Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились в компьютере. Уязвимость этого драйвера, исправленная в рамках июньского Microsoft Patch Tuesday 2024 года, позволяет атакующему получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow (CWE-122).

🔻 Приватный эксплойт был представлен на конкурсе TyphoonPWN 2024 30 мая 2024 года. Его использовали в составе цепочки эксплоитов для осуществления побега из виртуальной машины под управлением VMware workstation (Guest-to-Host-Escape).

🔻 19 декабря 2024 года техническое описание и код эксплоита были опубликованы на сайте SSD Secure Disclosure.

🔻 3 марта в блоге Positive Technologies вышел пост, в котором рассматриваются корни уязвимости и техники эксплуатации.

Пощупал новый мессенджер MAX от VK

Добавить комментарий

Пощупал новый мессенджер MAX от VK
Пощупал новый мессенджер MAX от VKПощупал новый мессенджер MAX от VK

Пощупал новый мессенджер MAX от VK. Разработкой занимается новое юрлицо "Коммуникационная платформа". Мессенджер позиционируется как будущий супер-апп, аналог китайского WeChat. Мне он в первую очередь интересен в качестве площадки для ведения канала, если Telegram заблокируют.

По первой (бета?) версии расклад такой:

🔹 Есть мобильные приложения, приложения под win и macOS, веб-версия. Обещают клиент под Linux. Регистрация по номеру телефона. Ников и ссылок на профиль нет.

🔹 Каналов пока нет, но уже есть групповые чаты.

🔹 Возможности форматирования текста богаче, чем в Telegram. Дополнительно есть заголовок, выделение красным, подчёркивание. Лимиты на сообщения с картинкой большие - 4000 символов. 👍 Изображение непривычно ниже текста. 👎

🔹 Экспортировать историю сообщений из чата нельзя.

🔹 Есть боты. По умолчанию добавляется бот GigaChat от Сбера.

В целом, пока для моих задач не юзабельно, но перспективы есть. Буду отслеживать развитие.

Наступательный потенциал

Добавить комментарий

Наступательный потенциал

Наступательный потенциал. К обсуждению вопроса о сокращении обучения ОС Windows за государственный счёт подключился Алексей Лукацкий с аргументом "А как потом проводить ̶н̶а̶с̶т̶у̶п̶а̶т̶е̶л̶ь̶н̶ы̶е̶ разведывательные операции в киберпространстве, если не останется тех, кто знает, как выглядит Windows? 🪟 А дыры искать в зарубежных продуктах как, если прописывают требования по их запрету?"

Продолжая аналогию с "огненной водой", аргумент можно перефразировать "в стране не будет учёных-наркологов, если не заставлять студентов употреблять горячительное". 🤪

Одно дело, когда группа узких специалистов изучает "силы и средства" потенциального противника для проведения работ в интересах государства. 👍🫡 И совсем другое, когда идёт массовое обучение студентов навыкам администрирования и разработки с использованием проприетарных средств, предоставленных потенциальным противником. 🙄 С внедрением этих средств в инфраструктуры организаций, включая КИИ. Это уже форменное безумие. 🤷‍♂️

Впечатления от Территории Безопасности 2025

Добавить комментарий

Впечатления от Территории Безопасности 2025

Впечатления от Территории Безопасности 2025. Я в этот раз забыл пофоткать. Иллюстрирую тем, что есть. 🙂

🔻 Общение - огонь!🔥 Очень продуктивно обсудил VM-ные темы на стендах Vulns io, Securitm, RedCheck, HScan. 😇 Пересёкся с бывшими коллегами из T-банка и VK. И просто с друзьями из ИБ-шной тусовочки, с которыми давно не виделся. Имхо, секрет качественного общения в том, что мероприятие однодневное (проще пересечься) и в разнообразной выставочной зоне.

🔻 VM-ная часть трека Анализ Защищённости прошла удачно. В своём выступлении я накидал, как можно оценивать и сравнивать качество детектирования уязвимостей (в продолжение статьи в Information Security). Пора, видимо, это в методику собирать? 🤔 Ставьте 🐳, если пора. На круглом столе представителей VM-вендоров, сервис-провайдеров и клиентов прошлись по прозрачности качества детектирования, AI, трендовым уязвимостям и сложностям VM-процесса. 😇

В общем, всё ТОП. Спасибо большое организаторам и до встречи через год!

