Архив рубрики: Темы

Коллизии CVE идентификаторов

2 комментария

Коллизии CVE идентификаторовКоллизии CVE идентификаторов

Коллизии CVE идентификаторов. Вспомнился давнишний кейс с WinRAR. Помимо неоднозначной функциональности в WinRAR иногда находят и уязвимости. В 2021 эксперт Positive Technologies Игорь Сак-Саковский нашел RCE уязвимость в WinRAR. Она НЕ связана с открытием вредоносного архива. Дело в окне-нотификации об окончании триального периода. Если провести MiTM атаку, можно выполнять код на хосте с уязвимой версией WinRAR: "запуск приложений, получение информации о хосте и запуск калькулятора". Эксплуатация не самая простая, но уязвимость была, вендор её признал и исправил в 6.02, а PT получил для неё CVE-2021-35052.

Теперь смотрим эту CVE в NVD. EoP в Kaspersky PM?! 🙄 Номер CVE отдали ZDI! Хотя бюллетень ZDI от 29 ноября 2021, а у PT пресс-релиз вышел 26 октября 2021. То, что я имел ввиду под "мусор про Twitter заводят, а нормальных исследователей прокатывают".

PS: В БДУ это BDU:2021-05327 без CVE. По CVE-2021-35052 в БДУ ничего не ищется.

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

1 комментарий

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения
Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения

Самораспаковывающиеся WinRAR архивы (SFX) могут штатно запускать команды до или после извлечения. В том числе и зловредные PowerShell скрипты например. Статья вышла 2 недели назад, но только сейчас дошли руки ознакомиться с оригиналом. CrowdStrike блочит российские IP, можно через Internet Archive. По описанию всё очень просто и изящно. И это никакая не уязвимость, а штатная функциональность, о которой все забыли, пока она не начала использоваться в атаках (упоминают ботнет Emotet). 🙂

Причем запускаться таким образом может зловред распакованный из самого SFХ архива, и тогда +- понятно как это детектить. А может быть так, что в архиве ничего опасного нет, а вся заловредная функциональность заключается именно в команде после извлечения. И такое детектят не все.

Взять бы эти WinRAR SFX архивы и запретить напрочь. Но проблема в том, что они могут использоваться в установщиках вполне легитимного софта. Так что без анализа скорее всего не обойдется.

Заключительный пост про CISO-FORUM 2023

1 комментарий

Заключительный пост про CISO-FORUM 2023Заключительный пост про CISO-FORUM 2023

Заключительный пост про CISO-FORUM 2023. Как по мне, мероприятие прошло просто отлично! 🔥

1. Было много приятного и разнообразного общения. Практически всё оно было на тему Vulnerability Management-а. 😊

2. Почти все из намеченных докладов удалось посмотреть и вынести для себя что-то полезное. С трансляцией в канале кажется вышло удачно, собираюсь такое практиковать. 🙂

3. Моя презентация "Карты отечественных околоVMных вендоров" тоже вполне удалась. Видео пока нет, но есть слайды. Было много дельных вопросов из зала. Подробно обсудили почему среди САУ (анализа) сейчас одни SGRC. Был провокационный вопрос можно ли считать отечественным решение, которое не работает на российском Linux (и насколько сами эти Linux-ы отечественные). 😄 Резонный вопрос: а где средства детектирования уязвимостей контейнеров? Буду думать как их лучше добавить. 🧐

Спасибо всем за общение и контент! Спасибо большое организаторам! До встречи в следующем году!

Upd. видеозапись выступления

Антипленарка CISO-FORUM 2023

Добавить комментарий

Антипленарка CISO-FORUM 2023

Антипленарка CISO-FORUM 2023. Тёрли про бюджеты, штучки за полмиллиарда 🙂, ответственность, как общаться с бизнесом. Подробно обсуждали багбаунти, включая внутреннее.

