Архивы автора: Александр Леонов

Об авторе Александр Леонов

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте. And I invite all English-speaking people to another Telegram channel @avleonovcom.

Разбор VM-ной вакансии: Менеджер по развитию бизнеса (Vulnerability Management) в Kaspersky

Добавить комментарий

Разбор VM-ной вакансии: Менеджер по развитию бизнеса (Vulnerability Management) в Kaspersky. Возвращаюсь к разбору профильных вакансий. 🙂

На фоне весьма ожидаемого релиза VM-решения, Kaspersky открыли вакансию сотрудника, который бы им высокоуровнево занимался: формировал стратегию развития и бизнес-план, анализировал рынок, контролировал операционные показатели (лидогенерация, пайплайн, выполнение плана продаж, маржинальность и т.д.). 💼 То есть это прямо бизнесовые задачи развития продаж и увеличения объема текущего бизнеса. При этом ожидается, что этот человек также будет вести медийную работу - выступать в роли автора статей и спикера. 🎤 У соискателя должен быть опыт работы с VM-ным направлением и опыт в развитии продаж. 💰

Очень любопытно, кого на эту позицию в итоге возьмут. Наверняка будем с этим человеком частенько пересекаться на VM-ных сходочках. 😅 По поводу вакансии можно писать в ТГ @diana_shreyner. 😉

🔍 Протестировал Vulners Lookup - дополненную CVE-реальность

Добавить комментарий

🔍 Протестировал Vulners Lookup - дополненную CVE-реальность.

Вчера разработчики из компании VulnCheck показали прототип плагина для Chrome/Chromium, который подсвечивает CVE-идентификаторы на сайте и при наведении на них показывает окошко с информацией по уязвимости. Наиболее важная информация - входит ли уязвимость в VulnCheck KEV (расширенный аналог CISA KEV). ⚡️

Ребята из Vulners увидели эту новость, идея им понравилась и они буквально за день реализовали свой аналог. 👨‍💻 Также подсвечиваются CVE-шки и при наведении отображаются актуальные параметры: описание, наличие признаков эксплуатации вживую и публичных эксплоитов. По клику можно перейти на сайт Vulners, чтобы изучить эти эксплоиты и признаки эксплуатации. 😉🚀

Wow-эффект присутствует! 🤯🙂👍 Новости, бюллетени регуляторов, ТОП-ы уязвимостей, блоги начинают играть новыми красками. 🎨 Очень прикольно! 😎 И бесплатно! 🆓

Vulners Lookup доступен в магазине плагинов Google. 😉

ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300)

Добавить комментарий

ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300). Отдельно радует, что ТАСС указали компанию, должность, имя-фамилию (а не "киберэксперт Леонов" 😅). Суть уязвимости тоже верно передали. 👍

По уязвимости появились подробности, что она вызвана ошибкой "в реализации кода для JPEG Lossless Decompression внутри модуля RawCamera.bundle, который обрабатывает файлы DNG (Digital Negative) от Adobe".

Почему опасно:

🔓 Эксплуатируется без клика и нотификаций: файлы DNG могут автоматически обрабатываться iOS при получении через iMessage или другие мессенджеры. 📱 Ваш телефон не спросит разрешения - он просто отрендерит превью и выполнит код. 😈

🌍 Широкий вектор атаки: DNG - это открытый формат raw изображения, активно используемый фотографами 📸.

🎯 Доп. возможности после эксплуатации: Apple BlastDoor разрешает права для RawCamera.bundle.

👾⚒️ Эксплуатируется вживую и есть PoC эксплоита на GitHub

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей

Добавить комментарий

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей. Продолжу предыдущий пост примером конкретного решения. 😉

➡️ На вход Carbon берёт данные по уязвимостям (в расширенном смысле, "экспозиции": CVE/BDU, мисконфиги, подобранные учётки и т.п.) и сетевой связности из MaxPatrol VM. ❗️Отсюда важность полноты VM-сканирования❗️ Пользователь также задаёт точки проникновения, и целевые системы.

