Архив рубрики: Темы

Почему это нас беспокоит?

Почему это нас беспокоит?

Почему это нас беспокоит? Ситуация с финансированием MITRE и NIST исключительно внутриамериканская. И она так или иначе разрешится. В этой сфере крутятся миллиарды долларов, работают сотни компаний и многие тысячи специалистов. Они без нас найдут тех, кто будет вести и обогащать базу CVE, и кто будет это финансировать (CISA уже отсыпали MITRE денежек на 11 месяцев 😏).

А нам следует задуматься, почему американские базы CVE-уязвимостей настолько важны для нас. Почему это нас беспокоит?

Ответ очевиден: в России всё ещё широко используется западный коммерческий софт, уязвимости которого собираются в эти базы. Как и уязвимости западного опенсурсного софта/библиотек, составляющих основу практически всего "отечественного ПО". Из технологической зависимости растёт и зависимость от американских баз уязвимостей. 🤷‍♂️

Поэтому следует:

🔹 усиливать настоящее импортозамещение
🔹 избавляться от западных продуктов
🔹 наращивать контроль над опенсурсными проектами

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference. В 14:00 начнётся панельная дискуссия "Тотальный VM-разбор: вендор, заказчик и ML против уязвимостей". Очень приятно, что коллеги из R-Vision пригласили в дискуссию представителя Positive Technologies (меня 🙂) и RedCheck (Сергея Уздемира). Не часто конкурентам дают слово на вендорских мероприятиях. Большой респект R-Vision за это! 👍👏

Собираюсь говорить про БОСПУУ, контроль качества сканирования, почему VM-процесс становится ущербным и как может выглядеть осознанный подход к VM-у. В общем, о всех тех вещах, где видится большой потенциал для взаимодействия VM-вендоров, независимо от особенностей их продуктов и маркетинговых стратегий. 🙂 Будет интересно получить обратную связь от участвующих в дискуссии представителей клиентов (Сбертех, Вымпелком, Агроэко).

➡️ Регистрация на сайте
📍 Loft Hall и онлайн

CVE без NIST и MITRE?

CVE без NIST и MITRE?

CVE без NIST и MITRE? Кучно пошли новости о проблемах с поддержанием баз CVE уязвимостей от NIST и MITRE:

🔻 NIST может уволить 500 сотрудников. 👋
🔻 ~100к уязвимостей опубликованных до 1 января 2018 в NIST NVD перевили в статус "deffered" ("отложенный") и перестали обновлять. 🤷‍♂️
🔻 MITRE CVE Program может потерять финансирование. 💸

Процитирую свой прошлогодний пост на 25 лет CVE: "Вместо единой нейтральной базы пришли к стремительно растущему недоанализированному огороженному западному мусорному полигону."

Похоже американская система управления настолько деграднула, что и с поддержанием этого мусорного полигона не справляется. 🤷‍♂️

Что будет дальше?

🔹 80% - зальют проблему деньгами и клоунада продолжится. 🤡

🔹 20% - американские CVE-богадельни в NIST и MITRE схлопнутся и CVE Program уйдёт в свободное плавание (всё и так держится на одних CNA-организациях). 🛳️

В целом, довольно пофиг на них. Имхо, нас в России должно волновать не это.

Некорректная постановка задачи и нереалистичные ожидания со стороны клиентов приводят к ущербному Vulnerability Management процессу

Некорректная постановка задачи и нереалистичные ожидания со стороны клиентов приводят к ущербному Vulnerability Management процессу

Некорректная постановка задачи и нереалистичные ожидания со стороны клиентов приводят к ущербному Vulnerability Management процессу. Как сейчас выглядит типичное внедрение VM-процесса в организации? Клиент приходит к VM-вендору и хочет получить от него решение, которое сможет сходу детектировать 100% уязвимостей на 100% активах в его инфраструктуре со 100% достоверностью. 💊 Причём независимо от того какой треш, угар и чад кутежа творится в инфраструктуре клиента. 🤷‍♂️ Ну, не менять же инфру ради какого-то там VM-процесса, правда? 😏

И тут бы VM-вендору сказать, что нет, так не получится… Но кушать все хотят. И обычно VM-вендор делает вид, что такая постановка задачи ему вполне ок. 👌 А клиент делает вид, что у него теперь есть работающий VM-процесс, всё детектится и устраняется. 👨‍💻 Стороны держат покер-фейс, а неудобную тему качества детектирования стараются не замечать. 😐

В результате часть инфраструктуры остаётся в "слепых пятнах". И там, естественно, самое адище. 😈

