Февральский "В тренде VM": уязвимости в продуктах Microsoft. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз компактная и моновендорная.
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего две уязвимости:
🔻 RCE - Microsoft Office (CVE-2026-21509)
🔻 InfDisc - Desktop Window Manager (CVE-2026-20805)
Как определяется успех Анализа Защищённости (АЗ) согласно методике ФСТЭК от 25.11.2025? Читаем раздел 3.4.
🔹 НЕ выявили уязвимости (3.4.2) - успех. 👍
🔹 Выявили уязвимости критического и высокого уровня (3.4.4), а также уязвимости среднего и низкого уровня, "которые по результатам экспертной оценки могут быть использованы потенциальным нарушителем для реализации угроз безопасности информации (векторов атак)" (3.4.5) - их нужно устранить "в ходе проведения анализа уязвимостей". ⚡️ Оценка критичности уязвимостей производится по методике ФСТЭК. Устранили - успех. 👍 Не устранили - "отрицательное заключение". 👎
Т.е здесь речь об одноразовом "подпрыгивании" для устранения конкретных уязвимостей, без привязки к VM-процессу в организации? 🤔
Фактически да. 🤷♂️
Однако и требований, однозначно препятствующих устранению выявленных с помощью АЗ уязвимостей в рамках VM-процесса, здесь нет. Всё реализуемо. 😉 Вопрос лишь в определении приоритетов и сроков устранения.
Февральский Microsoft Patch Tuesday. Всего 55 уязвимостей, в два раза меньше, чем в январе. Есть целых шесть (❗️) уязвимостей с признаком эксплуатации вживую:
🔻 SFB - Windows Shell (CVE-2026-21510)
🔻 SFB - Microsoft Word (CVE-2026-21514)
🔻 SFB - MSHTML Framework (CVE-2026-21513)
🔻 EoP - Windows Remote Desktop Services (CVE-2026-21533)
🔻 EoP - Desktop Window Manager (CVE-2026-21519)
🔻 DoS - Windows Remote Access Connection Manager (CVE-2026-21525)
Также есть одна уязвимость с публичным эксплоитом:
🔸 DoS - libjpeg (CVE-2023-2804)
Из остальных уязвимостей можно выделить:
🔹 RCE - Windows Notepad App (CVE-2026-20841)
🔹 Spoofing - Outlook (CVE-2026-21511)
🔹 EoP - Windows Kernel (CVE-2026-21231, CVE-2026-21239, CVE-2026-21245), Windows AFD.sys (CVE-2026-21236, CVE-2026-21238, CVE-2026-21241)
Съездили вчера в детский центр игровой профориентации Кидзания в ТЦ Авиапарк. Использовали новогодний подарок от Security Vision, за который коллегам большое спасибо! 🙏
✅ В капитальной части Кидзания гораздо круче Кидбурга. Как будто прилетели в уютный вечерний городок. 😇👍
🙄 Однако по организации Кидзания сильно Кидбургу уступает. Активности длятся ~20 минут, но, как правило, проводятся не подряд, а с перерывами от 40 минут и больше. ⏳ Чтобы точно попасть, нужно высидеть в живой очереди. 😱 А там, где есть электронная запись (по браслету), записаться на несколько активностей подряд и составить своё расписание нельзя. 🤷♂️
👍 Павильон Security Vision в Кидзании даже круче, чем в Кидбурге. Отмечу плакат с мерами защиты: "Регулярно обновляй программы - это помогает устранить уязвимости в системе и предотвратить атаки!" 😉 Павильоны моих бывших работодателей Т-Банка и VK тоже было очень приятно увидеть. 🫶
Вчера ФСТЭК выложили в открытый доступ проект документа "Мероприятия и меры по защите информации, содержащейся в информационных системах". ФСТЭК предлагает "специалистам в области защиты информации заинтересованных государственных органов власти и организаций" рассмотреть документ и направить предложения по установленной форме на otd22@fstec.ru до 19 февраля.
❗️ Согласно пункту 1.3, "методический документ детализирует мероприятия (процессы)" по защите информации (ЗИ) и "определяет содержание мер" по ЗИ в соответствии с требованиями из 117-го приказа ФСТЭК.
Документ объёмный, 185 страниц.
Структура документа:
1️⃣ Общие положения
2️⃣ Факторы, влияющие на ЗИ
3️⃣ Мероприятия по ЗИ (45 страниц) -❗️ Среди них 3.3. Управление Уязвимостями (рассмотрю содержание подробно в последующих постах)
4️⃣ Меры по ЗИ (129 страниц)
Слово "уязвимость" в различных формах встречается по тексту 104 раза в разных частях документа. 🕵️♂️ Будет что пообсуждать. 😉😇
Коллеги из КИТ выложили сегодня "Аналитический отчёт по ключевым изменениям в законодательстве за 2025 год", в котором есть раздел про Управление Уязвимостями. Основная идея: "общий сдвиг надзорной логики от формальной проверки наличия мер к оценке реальной способности организаций выявлять, приоритизировать и устранять технические риски".
В отчёте упоминаются следующие документы ФСТЭК, выпущенные в прошлом году:
🔹 Методика оценки критичности уязвимостей (30.06.2025). Указана как ключевой элемент трансформации, т.к. формирует необходимость выстраивания логики обработки уязвимостей.
🔹 Методика проведения пентестов (08.09.2025). ДСП. 🤫
🔹 Методика анализа защищенности ИС (25.11.2025). Единый подход к выявлению уязвимостей.
🔹 Методика оценки показателя состояния технической защиты информации (11.11.2025). Для расчёта КЗИ.
🔹 Порядок проведения сертификации процессов безопасной разработки ПО (18.09.2025). Необходимо демонстрировать "повышение уровня защищенности в динамике".
Добавлю ещё по Q&A-секции и роадмапу Alpha Systems из сегодняшнего вебинара "Эффективное управление уязвимостями: поверхность атаки и комплаенс".
Фичи роадмапа на 2026 в довольно общем виде:
🔸 "Живой каталог активов", "Система, которая видит и понимает". Видимо, будет AI-автоматизация для актуализации описания активов.
🔸 "PREDICTIVE ECOSYSTEM", "Система, которая предсказывает и действует". Видимо, стоит ждать AI-алерты по уязвимостям и, возможно, автоматизацию действий по устранению.
Из Q&A:
🔹 Лицензируется по FQDN и по IP, перемещать можно.
🔹 Обновление сигнатур ежесуточное или ручное через встроенный механизм.
🔹 Аудит AD есть.
🔹 K8s сканируют. Контроль контейнеров Q2-3.
🔹 Харденинг сетевых устройств Q2-3.
🔹 Комплаенс облаков - нет и не планируется.
🔹 Настройка сканов safe/aggressive есть.
🔹 Отчёты настраиваемые. Дельта-отчётов нет, но планируется.
🔹 Интеграция с SIEM по rsyslog, с тикетницами по email/API (по запросу), планируют интеграцию с SECURITM SGRC.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