В журнале "Information Security" вышел спецпроект по Управлению Уязвимостями с моим участием

Добавить комментарий

В журнале Information Security вышел спецпроект по Управлению Уязвимостями с моим участием

В журнале "Information Security" вышел спецпроект по Управлению Уязвимостями с моим участием. 🎉

🔻Цена ошибки: почему важно качественно детектировать уязвимости. Моя выстраданная статья. 🙂 Очень рад, что получилось её выпустить именно в такой манере и с такими мессаджами. 😇

🔻 Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре. Статья от Андрей Никонова из Vulns io.

🔻Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль
устранения уязвимостей. Статья от Андрея Селиванова из R-Vision.

🔻 Сканер-ВС 7 Enterprise: анализ безопасности конфигурации никогда не был таким простым. Статья от Александра Дорофеева из Эшелона.

📔 Сравнение VM-решений: Security Vision VM, Сканер-ВС 7, R-Vision VM, MaxPatrol VM, ScanFactory VM, Vulns io VM

🗣 Круглый стол про VM: VOC, ML, борьба с бэклогом ⬅️ тут участвовал 😉

📔 Сравнение ASM-решений: BIZONE CPT, F6 ASM, Start EASM, ScanFactory VM, Сканер-ВС 7

Про уязвимость Remote Code Execution - Apache Tomcat (CVE-2025-24813)

Добавить комментарий

Про уязвимость Remote Code Execution - Apache Tomcat (CVE-2025-24813)

Про уязвимость Remote Code Execution - Apache Tomcat (CVE-2025-24813). Apache Tomcat - открытое ПО, предоставляющее платформу для запуска веб-приложений, написанных на языке Java. Уязвимость позволяет удалённому неаутентифицированному злоумышленнику послать на сервер произвольный файл для его последующего выполнения. Причина уязвимости - ошибки в обработке загружаемых файлов сессий и механизме десериализации.

🔻 Бюллетень вендора вышел 10 марта. В нём отмечается, что два условия, необходимые для эксплуатации ("writes enabled for the default servlet" и "file based session persistence with the default storage location") не выполняются в инсталляциях по умолчанию.

🔻 Разбор уязвимости на основе анализа патча и PoC эксплоита были опубликованы 11 марта. Полноценные эксплоиты доступны на GitHub с 13 марта.

🔻 С 17 марта есть признаки эксплуатации уязвимости вживую. 👾 1 апреля уязвимость добавили в CISA KEV.

Уязвимость исправлена в версиях 9.0.99, 10.1.35 и 11.0.3.

С 19 по 20 апреля T-Банк проведёт CTF соревнования

Добавить комментарий

С 19 по 20 апреля T-Банк проведёт CTF соревнования

С 19 по 20 апреля T-Банк проведёт CTF соревнования. В соревнованиях могут принять участия команды до трёх человек. Призы до 420 000 ₽ на команду.

Соревнования будут проходить в двух лигах:

🔸 Лига разработки. Для тех, кто раньше не участвовал в CTF (для разработчиков, SRE- и QA-инженеров, аналитиков и других ИТ-специалистов).

🔸 Лига безопасности. Для тех, кто уже участвовал в CTF или работает в сфере ИБ.

Старт соревнований 19 апреля 9:00 мск, окончание 20 апреля 21:00 мск (всего 36 часов). Участвовать можно онлайн, либо на площадках в Москве, Санкт-Петербурге, Казани, Иннополисе, Екатеринбурге и Новосибирске.

➡️ Регистрация на сайте. Также там есть демозадания (для одного задания есть разбор) и подборка материалов для подготовки.

PS: Будет ли Т-Банк хантить тех, кто хорошо себя покажет на соревнованиях? Думаю, более чем вероятно. 😉 А в ИБ департаменте T-Банка классно, более 6 лет там работал - рекомендую. 🧡