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday

Апрельский Microsoft Patch Tuesday. Всего 153 уязвимости, в 2 раза больше, чем в марте. Из них 32 были добавлены между мартовским и апрельским MSPT. Есть 3 уязвимости с признаками эксплуатации вживую:

🔻 EoP - Windows Common Log File System Driver (CVE-2025-29824). Атакующий может получить привилегии SYSTEM. Подробностей пока нет.
🔻 SFB - Microsoft Edge (CVE-2025-2783). Побег из песочницы, есть PoC эксплоита.
🔻 RCE - Microsoft Edge (CVE-2025-24201). Изначально её заводили как уязвимость в WebKit для ОС от Apple. 🤷‍♂️

Также Microsoft исправляли уязвимости с эксплоитами в Kubernetes (CVE-2025-1974, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-24513)

Из остальных можно отметить:

🔹 RCE - LDAP (CVE-2025-26670, CVE-2025-26663), TCP/IP (CVE-2025-26686), Microsoft Office (CVE-2025-29794, CVE-2025-29793), RDS (CVE-2025-27480, CVE-2025-27482), Hyper-V (CVE-2025-27491)
🔹 SFB - Kerberos (CVE-2025-29809)

🗒 Полный отчёт Vulristics

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)?

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)?

Что нового по эксплуатируемым уязвимостям из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)? Сегодня будет апрельский MSPT. Самое время посмотреть, а есть ли какие-то обновления по уязвимостям из мартовского MSPT, для которых были признаки эксплуатации вживую.

Публичных эксплоитов для этих уязвимостей пока не появилось. 🤷‍♂️

Первые две уязвимости аналогичны по вектору эксплуатации, различаются только типом уязвимой файловой системы:

🔻 Remote Code Execution - Windows Fast FAT File System Driver (CVE-2025-24985). Целочисленное переполнение или циклический переход (Integer Overflow or Wraparound, CWE-190) в драйвере Fast FAT ОС Windows позволяет неавторизованному злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD).

🔻 Remote Code Execution - Windows NTFS (CVE-2025-24993). Переполнение буфера в куче (Heap-based Buffer Overflow, CWE-122) в файловой системе Windows NTFS позволяет несанкционированному злоумышленнику выполнить код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD).

Ещё одна уязвимость также требует открытия зловредного файла:

🔻 Security Feature Bypass - Microsoft Management Console "EvilTwin" (CVE-2025-26633). Консоль управления Майкрософт (MMC) - компонент ОС Windows, который используется для создания, сохранения и открытия консолей администрирования для управления оборудованием, программным обеспечением и сетевыми компонентами Windows. MMC позволяет сохранять коллекцию настроек в виде файлов MSC. Для эксплуатации уязвимости злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC файл, что, согласно ZDI, приведёт к выполнению кода в контексте текущего пользователя. Для эксплуатации уязвимости злоумышленники могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы. Исследователи Trend Micro связывают случаи эксплуатации уязвимости вживую с деятельностью группировки EncryptHub (также известной как Water Gamayun и Larva-208).

И, наконец, классическая уязвимость повышения привилегий:

🔻 Elevation of Privilege - Windows Win32 Kernel Subsystem (CVE-2025-24983). Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации уязвимости злоумышленнику необходимо выиграть "race condition". Уязвимость была обнаружена исследователями ESET. Они нашли эксплойт для CVE-2025-24983 на системах, скомпрометированных с использованием бэкдора PipeMagic.

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live. Всё верно, традиционный ежегодный эфир по VM-у на AM Live раздвоился. ✌️

11:00
- Как выстроить процесс управления уязвимостями. Здесь будут представители Positive Technologies. SolidLab VMS, Security Vision, Vulns io VM, Kaspersky, R-Vision, RedCheck. Крепкий состав из основных игроков российского VM-рынка. 🛡 Модерировать будет Иван Шубин. От PT участвует Павел Попов.

15:00 - Лучшие практики Vulnerability Management. Здесь будут представители Инфосистемы Джет, Angara ASM, RebrandyCo, ScanFactory, BIZONE. Огненная смесь из EASM-вендоров, пентестреров и VM-консалтеров. 🔥 И я там тоже буду в качестве независимого эксперта. 😇 Модерировать будет Лев Палей.

Имхо, следует смотреть оба эфира. В первом ожидаю традиционную тонкую борьбу нарративов, отражающую текущие особенности предложений VM-игроков. 😏 Во втором - срыв покровов относительно реалий VM-а в российских организациях. 😉