⬅️ На выходе Carbon даёт набор потенциальных путей атаки (тысячи их!), завязанных на эксплуатацию обнаруженных уязвимостей ("экспозиций"). Причём это не условные маршруты на основе сетевой достижимости. Нет! Там полноценные сценарии с эксплуатацией RCE-уязвимостей, захватом учёток, повышением привилегий, учётом возможности подключения по легитимному протоколу и прочим. 👨‍🔬

⚖️ Пути атаки оцениваются с учётом сложности эксплуатации, длительности и количества шагов…

И только здесь начинается полноценная приоритизация уязвимостей… 😉

Протестировал GigaIDE от Сбера для разработки на Python

Добавить комментарий

Протестировал GigaIDE от Сбера для разработки на Python. Эта IDE построена на основе IDEA и PyCharm Community и содержит встроенный AI-ассистент GigaCode для вайб-кодинга. 🙂

🖥 Установка и запуск как в PyCharm. Интерфейс, видимо, как в IntelliJ IDEA (я не джавист, не пользовался). 🤷‍♂️ Не прямо 1 в 1, как в PyCharm, но очень похоже. Я быстро освоился. 👍

🤖 Чтобы заработал GigaCode, нужно нажать внизу экрана на Account и залогиниться на сайте. Я зашёл по Сбер ID, который использую для доступа к GigaChat, Zvuk и Okko. После этого токен автоматически прописывается в IDE и всё начинает работать: код в чатике по запросу генерится, умные дополнения предлагаются. ✨ И физикам это (пока?) бесплатно. 😇

Для тестов игрался со сравнением листов MAPP компаний по данным из Internet Archive. Чтобы понимать, когда какие компании добавляли и исключали. 😉

В общем, вполне доволен, буду пользоваться. Надеюсь, что продукт будет развиваться. 🙏 Хотя отсутствие сборок в 2025 году тревожит. 🙄

Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program)

Добавить комментарий

Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program). 👎 В рамках программы вендоры получают ранний доступ к информации об уязвимостях, которые будут исправлены в Microsoft Patch Tuesday. Иногда MS предоставляют даже PoC-и эксплоитов. 🛠

Эта информация нужна ИБ-вендорам для оперативной разработки правил детектирования и блокирования эксплуатации уязвимостей.

❓ Есть мнение, что Microsoft так наказывает китайские компании за слив информации об уязвимости SharePoint ToolShell. Но подтверждений этому нет. 🤷‍♂️

Помнится, MS зачищали MAPP от российских компаний примерно так же бездоказательно. 🌝

➡️ Если Microsoft считает российских и китайских ИБ-вендоров неблагонадежными, зачем исследователи, работающие в этих вендорах, продолжают репортить уязвимости в Microsoft? 🤔 Как по мне, эту "игру в одни ворота" 🥅 давно пора пересмотреть в сторону централизованного репортинга уязвимостей. 😉

Детектировать нужно все уязвимости!

Добавить комментарий

Детектировать нужно все уязвимости! Частенько натыкаюсь на мнение, что основательный подход к построению VM процесса, например по БОСПУУ, приведёт к тому, что продетектированных в организации уязвимостей будет слишком много, "IT с такими объёмами не справится". А раз так, то не стоит и начинать. 🫠

Мой ответ на это:

🔻 Прежде всего следует поставить вопрос, почему устранять уязвимости (~обновлять системы) является настолько мучительной задачей для IT. Скорее всего, это свидетельство архитектурных проблем, препятствующих внедрению базовых процессов кибергигиены. Невозможность устранять уязвимости - только следствие. 🌝

🔻 Выявлять нужно все уязвимости, но устранять их следует приоритизированно. В первую очередь следует устранять уязвимости, эксплуатация которых наиболее проста и выгодна злоумышленникам. А как это понять? Для этого, по-хорошему, необходимо формировать потенциальные пути атак (attack paths), производить их оценку и приоритизацию. И для этого есть решения. 😉