Архив рубрики: Темы

Посмотрел Forrester Wave по ASM-у за Q3 2024

Добавить комментарий

Посмотрел Forrester Wave по ASM-у за Q3 2024

Посмотрел Forrester Wave по ASM-у за Q3 2024. Репринт выложили Trend Micro. Под ASM-ом Forrester понимают то, что исторически развивалось из EASM или из CAASM. "Attack surface management […] дает вам представление о том, что подвержено атаке, а также о том, отслеживается ли это и принимаются ли надлежащие меры по защите." В качестве цели заявляется предоставление полной инвентаризации киберактивов. Т.е. это уже типа взгляда на Asset Management со стороны ИБ (как Qualys CSAM)? 🤔

В лидерах CrowdStrike, Palo Alto Networks и Trend Micro. А традиционные вендоры с экспертизой по детектированию уязвимостей либо в Strong Perfomers (Qualys, Tenable), либо вообще в Contenders (Rapid7).

Имхо, так получилось из-за того, что при оценке акцент делался именно на CAASM, а не на EASM. Например, нет ничего про собственно детектирование уязвимостей на периметре. И критерии довольно обтекаемые, типа "Cyber asset inventory: asset contextualization" или "Srategy: Vision". 😉

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Добавить комментарий

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS. 26 сентября исследователь Simone Margaritelli (evilsocket) раскрыл 4 уязвимости в сервере печати CUPS для Linux систем (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) в компонентах cups-browsed, libcupsfilters, libppd и cups-filters.

Цепочка уязвимостей позволяет удаленному неаутентифицированному злоумышленнику незаметно заменять существующие IPP URL-ы принтеров на вредоносные, посылая специальные пакеты на 631/UDP. Затем при инициировании задания печати происходит RCE. Возможна массовая эксплуатация в локальных сетях через mDNS или DNS-SD.

В бюллетене OpenPrinting/cups-browsed есть PoC эксплоита.

Сколько потенциально уязвимых хостов доступно из Интернет?
🔻 Оценка Qualys и Rapid7 - 75000.
А в Рунете?
🔻 Оценка СайберОК - 5000

Патчей пока нет. 🤷‍♂️ Ждём, режем сетевые доступы и отключаем cups-browsed, где не нужен.

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями

Добавить комментарий

В следующую среду буду участвовать в эфире Безопасной среды Кода ИБ на тему построения процесса управления уязвимостями

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями. Также в качестве экспертов там будут Евгений Мельников из МегаФона и Игорь Смирнов из Alpha Systems (у меня был вчера пост про их VM-решение).

Вынесенные на обсуждение вопросы повторяют вопросы из моего недавнего интервью CISOCLUB (что, естественно, просто совпадение 😉), так что должно быть много хардкорного и болезненного про управление активами, качество детектирования, приоритизацию уязвимостей, отслеживание тасков на устранение уязвимостей и т.д.

Регистрируйтесь на сайте Код ИБ и до встречи в среду 2 октября в 12:00.

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Добавить комментарий

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014). Чтобы не выглядело, что эта уязвимость может эксплуатироваться абсолютно универсально.

🔹 Для атаки злоумышленнику требуется доступ к GUI Windows. Естественно, окошко ведь нужно увидеть и "поймать". Вот прям мышкой. Задачу упрощает утилита SetOpLock, которое не даёт окошку закрываться.

🔹 Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причём актуальный Edge или IE не подойдёт, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge или IE не должны быть установлены в качестве браузера по умолчанию.

🔹 Не для каждого MSI файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014)

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014). Уязвимость была исправлена 10 сентября в рамках сентябрьского Microsoft Patch Tuesday. Её обнаружил Michael Baer из SEC Consult. 12 сентября вышел их блог-пост с деталями эксплуатации.

MSI файлы - стандартный способ установки, восстановления (repair) и удаления программ в Windows. Установка требует высоких привилегий. А функцию восстановления может запускать и низкопривилегированный пользователь. При том, что сама функция может выполняться в контексте NT AUTHORITY\SYSTEM. 🤔

Злоумышленник запускает MSI файл уже установленного приложения, выбирает режим repair и взаимодействует со всплывающим окном консоли, запущенным от SYSTEM. Через несколько шагов он получает интерактивную консоль с правами SYSTEM.

Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI установщик выполняет действие с повышенными привилегиями, т.е. до появления окна консоли. Это блокирует атаку.

Vulnerability Management от Alpha Systems

Добавить комментарий

Vulnerability Management от Alpha Systems

Vulnerability Management от Alpha Systems. В последнее время довольно часто натыкаюсь на медийную активность этой российской компании по теме Управления Уязвимостями. 👍 Почитал их сайт.

AlphaSense - решение класса Vulnerability Auditor / Vulnerability Management для IT-инфраструктуры. "Представляет из себя конвейер из различных сканеров и утилит безопасности с открытым исходным кодом". Заявляются возможности детектирования активов, определения web-компонентов, обнаружения и обхода WAF, активного сканирования хостов на наличие уязвимостей (также проверки образов Docker и кластеров k8s), эксплуатации уязвимостей. Подчёркиваются расширенные возможности репортинга и нотификаций.

Какие именно утилиты используются непонятно, но в описании функциональных характеристик упоминаются фиды CVE, CCE OpenVAS, OVAL, Vulners. Возможно это указывает на способы детектирования, а возможно нет. 🤷‍♂️

В любом случае вполне себе кандидат на включение в карту VM-решений (сегмент СДУИ). 😉

На Anti-Malware вышла статья "Эффективное управление уязвимостями с Security Vision VM"

Добавить комментарий

На Anti-Malware вышла статья Эффективное управление уязвимостями с Security Vision VM

На Anti-Malware вышла статья "Эффективное управление уязвимостями с Security Vision VM". В статье разбираются фичи обновленного продукта. Имхо, наибольший интерес вызывает собственный сканер уязвимостей. Сканер как продукт (VS) у них на сайте значился довольно давно, но сейчас появилась конкретика.

Сканирование агентное и безагентное.

Заявляется поддержка:

🔹 Дистрибутивов Linux: Astra Linux, Alt Linux, РЕД ОС, Ubuntu, Red Hat, CentOS, AlmaLinux, Oracle Linux, Debian (включая все возможные системы на его основе),
🔹 Настольных и серверных версии Windows,
🔹 Прикладного ПО (включая Microsoft Office с версиями «click-to-run», Exchange, SharePoint)
🔹 Баз данных (Microsoft SQL, PostgreSQL, MySQL, Oracle, Elasticsearch и др.)
🔹 Сетевых устройств (Cisco, Juniper, Check Point, Palo Alto, Sun и др.)
🔹 Docker контейнеров (запущенных и остановленных) и образов, в том числе в среде Kubernetes

Если и правда нарастили собственную экспертизу в таком объеме, это весьма впечатляюще. 👍