Архив рубрики: Уязвимость

Бывший мой коллега по Т-Банку Николай Панченко рассказал как харденинг помогал от важных уязвимостей K8s этого года

Бывший мой коллега по Т-Банку Николай Панченко рассказал как харденинг помогал от важных уязвимостей K8s этого годаБывший мой коллега по Т-Банку Николай Панченко рассказал как харденинг помогал от важных уязвимостей K8s этого годаБывший мой коллега по Т-Банку Николай Панченко рассказал как харденинг помогал от важных уязвимостей K8s этого годаБывший мой коллега по Т-Банку Николай Панченко рассказал как харденинг помогал от важных уязвимостей K8s этого года

Бывший мой коллега по Т-Банку Николай Панченко рассказал как харденинг помогал от важных уязвимостей K8s этого года. 🔥 Я не большой поклонник харденинга и воркэраундов как метода устранения уязвимостей, но как метод быстрой митигации, чтобы выиграть время на патчинг - это круто и важно. Список CVE-шечек интересный. 😉

Декабрьский Microsoft Patch Tuesday

Декабрьский Microsoft Patch Tuesday

Декабрьский Microsoft Patch Tuesday. 89 CVE, из которых 18 были добавлены с ноябрьского MSPT. 1 уязвимость с признаками эксплуатации вживую:

🔻 EoP - Windows Common Log File System Driver (CVE-2024-49138). Подробностей по этой уязвимости пока нет.

Строго говоря, была ещё одна уязвимость, которая эксплуатировалась вживую: EoP - Microsoft Partner Network (CVE-2024-49035). Но это уже исправленная уязвимость в веб-сайте Microsoft и я вообще не уверен, что для неё стоило заводить CVE. 🤔

Для остальных уязвимостей пока нет ни признаков эксплуатации вживую, ни эксплоитов (даже приватных).

Можно выделить:

🔹 RCE - Windows LDAP (CVE-2024-49112, CVE-2024-49127)
🔹 RCE - Windows LSASS (CVE-2024-49126)
🔹 RCE - Windows Remote Desktop Services (CVE-2024-49106 и ещё 8 CVE)
🔹 RCE - Microsoft MSMQ (CVE-2024-49122, CVE-2024-49118)
🔹 RCE - Microsoft SharePoint (CVE-2024-49070)

🗒 Полный отчёт Vulristics

Посмотрел вебинар Securitm по выстраиванию вендоро-независимого Vulnerability Management процесса

Посмотрел вебинар Securitm по выстраиванию вендоро-независимого Vulnerability Management процесса

Посмотрел вебинар Securitm по выстраиванию вендоро-независимого Vulnerability Management процесса. В описании вебинара было, конечно, некоторое лукавство. Вкусные дискуссионный вопросы были скорее для заманухи. 😏

Фокус был на возможностях платформы Securitm. Что, в общем, тоже неплохо. Платформа интересная, функциональная. Мне больше всего нравятся их возможности по иерархическому описанию активов в инфраструктуре и заполнение описания с помощью email-опросников. 👍

Понравилась отсылка к нашему опросу по состоянию VM-процесса в организациях (25% - никакое 😱).

Традиционно НЕ понравилось описание VM-процесса через неработающий PDCA Gartner-а (я за непрерывные "подпроцессы", а не "шаги") и тезис, что какие-то уязвимости можно не исправлять (имхо, фиксить в соответствии с приоритетами нужно всё). 👎🤷‍♂️

По поводу конкретных сканеров уязвимостей и их количества ответ был в духе "все по уровню зрелости, деньги есть - берите побольше и подороже, а нету - и на NMAPе можно VM построить". 😏😅

Global Digital Space выпустили эпизод подкаста про сканеры уязвимостей с моим участием

Global Digital Space выпустили эпизод подкаста про сканеры уязвимостей с моим участием. Видео доступно на VK Видео, RUTUBE, YouTube и Дзен. Записывали 14 ноября. Пост в канале GDS.

