолью.

🔻Уязвимость состояния гонки TOCTOU (Time-of-Check Time-of-Use) в VMware ESXi и Workstation (CVE-2025-22224), приводящая к записи за пределами допустимого диапазона ("out-of-bounds write"). Злоумышленник с локальными административными привилегиями на виртуальной машине может выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).

🔻Уязвимость произвольной записи в память (Arbitrary Write) в VMware ESXi (CVE-2025-22225). Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведёт к побегу из "песочницы".

🔻Уязвимость разглашения информации (Information Disclosure) в VMware ESXi, Workstation и Fusion (CVE-2025-22226). Причина уязвимости чтение за пределами допустимого диапазона (out-of-bounds read) в HGFS. VMware HGFS (Host-Guest File System) - это функция, которая позволяет использовать общие папки между хостовой и гостевой операционными системами в виртуальной машине VMware. Злоумышленник с административными привилегиями на виртуальной машине может извлекать содержимое памяти процесса VMX.

Обновитесь до следующих безопасных версий:

🔹 VMware ESXi 8.0: ESXi80U3d-24585383, ESXi80U2d-24585300
🔹 VMware ESXi 7.0: ESXi70U3s-24585291
🔹 VMware ESXi 6.7: ESXi670-202503001
🔹 VMware Workstation 17.x: 17.6.3
🔹 VMware Fusion 13.x: 13.6.3

Блогерство

Добавить комментарий

Блогерство

Блогерство. Алексея Лукацкого иногда раздражает, когда его представляют на мероприятиях как блогера. Он пишет, что, блогерство это профессиональная деятельность, подразумевающая определенное качество контента, регулярность публикаций и систематическое извлечение прибыли из этой деятельности (обычно за счёт продажи рекламы). Я с ним согласен. А от себя добавлю, что от блогера ещё ждут поведения шоумена (если не клоуна). Контент блогера должен прежде всего быть развлекательным, а глубина и полезность не столь важны. В общем, аргументов хватает, чтобы не причислять себя к "блогерам". 😉

Хотя меня и не причисляют. 😅 Не, ну серьезно. Вот Артемий Лебедев с ~650к+ подписчиков в одной только телеге - блогер. Среди ИБшников таких охватов ни у кого близко нет и, думаю, не будет. Даже у варезников. 😏

Когда я хочу подсветить свою внерабочую деятельность, я отрекомендовываюсь как "VM-специалист и автор телеграм-канала про Управление Уязвимостями". Коротко, конкретно и ни к чему не обязывает. 😉