Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Облачные сервисы с агентами ждёт переосмысление?

4 комментария

Облачные сервисы с агентами ждёт переосмысление?

Кажется после произошедшего народ начнёт понемногу осознавать очевидное: у вендоров облачных решений а-ля CrowdStrike Falcon есть непосредственный контроль над инфрой клиентов. 😏

Шутка ли! Какой-то мутный бинарь на хостах работает с максимальными привилегиями, куда-то в облако данные льёт и из облака задачи принимает. 😈

Схема и так выглядела не очень. А теперь ширнармассы получили подтверждение, что такие решения могут одномоментно и самым негативным образом повлиять на инфру. Из-за ошибки вендора или из-за того, что его подломили.

И нет особой разницы между CrowdStrike и Qualys, Tenable VM, Microsoft Defender for Endpoint (и Microsoft вообще), и прочими. Всем им пора придумывать ответ на вопрос почему с их облачными решениями с агентами такое никогда не произойдёт. Что-то убедительнее чем "ну, мы-то лучше тестируем".

А вендоры с on-prem решениями и возможностью контролировать процесс обновления свои позиции сегодня усилили. 😉

По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor

3 комментария

По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor.

🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.

🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.

🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.

Что сказать? Фейл эпичнейший.

🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.

🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.

Немного про возможности разблокировки смартфонов на примере кейса с пенсильванским стрелком

Добавить комментарий

Немного про возможности разблокировки смартфонов на примере кейса с пенсильванским стрелком.

🔹 Bloomberg сообщает, что у него была новая модель Samsung, работающая под Android.

🔹 Для разблокировки использовалось ПО компании Cellebrite. Это израильская компания разрабатывает инструменты для сбора, проверки, анализа и управления цифровыми данными. Компания довольно известная. Несколько лет назад наделала много шума их пикировка с разработчиками мессенджера Signal (обе компании обвиняли друг друга в небезопасности продуктов). 🍿😏

🔹 Эксплуатировалась ли 0day уязвимость для получения доступа к устройству? Непонятно. Но есть признаки, что, возможно, и да. Bloomberg пишет, что ПО Cellebrite для разблокировки смартфонов, которое было в распоряжении ФБР, с задачей не справилось. Но эксперты Cellebrite оказали расширенную поддержку и предоставили некоторое новое ПО, которое всё ещё находится в разработке. 🤔

В итоге разблокировка заняла всего 40 минут. 🤷‍♂️

Верный признак хорошего вендора средств детектирования уязвимости - это то, что его сотрудники делится экспертизой по детектированию уязвимостей на конференциях, в статьях, видео-роликах и т.д

Добавить комментарий

Верный признак хорошего вендора средств детектирования уязвимости - это то, что его сотрудники делится экспертизой по детектированию уязвимостей на конференциях, в статьях, видео-роликах и т.д.

Когда люди всерьёз занимаются какой-то темой, они неизбежно сталкиваются с проблемами (иногда весьма курьёзными), приходят к каким-то решениям и у них возникает желание поделиться опытом.

А когда этого нет, возникают вопросы:

🔹 Может детектирование уязвимостей это примитивная сфера деятельности и обсуждать там нечего? Но мы-то знаем, что сложностей там хватает. 😉

🔹 Или, возможно, для вендора качество и полнота детектирования уязвимостей не являются приоритетом? 😏 Разработчики правил детектирования что-то пилят на расслабоне. Клиентам вроде норм. В этом случае акцентировать лишнее внимание на детектах невыгодно, так ведь? 🙈🙊

В общем, техническим статьям про детект уязвимостей всегда рад, стараюсь читать и подсвечивать. 😉 Если вдруг что-то пропустил, пишите в личку - исправлюсь.

Июльский Linux Patch Wednesday

1 комментарий

Июльский Linux Patch Wednesday. Всего 705 уязвимостей, из них 498 в Linux Kernel. С признаком эксплуатации вживую уязвимостей пока нет, у 11 есть признак наличия публичного эксплоита:

🔻 В абсолютном топе RCE - OpenSSH "regreSSHion" (CVE-2024-6387) со множеством вариантов эксплоитов на GitHub. Среди них могут быть и зловредные фейки (❗️). Здесь же упомяну похожую уязвимость RCE - OpenSSH (CVE-2024-6409), для которой эксплоитов пока нет.
🔻 В паблике есть ссылки на PoC-и для DoS уязвимостей Suricata (CVE-2024-38536) и QEMU (CVE-2024-3567).

Согласно БДУ, существуют публичные эксплоиты для:

🔸 AuthBypass - RADIUS Protocol (CVE-2024-3596), её фиксили и в июльском MSPT
🔸 Security Feature Bypass - Exim (CVE-2024-39929) - обход блокировок по mime_filename, а также в Nextcloud (CVE-2024-22403) - вечные OAuth коды
🔸 DoS - OpenTelemetry (CVE-2023-45142)
🔸 Memory Corruption - 7-Zip (CVE-2023-52168)

🗒 Отчёт Vulristics по июльскому Linux Patch Wednesday

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

2 комментария

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

🔻 По данным Check Point, злоумышленники используют в атаках специальные ".url" файлы, иконка которых похожа на иконку pdf документа. Если пользователь кликает на файл и игнорирует 2 малоинформативных warning-а, то в устаревшем браузере Internet Explorer, встроенном в Windows, запускается зловредное HTA приложение. 😱 Почему именно в IE? Вcё из-за обработки префикса "mhtml:" в ".url" файле. Июльское обновление это блочит. 👍

🔻 Check Point находили образцы таких ".url" файлов аж от января 2023 года. По данным Trend Micro, уязвимость эксплуатируется APT группой Void Banshee для установки зловреда Atlantida Stealer и сбора паролей, cookies и других чувствительных данных. Void Banshee добавляют вредоносные ".url" файлы в архивы с PDF-книгами и распространяют их через сайты, мессенджеры и фишинговые рассылки.

3 июля Telegram-каналу "Управление Уязвимостями и прочее" исполнилось 2 года

Добавить комментарий

3 июля Telegram-каналу "Управление Уязвимостями и прочее" исполнилось 2 года. Год назад у канала было ~1740 подписчиков, а буквально вчера мы перевалили за 6000. 🥳 Темпы роста просто за гранью. Спасибо вам всем огромное за то, что читаете, лайкаете и шарите посты! Мне это всегда очень приятно! 😊

Планирую продолжать в том же духе. Буду писать про трендовые уязвимости и важные новости VM-а, делать мини-обзоры Microsoft Patch Tuesday и Linux Patch Wednesday (upd. добавил июльский), рассказывать про Vulristics и другие мои open source проекты, делиться мыслями про Vulnerability Management практики. Ну и изредка буду вкидывать всякий оффтоп. 😉