Понравились реплики:

"SAST и DAST это не наши инструменты, а инструменты разработки"

"Если нет готовности исправлять уязвимости, то и искать их смысла нет"

"Нужно создавать предпосылки для разработки СПО на территории России"

Не понравилась реплика про "дурачка внутреннего пентестера", который хотел сканить инфраструктуру, а от него требовали собирать информацию как-то так, чтобы SOC не ловил. Security through obscurity какое-то. Имхо, у внутреннего пентестера должна быть вся информация об инфраструктуре, его задача продемонстрировать практическую эксплуатабельность уязвимостей, а не от SOCа прятаться.

Про заявленные тонкие моменты, связанные с эмиграцией специалистов вроде вообще не говорили.

Инструменты безопасности SDLC могут УВЕЛИЧИТЬ поверхность атаки

Добавить комментарий

Инструменты безопасности SDLC могут УВЕЛИЧИТЬ поверхность атаки. Чего? А вот да! Мой коллега и товарищ Денис Макрушин, с которым мы вместе в PT работали, выложил сегодня доклад с мероприятия OWASP под говорящим названием "Dev Sec Oops". В нем он разбирает примеры как мисконфигурации статических анализаторов (SAST) и средств динамического анализа ПО (DAST) могут привести к утечке интеллектуальной собственности и компрометации процессов SDL.

SAST-ы (СДУК) и DAST-ы (СДУП) это всё части большого Vulnerability Management-а, поэтому это наша тема, надо слушать. 😉

И так как Денис ресерчер, то он ещё периодически находит интересные уязвимости в необычных технологиях и продуктах, вот например:

Уязвимости умных городов - материалы исследования были опубликованы на DEFCON
Уязвимости в системах подключенной медицины и медицинского оборудования

Обязательно переходите и подписывайтесь на канал Дениса Макрушина!

PS: Тут кто-то может сказать, а чего это вы вдруг друг про друга пишете, уж не интеграция ли это для обмена подписчиками? 🤔 Конечно! 😇 Но, во-первых, это первая за всё время, а во-вторых вы только посмотрите кого я вам рекомендую! ТОПовый контент!

PPS: Пользуясь случаем, поздравляю всех с Днем Космонавтики! Ура! 🚀🎉

Первые впечатления от апрельского Microsoft Patch Tuesday

2 комментария

Первые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tuesday. По сравнению с мартовским как-то слабенько. 🙄

1. Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252). Пока это самое критичное, т.к. есть признаки эксплуатации вживую. И, соответственно, есть Functional Exploit, но не в паблике пока.
2. Remote Code Execution - Microsoft Message Queuing. Опасно, если включен сервис Message Queuing. По умолчанию выключен.
3. Много CVEшек Remote Code Execution - Microsoft PostScript and PCL6 Class Printer Driver и Remote Code Execution - Windows DNS Server, может из этого что-то и раскрутят.
4. Remote Code Execution - DHCP Server Service (CVE-2023-28231). Тоже непонятно, но “Exploitation More Likely”.

Полный отчет Vulristics. Есть небольшие проблемы с детектом софтов и типов уязвимостей, но не критичные, поправлю. В рамках этого Patch Tuesday планирую добавить поддержку EPSS и оценить разницу в приоритизации. 😉

CVE для рекомендательного алгоритма Twitter-а

Добавить комментарий

CVE для рекомендательного алгоритма Twitter-а

CVE для рекомендательного алгоритма Twitter-а. 🤡 Для какого только мусора CVEшки не заводят. Представляете, в Твиттере можно было массово заминусить автора и у него от этого репутационный скор уменьшался. Да не может быть! 😱 На NVD ещё в "UNDERGOING ANALYSIS". Даже интересно, что они в CVSS напишут и в CPE. Не удивлюсь, если как для обычного DoS. 😅 Похлеще музыкального клипа ломающего жёсткие диски.

А нормальных исследователей с реальными критичными уязвимостями мурыжат и прокатывают. И так у них всё.