Архив рубрики: Темы

Американская микроблоггинговая площадка с птичкой перестаёт быть местом для сбора релевантной инфы по CVE-шкам

Добавить комментарий

Американская микроблоггинговая площадка с птичкой перестаёт быть местом для сбора релевантной инфы по CVE-шкам

Американская микроблоггинговая площадка с птичкой перестаёт быть местом для сбора релевантной инфы по CVE-шкам.

1. В конце июня - начале июля количество сообщений с CVE сократилось с 1272 в рабочий день до 333 в рабочий день. А если не считать ботов, то, в среднем, с 500 в день до 66 в день. Видимо ИБ-шники куда-то мигрировали. Хотя возможно и просто сезонное.
2. Возможность бесплатного экспорта сообщений (в т.ч. с CVE-шками) убрали. 🤷‍♂️

Имхо, это очень даже позитивно. Нечего пользоваться замусоренными мейнстримными соцсеточками для обсуждения ИБ-вопросов, нужно формировать что-то специализированное, а-ля Peerlyst.

Перегенерил отчёт для июльского Microsoft Patch Tuesday

Добавить комментарий

Перегенерил отчёт для июльского Microsoft Patch Tuesday. Теперь там комментарии от:

🔹Qualys
🔹Tenable
🔹Rapid7
🔹ZDI
🔹Kaspersky
🔹Dark Reading
🔹Krebs on Security
🔹The Hacker News
🔹Sophos Naked Security

Пока всё те же уязвимости в топе. И для Remote Code Execution - Microsoft Office (CVE-2023-36884) всё также нет патчей, только workaround.

Дополнительно можно отметить следующие RCE, подсвеченные в обзорах:

🔸Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309)
🔸Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-, CVE-2023-35367)
🔸Windows Layer-2 Bridge Network Driver (CVE-2023-35315)
🔸Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160)
🔸Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)

Microsoft Patch Tuesday это не только CVE-шки

Добавить комментарий

Microsoft Patch Tuesday это не только CVE-шки

Microsoft Patch Tuesday это не только CVE-шки. Но и периодически ADV, как в последнем Patch Tuesday:

🔻ADV230001- Guidance on Microsoft Signed Drivers Being Used Maliciously
🔻ADV230002 - Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules

Иногда в описании ADV-шки упоминается соответствующая CVE, иногда нет. Не знаю уж зачем так делать и почему нельзя просто использовать имеющиеся CVE-шки или выделять свои (раз уж это пихают в раздел "update-guide/vulnerability/", а Microsoft это CVE Numbering Authority). Но вот факт - MS используют идентификаторы по которым ничего не смапится. 😑 Пока ничего по ним не делаю, просто игнорирую и теперь показываю при генерации отчета Vulristics.

Первые впечатления от июльского Microsoft Patch Tuesday

2 комментария

Первые впечатления от июльского Microsoft Patch TuesdayПервые впечатления от июльского Microsoft Patch Tuesday

Первые впечатления от июльского Microsoft Patch Tuesday. Выглядит довольно интересно. 🙂

Сгенерил отчёт Vulristics, пока даже без комментариев Vulnerability Management вендоров. Как появятся обзоры, перегенерю.

Из того, что однозначно бросается в глаза это Remote Code Execution - Microsoft Office (CVE-2023-36884). У этой уязвимости даже нормальное описание, а не минимальная генерёнка. Эксплуатируется в реальных атаках.

Также активно эксплуатируемые:

🔻Security Feature Bypass - Windows SmartScreen (CVE-2023-32049)
🔻Security Feature Bypass - Microsoft Outlook (CVE-2023-35311)
🔻Elevation of Privilege - Windows Error Reporting Service (CVE-2023-36874)
🔻Elevation of Privilege - Windows MSHTML Platform (CVE-2023-32046)

Уязвимостей Exchange нет, но есть любопытная Remote Code Execution - Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350).

Свежие EoP в Linux и RCE у Apple устройств

Добавить комментарий

Свежие EoP в Linux и RCE у Apple устройств

Свежие EoP в Linux и RCE у Apple устройств.

EoP в Linux Kernel с 6.1 по 6.4 (CVE-2023-3269, StackRot). Непривилегированный локальный пользователь может использовать эту уязвимость для компрометации ядра и повышения своих привилегий. Полный код эксплоита и подробное описание будут опубликованы не позднее конца июля.

RCE у Apple устройств (CVE-2023-37450). Активно эксплуатируется. Находится в WebKit (движок Safari и всех веб-браузеров на iOS и iPadOS) и триггерится при обработке специально созданного (вредоносного) веб-контента. Обновления для macOS Ventura 13.4.1, Safari 16.5.2 в macOS Big Sur/Monterey, iOS/iPadOS 16.5.1.

Про оптимизации для детектирования уязвимого продукта и типа уязвимости по текстовому описанию в Vulristics

Добавить комментарий

Про оптимизации для детектирования уязвимого продукта и типа уязвимости по текстовому описанию в VulristicsПро оптимизации для детектирования уязвимого продукта и типа уязвимости по текстовому описанию в VulristicsПро оптимизации для детектирования уязвимого продукта и типа уязвимости по текстовому описанию в Vulristics

Про оптимизации для детектирования уязвимого продукта и типа уязвимости по текстовому описанию в Vulristics. Выходные прошли плодотворно. 🙂 Получилось очень сильно ускорить эти операции. Теперь обработка уже скаченных данных (с опцией --rewrite-flag "False") проходит за несколько секунд. Конкретно за ~3 секунды для 100 уязвимостей из последнего MS Patch Tuesday. Раньше уходило несколько минут. Что сделал:

1. Для генеренных описаний Microsoft, например "Microsoft Excel Remote Code Execution Vulnerability", тип уязвимости и продукт теперь напрямую выпарщиваются из описания, без поиска по ключевым словам.
2. Переписал универсальный поиск по ключевым словам на основе products.json. Сократил использование тяжелых функций без ущерба для детектов.

Узкое место снова скачивание данных из источников. Это должно решиться после перехода на свой фид. Думаю, что генерацию такого фида можно реализовывать как фичу Vulristics. Таким образом улучшая Vulristics, приближаюсь к реализации фида. 😉

HTML код в NVD CVE description

Добавить комментарий

HTML код в NVD CVE description

HTML код в NVD CVE description. Работаю сейчас над оптимизациями для детектирования уязвимого продукта и типа уязвимости по текстовому описанию в Vulristics. В процессе обнаружил вот такое. Спасибо, конечно, что не