Июльский "В тренде VM": уязвимости в Microsoft Windows и Roundcube. Традиционная ежемесячная подборка. В этот раз очень короткая. 🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего три трендовые уязвимости:
🔻 Remote Code Execution - Internet Shortcut Files (CVE-2025-33053)
🔻 Elevation of Privilege - Windows SMB Client (CVE-2025-33073)
🔻 Remote Code Execution - Roundcube (CVE-2025-49113)
Какие могут быть стимулы к централизованному репортингу уязвимостей в продуктах вендоров из недружественных стран через государственного регулятора?
🔻 Патриотизм. Противостояние в цифровой среде набирает обороты, и в нём есть свои и есть вражины. Американские бигтехи, отказавшиеся от обязательств в 2022 году, оказывающие поддержку враждебным государствам, распространяющие пасквили и являющиеся крупными подрядчиками DoD, нам явно НЕ СВОИ. Как и прочие "истинные финны". Зачем помогать противнику, если можно будет поднимать киберпотенциал своей страны?
🔻 Законность. Репортинг уязвимости "недружественному вендору" может подпадать под 275 УК РФ. Зачем "ходить под статьёй", если можно будет репортить уязвимости законно и безопасно?
🔻 Выгода. Компания, юрисдикция которой запрещает взаимодействие с физическими и юридическими лицами из России, вряд ли сможет нормально выплатить баунти. Так почему бы не получать выплату легально в России от заинтересованной стороны?
Обновлённая методика оценки критичности уязвимостей ФСТЭК от 30.06.2025. Документ выложили вчера. Большая новость для всех VM-щиков России. Думаю мы будем ещё долго обсуждать тонкости новой версии методики. 🙂 Но начнём с главного - кардинального снижения зависимости от CVSS! 🎉👏
🔹 Больше не требуется использовать временную и контекстную метрику CVSS. 👋 Для расчёта потребуется только CVSS Base score, который можно брать из NVD/Mitre, от вендора или ресёрчера.
🔹 Бесполезного перехода на CVSS v4 не случилось. 👍🔥 Закреплена версия CVSS 3.1. Но в случае отсутствия оценки по 3.1 допускается использовать другую версию CVSS.
Фактически реализовано то, что я предлагал в ОСОКА: фиксируем базовые метрики CVSS v3(.1), а вместо временных и контекстных метрик CVSS вводим свои простые и автоматизируемые. 😉
Новые компоненты:
🔻 Iat - наличие эксплоитов и фактов эксплуатации вживую
🔻 Iimp - "последствия эксплуатации" (= тип уязвимости)
Я очень доволен. 😇
Встречайте dbugs - портал по уязвимостям от Positive Technologies! 🎉 Этот проект демонстрирует, как в нашей компании происходит сбор и анализ данных по уязвимостям, в том числе и для определения трендовых уязвимостей.
Основные фишки:
🔹 Карточки уязвимостей со ссылками на источники (ссылки свои, а не из NVD и Mitre 😉!), возможность просматривать описание уязвимостей из разных источников (включая расширенное AI-ное описание от PT), автоматическое тегирование (наличие 👾 эксплоитов и фиксов, типы уязвимостей). Признака эксплуатации вживую пока нет, но обещают добавить. 🙏
🔹 AI Trends. Рейтинг уязвимостей по упоминаниям в микроблогах. Не путать с трендовыми уязвимостями, которые отображаются в MaxPatrol VM и о которых мы пишем в ежемесячных дайджестах.
🔹 Информация об исследователях и их рейтинг. Отталкиваясь от того, кто зарепортил уязвимость, можно прогнозировать реальную эксплуатабельность. Р - репутация. 🧐
И всё это доступно бесплатно! 🆓👍
Июльский Microsoft Patch Tuesday. Всего 152 уязвимостей, в два раза больше, чем в июне. Из них 15 уязвимостей были добавлены между июньским и июльским MSPT. Есть одна уязвимость с признаком эксплуатации вживую:
🔻 Memory Corruption - Chromium (CVE-2025-6554)
Для одной уязвимости есть эксплойт на GitHub:
🔸 EoP - Windows Update Service (CVE-2025-48799). Уязвимость эксплуатируется на Win11/Win10 хостах с двумя и более жёсткими дисками.
Из остальных можно выделить:
🔹 RCE - CDPService (CVE-2025-49724), KDC Proxy Service (CVE-2025-49735), SharePoint (CVE-2025-49704, CVE-2025-49701), Hyper-V DDA (CVE-2025-48822), MS Office (CVE-2025-49695), NEGOEX (CVE-2025-47981), MS SQL Server (CVE-2025-49717)
🔹 InfDisc - MS SQL Server (CVE-2025-49719)
🔹 EoP - MS VHD (CVE-2025-49689), TCP/IP Driver (CVE-2025-49686), Win32k (CVE-2025-49727, CVE-2025-49733, CVE-2025-49667), Graphics Component (CVE-2025-49732, CVE-2025-49744)
Уязвимости подрядчиков - это ваши уязвимости. Есть масса публичных кейсов, когда подрядчика ломали и получали доступ к данным компаний-клиентов. А то и доступ непосредственно в их инфраструктуры! И что с этим делать? 🤔
Даже только по VM-ной части. Вы, как минимум теоретически, можете выстроить В СВОЕЙ КОМПАНИИ красивый и эффективный VM-процесс для 100% инфраструктуры. Но вы же не будете сами выстраивать VM-процесс у всех ваших подрядчиков? 🙂
Получается гарантировать безопасность подрядчиков следует как-то иначе: через выставление требований по ИБ к подрядчикам и контроль их выполнения (анкетирование, контроль периметра, внутренний аудит и т.п.).
🎞 У Алексея Лукацкого недавно был хороший вебинар про безопасность подрядчиков. Там ещё в раздатке были категории подрядчиков для компаний из разных отраслей: банки, IT-компании, ритейл, сельхоз, нефтянка. 👍
➡️ А завтра в 12:00 (МСК) об этом будут говорить в Код ИБ "Безопасная Среда". Собираюсь посмотреть. 👀
Централизация репортинга уязвимостей. Раз уж последний пост на эту тему набрал много реакции (хоть и отрицательных 😅) и даже породил дискуссию, я расписал как бы мог работать гипотетический государственный регулятор "Инициатива Нулевого Дня" ("ИНД"; отсылка к ZDI 🙂), контролирующий репортинг уязвимостей в продуктах вендоров из недружественных стран.
Исследователь, обнаруживший уязвимость в продукте вендора из недружественной страны, передаёт результаты ресёрча в ИНД. Эксперты ИНД проводят анализ и выносят решение:
🔹 Если уязвимость представляет интерес с точки зрения национальной безопасности, исследователь подписывает соглашение о неразглашении и ему выплачивается вознаграждение от ИНД. Вендор не уведомляется. Также как NSA годами использовали EternalBlue и не сообщали MS. 😉
🔹 Если уязвимость не представляет интереса, ИНД либо сообщает о ней вендору, либо даёт разрешение исследователю сообщить вендору самостоятельно. Уязвимость заводится в БДУ.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.