Я отсмотрел и сделал таймстемпы. 🙂

00:00 Представляемся
01:53 Откуда пошли сканеры уязвимостей?
Владимир, Лука и Кирилл разгоняют, что всё пошло с оффенсива (даже с хакерских форумов). Я возражаю, что может для сканеров неизвестных уязвимостей (условные DAST) это и справедливо, но сканеры известных (CVE) уязвимостей выросли из инициатив по их описанию (NVD и баз, которые были до неё) и из задач дефенса. 🙂🛡
10:43 Сканер как средство инвентаризации инфраструктуры, внезапный соскок на NGFW и холивар на тему является ли nmap сканером уязвимостей
14:34 Коммерческие сканеры уязвимостей в России и за рубежом, размежевание по фидам правил детектирования уязвимостей и о том, кто эти фиды готовит в России и на Западе
20:21 Про варез, Burp и OWASP ZAP
21:12 Нужно ли продолжать использовать западные сканеры и фиды по уязвимостям?
26:14 Правда, что всю РФ поломали?
28:27 Использовать западные сканеры для периметра (EASM) норм или нет?
32:12 Настоящее сканирование это только Black Box, а сканирование с аутентификацией ненастоящее? О когнитивном пентестерском искажении 😏
41:37 А существует ли периметр?
43:27 Для чего мы делаем VM-сканирование с аутентификацией и о важности контекста продетектированных уязвимостей (трендовость, эксплуатабельность, воркэраунды, импакт)
49:55 Про приоритизацию уязвимостей, трендовость и эксплуатабельность
54:13 Экспертиза ресёрчерская и экспертиза детектирования уязвимостей это одно и то же?
56:00 Должен ли сканер детектировать 0day уязвимости?
56:40 Что есть False Positive ошибка сканера уязвимостей?
1:04:48 В чём задача сканера уязвимостей? Оффенсеровский и дефенсеровский подход, детектирование ВСЕХ уязвимостей это "заливание заказчика" или БАЗА?
Это самая жаркая часть дискуссии 🙂🔥
1:21:16 Почему множатся EASMы?
1:28:44 Как выбирать VM и Asset Management решения?
1:36:00 Куда мы идём?

В следующую среду (11.12) подвожу итоги VM-ного года на VK Security Сonfab MAX

В следующую среду (11.12) подвожу итоги VM-ного года на VK Security Сonfab MAX

В следующую среду (11.12) подвожу итоги VM-ного года на VK Security Сonfab MAX. 😇 Выписал доклады про уязвимости:

Трек #1
12:10 Александр Леонов - Vulnerability Management в 2024: кризис NVD, трендовые уязвимости года и как их исправлять ⚡️😉
12:50 Николай Панченко - Почему харденинг в K8s важен и как он спасает от «реальных» уязвимостей
13:30 Павел Пархомец - Через тернии к IaC: наша эволюция сканирования распределенной инфраструктуры

Трек #2
13:20 Анатолий Иванов - Несколько уязвимостей, которые найдет каждый. И одну - не только лишь все (этично)
15:00 Петр Уваров - На пути к Bug Bounty 2.0
15:30 Юрий Ряднина - Как хакеры ломают социальные сети
15:55 Максим Казенков - Открытые порты - открытые угрозы: как их вовремя обнаружить
16:25 Всеволод Кокорин - MXSS: Как обманывать парсеры html
17:45 Илья Сидельников, Александр Мельников - Поиск и приоритизация уязвимостей в зависимостях

➡️ Регистрация ещё открыта

Трансляция будет!

Подробности на @VK_Security

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451)

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451)

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451). Уязвимость из ноябрьского Microsoft Patch Tuesday. Для неё сразу были признаки эксплуатации вживую. Уязвимость связана с устаревшей MSHTML платформой, которая до сих пор используется в Windows. Для эксплуатации уязвимости пользователь должен минимально провзаимодействовать со зловредным URL-файлом: щёлкнуть по нему правой кнопкой мыши, удалить его или перенести в другую папку. Открывать вредоносный файл не требуется. В результате злоумышленник получает NTLMv2 хэш пользователя, который может использовать для аутентификации.

👾 По данным компании ClearSky, уязвимость используется для распространения Spark RAT - трояна удаленного доступа с открытым исходным кодом.

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040)

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040)

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040). Уязвимость из ноябрьского Microsoft Patch Tuesday. Некорректно сформулированная политика обработки хедера P2 FROM позволяет злоумышленнику сделать так, чтобы его email-адрес выглядел легитимным для жертвы (например, как адрес коллеги по работе). Что, естественно, значительно повышает эффективность фишинговых атак. 😏🪝 Уязвимости подвержены Exchange Server 2019 и Exchange Server 2016.

Первоначальные исправления для этой уязвимости, опубликованные 12 ноября, были через 2 дня отозваны. Их установка приводила к сбоям. Новые исправления были опубликованы Microsoft только 27 ноября.

👾 Kaspersky уже наблюдали попытки эксплуатации этой уязвимости. Об этом они написали в блогпосте от 26 ноября.