Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Сентябрьский Linux Patch Wednesday

Добавить комментарий

Сентябрьский Linux Patch Wednesday

Сентябрьский Linux Patch Wednesday. 460 уязвимостей. Из них 279 в Linux Kernel.

2 уязвимости c признаками эксплуатации вживую, но без публичных эксплоитов:

🔻 Security Feature Bypass - Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)

29 уязвимостей без признака эксплуатации вживую, но со ссылкой на публичный эксплоит или признаком его наличия. Можно выделить:

🔸 Remote Code Execution - pgAdmin (CVE-2024-2044), SPIP (CVE-2024-7954), InVesalius (CVE-2024-42845)
🔸 Command Injection - SPIP (CVE-2024-8517)

Среди них уязвимости 2023 года, пофикшенные в репах только сейчас (в RedOS):

🔸 Remote Code Execution - webmin (CVE-2023-38303)
🔸 Code Injection - webmin (CVE-2023-38306, CVE-2023-38308)
🔸 Information Disclosure - KeePass (CVE-2023-24055)

Проблему с явно виндовыми уязвимостями RedOS больше НЕ наблюдаю. 👍 Upd. Зато Debian принёс уязвимости "Google Chrome on Windows". 😣

🗒 Отчёт Vulristics по сентябрьскому Linux Patch Wednesday

На портале @CISOCLUB вышло большое интервью со мной "Все об уязвимостях и как ими управлять"

Добавить комментарий

На портале @CISOCLUB вышло большое интервью со мной Все об уязвимостях и как ими управлять

На портале @CISOCLUB вышло большое интервью со мной "Все об уязвимостях и как ими управлять". Знаковое событие для меня. 🥳 Фактически там всё, что я сейчас считаю важным в Vulnerability Management-е.

Подробно отвечаю на вопросы:

🔹 Что такое процесс управления уязвимостями и из каких этапов он состоит?
🔹 В чём состоят сложности при выявлении уязвимостей в современных IT-инфраструктурах?
🔹 Как понять, какие активы в организации требуется покрывать VM-ом?
🔹 В чём состоят сложности детектирования уязвимостей и как оценивать полноту/достаточность способов детектирования уязвимостей для организации?
🔹 Как оценивать и приоритизировать уязвимости и все ли их нужно устранять?
🔹 Кто и как должен определять SLA по устранению уязвимостей?
🔹 Как оценивать эффективность процесса управления уязвимостями?
🔹 Какие источники наиболее эффективны для отслеживания уязвимостей в России?

Коллеги из ГОС ИТ Богатырёва составили папку с 22 Telegram-каналами по ИБ

Добавить комментарий

Коллеги из ГОС ИТ Богатырёва составили папку с 22 Telegram-каналами по ИБ

Коллеги из ГОС ИТ Богатырёва составили папку с 22 Telegram-каналами по ИБ. Очень приятно, что и "Управление уязвимостями и прочее" там тоже есть. 😇 Вообще, подборка весьма удачная. Хороший микс экспертных каналов и каналов ИБ-компаний. На большую часть я подписан и регулярно почитываю.

Добавляйте папку себе и скидывайте коллегами! 😉

Про кейс с хлопками пейджеров на Ближнем Востоке

Добавить комментарий

Про кейс с хлопками пейджеров на Ближнем Востоке

Про кейс с хлопками пейджеров на Ближнем Востоке.

🔹 Если это была штатная функция удалённого уничтожения потерянных устройств (пока выгладит наиболее вероятным), то занимательно, что никто не подумал о варианте с активацией этой функции третьей стороной. Носить такую штуку на поясе довольно безрассудно. Кажется, что функцию удалённого уничтожения можно было бы реализовать и менее травмоопасным образом.

🔹 Если такой штатной функции не было, а это была специальная партия устройств "с сюрпризом" или (что ещё хуже) следствие вызванного перегрева обычной литиевой батарейки, то +1 паранойя и повод для пересмотра правил досмотра и провоза электронных устройств.

В общем, пока ничего не понятно, но очень интересно. В любом случае это будет исторический кейс, который все мы будем частенько припоминать.

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461)

Добавить комментарий

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461)

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday. На момент публикации, Microsoft не отмечали эту уязвимость как эксплуатирующуюся вживую. Сделали они это только через 3 дня, 13 сентября.

Уязвимость обнаружил исследователь ZDI Threat Hunting team Питер Гирнус в ходе расследования атак APT группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.

Суть уязвимости в том, что злодеи скрывали расширение открываемого зловредного HTA файла, добавляя в его имя 26 пробельных символа из шрифта Брайля. Таким образом жертва могла подумать, что открывает безобидный PDF документ.

После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение. 👍

Русалочка и неудачная закупка VM-решения

Добавить комментарий

Русалочка и неудачная закупка VM-решения

Русалочка и неудачная закупка VM-решения. Ходили вчера в театр на Русалочку. По интерпретации, мягко говоря, не Дисней. 🫣 Действо максимально приближено к оригинальному тексту Андерсена. Ну, не без режиссёрских находок, конечно. Ведьма почему-то везде ходит с раком-отшельником (в прошлом тоже принцем 🤨) и делится с ним подробностями своих злодейских гешефтов. А он на это только офигивает и жалобно мычит. Жутковатая фигня. В остальном же всё близко к тексту. Финал трагический. 🤷‍♂️

Так вот, смотрел я эту постановку и думал, что Русалочка там похожа на VM-щика, который крайне неудачно закупил решение у VM-вендора (ведьмы). Спешил, повёлся на маркетинг. В итоге приобрёл пепяку, которой нестерпимо больно пользоваться. А функциональности её недостаточно для решения бизнес-задач. Ещё и вынужден помалкивать - бюджет-то слил и получается сам дурак, что недостаточно тестил решение перед закупкой. Приходится теперь превозмогать и плясать на том, что есть. 🕺

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей

Добавить комментарий

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей. Сразу вспомнилась мемная картиночка. 🙂 Идея-то, в целом, неплохая. Но нужно понимать, что попытка внедрения таких практик встретит всевозможное сопротивление со стороны IT. От рядовых инженера и до CIO. Они не поленятся найти те таски на устранение уязвимостей, где есть какие-то косяки: неочевидная эксплуатабельность, подозрение на false positive и т.п. И они используют эти кейсы, чтобы представить дело так: это вы недостаточно хорошо выполняете свою работу и наваливаете им бесполезные задачи! 🤷‍♂️😏

Приведите таски в порядок, подготовьте контраргументы и убедитесь, что у вас хватит административного ресурса на продавливание таких непопулярных решений. Без должной подготовки лучше в лобовые атаки не ходить. Вы же не Бессмертный (и не Неувольняемый 😉).