Архив рубрики: Темы

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями

Добавить комментарий

В следующую среду буду участвовать в эфире Безопасной среды Кода ИБ на тему построения процесса управления уязвимостями

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями. Также в качестве экспертов там будут Евгений Мельников из МегаФона и Игорь Смирнов из Alpha Systems (у меня был вчера пост про их VM-решение).

Вынесенные на обсуждение вопросы повторяют вопросы из моего недавнего интервью CISOCLUB (что, естественно, просто совпадение 😉), так что должно быть много хардкорного и болезненного про управление активами, качество детектирования, приоритизацию уязвимостей, отслеживание тасков на устранение уязвимостей и т.д.

Регистрируйтесь на сайте Код ИБ и до встречи в среду 2 октября в 12:00.

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Добавить комментарий

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014)

Несколько уточнений по поводу Elevation of Privilege - Windows Installer (CVE-2024-38014). Чтобы не выглядело, что эта уязвимость может эксплуатироваться абсолютно универсально.

🔹 Для атаки злоумышленнику требуется доступ к GUI Windows. Естественно, окошко ведь нужно увидеть и "поймать". Вот прям мышкой. Задачу упрощает утилита SetOpLock, которое не даёт окошку закрываться.

🔹 Для атаки злоумышленнику требуется установленный на хосте веб-браузер. Причём актуальный Edge или IE не подойдёт, нужен Firefox или Chrome. И они не должны быть запущены перед началом атаки. А Edge или IE не должны быть установлены в качестве браузера по умолчанию.

🔹 Не для каждого MSI файла это сработает. SEC Consult выпустили утилиту msiscan для детектирования MSI файлов, которые могут использоваться для эксплуатации этой и подобных уязвимостей.

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014)

Про уязвимость Elevation of Privilege - Windows Installer (CVE-2024-38014). Уязвимость была исправлена 10 сентября в рамках сентябрьского Microsoft Patch Tuesday. Её обнаружил Michael Baer из SEC Consult. 12 сентября вышел их блог-пост с деталями эксплуатации.

MSI файлы - стандартный способ установки, восстановления (repair) и удаления программ в Windows. Установка требует высоких привилегий. А функцию восстановления может запускать и низкопривилегированный пользователь. При том, что сама функция может выполняться в контексте NT AUTHORITY\SYSTEM. 🤔

Злоумышленник запускает MSI файл уже установленного приложения, выбирает режим repair и взаимодействует со всплывающим окном консоли, запущенным от SYSTEM. Через несколько шагов он получает интерактивную консоль с правами SYSTEM.

Исправление Microsoft активирует запрос User Account Control (UAC), когда MSI установщик выполняет действие с повышенными привилегиями, т.е. до появления окна консоли. Это блокирует атаку.

Vulnerability Management от Alpha Systems

Добавить комментарий

Vulnerability Management от Alpha Systems

Vulnerability Management от Alpha Systems. В последнее время довольно часто натыкаюсь на медийную активность этой российской компании по теме Управления Уязвимостями. 👍 Почитал их сайт.

AlphaSense - решение класса Vulnerability Auditor / Vulnerability Management для IT-инфраструктуры. "Представляет из себя конвейер из различных сканеров и утилит безопасности с открытым исходным кодом". Заявляются возможности детектирования активов, определения web-компонентов, обнаружения и обхода WAF, активного сканирования хостов на наличие уязвимостей (также проверки образов Docker и кластеров k8s), эксплуатации уязвимостей. Подчёркиваются расширенные возможности репортинга и нотификаций.

Какие именно утилиты используются непонятно, но в описании функциональных характеристик упоминаются фиды CVE, CCE OpenVAS, OVAL, Vulners. Возможно это указывает на способы детектирования, а возможно нет. 🤷‍♂️

В любом случае вполне себе кандидат на включение в карту VM-решений (сегмент СДУИ). 😉

На Anti-Malware вышла статья "Эффективное управление уязвимостями с Security Vision VM"

Добавить комментарий

На Anti-Malware вышла статья Эффективное управление уязвимостями с Security Vision VM

На Anti-Malware вышла статья "Эффективное управление уязвимостями с Security Vision VM". В статье разбираются фичи обновленного продукта. Имхо, наибольший интерес вызывает собственный сканер уязвимостей. Сканер как продукт (VS) у них на сайте значился довольно давно, но сейчас появилась конкретика.

Сканирование агентное и безагентное.

Заявляется поддержка:

🔹 Дистрибутивов Linux: Astra Linux, Alt Linux, РЕД ОС, Ubuntu, Red Hat, CentOS, AlmaLinux, Oracle Linux, Debian (включая все возможные системы на его основе),
🔹 Настольных и серверных версии Windows,
🔹 Прикладного ПО (включая Microsoft Office с версиями «click-to-run», Exchange, SharePoint)
🔹 Баз данных (Microsoft SQL, PostgreSQL, MySQL, Oracle, Elasticsearch и др.)
🔹 Сетевых устройств (Cisco, Juniper, Check Point, Palo Alto, Sun и др.)
🔹 Docker контейнеров (запущенных и остановленных) и образов, в том числе в среде Kubernetes

Если и правда нарастили собственную экспертизу в таком объеме, это весьма впечатляюще. 👍

Oпрос про OSINT и Vulnerability Analysis

Добавить комментарий

Oпрос про OSINT и Vulnerability Analysis

Oпрос про OSINT и Vulnerability Analysis. Меня попросили разместить ссылку на опрос по OSINT (разведка по открытым источникам), который проводят совместно СберКорус и Angara Security. Я сначала думал отказаться, так как это не особенно по теме канала. А потом посмотрел вопросы и решил, что я, по большому счёту, занимаюсь OSINT-ом каждый день, когда ищу данные по какой-то уязвимости или анализирую новости VM-ных вендоров. 😅 Все мы в какой-то степени OSINT-еры. 😏

Даже почитать варианты ответа на вопрос про используемые методы мониторинга открытых источников на предмет угроз безопасности компании может наводить на всякого рода полезные мысли:

🔹Мониторю веб-ресурсы/специализированные базы (базы утечек, DarkNet, DeepWeb)
🔹 Использую специальные сервисы (Shodan, Maltego, и т.п.)
🔹 Использую ИИ (Сhat GPT и т.п.)
🔹 Анализирую соц сети и блоги

➡️ Опрос

11 октября состоится конференция R-Vision R-EVOLUTION

Добавить комментарий

11 октября состоится конференция R-Vision R-EVOLUTION

11 октября состоится конференция R-Vision R-EVOLUTION. Там будут доклады про R-Vision VM. 🕵️

В слоте 14:00-15:00 обещают три продуктовых доклада:

🔹 Про базу уязвимостей R-Vision: какие процессы построили и какие технологии реализовали
🔹 Про процесс разработки VM-продукта с собственным сканером уязвимостей
🔹 Про отслеживание уязвимых активов в инфраструктуре и устранение уязвимостей

В слоте с 16:00-17:15 будет доклад про опыт автоматизации управления уязвимостями в ВТБ.

Также с 17:00 до 18:00 будут показывать демо R-Vision VM.

📍 Площадка: Центр событий РБК на Павелецкой.

📹 Онлайн-трансляция будет.

Важное для российского VM-рынка мероприятие, так что собираюсь смотреть. 🙂

PS: сорри за дубль, случайно из канала удалил вчерашний пост. 🤷‍♂️