Архив рубрики: Уязвимость

Где SLA, Лебовски?

Где SLA, Лебовски? В посте с критикой БОСПУУ Алексей Лукацкий задаёт вопрос про SLA для задач на устранение уязвимостей: "Кто его устанавливает? ИТ?" И дальше предполагает, что сроки для устранения критичных уязвимостей будут неадекватно завышены.

Здесь сошлюсь на хорошую статью по управлению уязвимостями, которую я уже разбирал ранее.

SLA на выполнение задач по устранению уязвимостей (плановому и приоритетному) согласовывают совместно ИБ и ИТ/бизнес.

При этом учитывается:

🔹 критичность активов
🔹 требования к доступности активов и к версионности
🔹 технологические окна

Если какие-то активы невозможно обновлять даже в окна, следует рассмотреть возможность дублирования систем или обновления по частям.

Процесс согласования формального SLA непростой. Но если его не установить, задачи на устранение уязвимостей вообще не будут выполняться. 🤷‍♂️ По этой же причине следует аккуратно фиксировать просрочки, разбираться в их причинах и, при необходимости, пересматривать SLA.

Июльский Microsoft Patch Tuesday

4 комментария

Июльский Microsoft Patch Tuesday. Всего 175 уязвимостей, из них 33 набежало между июньским и июльским Patch Tuesday.

Есть 2 уязвимости с признаком эксплуатации вживую:

🔻 Spoofing - Windows MSHTML Platform (CVE-2024-38112). Spoofing подразумевает подделывание чего-то. Но тут непонятно, что именно подделывают. Ждём деталей. Пока известно, что для эксплуатации уязвимости злоумышленник должен отправить жертве вредоносный (MSHTML?) файл, который жертва должна каким-то образом запустить/открыть. Upd. Подъехали детали.
🔻 Elevation of Privilege - Windows Hyper-V (CVE-2024-38080). Эта уязвимость может позволить аутентифицированному злоумышленнику выполнить код с привилегиями SYSTEM. Опять же деталей нет. Под этим, при желании, можно понять и то, что пользователь гостевой ОС может получить привилегии в хостовой ОС (надеюсь, что это не так).

Из остального можно выделить:

🔸 Elevation of Privilege - различные компоненты Windows (CVE-2024-38059, CVE-2024-38066, CVE-2024-38100, CVE-2024-38034, CVE-2024-38079, CVE-2024-38085, CVE-2024-38062, CVE-2024-30079, CVE-2024-38050). EoP-шки в последнее время часто выстреливают.
🔸 Remote Code Execution - Windows Remote Desktop Licensing Service (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077)
🔸 Remote Code Execution - Microsoft Office (CVE-2024-38021)
🔸 Remote Code Execution - Windows Imaging Component (CVE-2024-38060). Достаточно закинуть вредоносный TIFF файл на сервер.
🔸 Remote Code Execution - Microsoft SharePoint Server (CVE-2024-38023, CVE-2024-38024). Требуется аутентификация, но прав "Site Owner" хватит.

🗒 Отчёт Vulristics по июльскому Microsoft Patch Tuesday

Vulristics показывает эксплоит для Spoofing - RADIUS Protocol (CVE-2024-3596) на GitHub, но на самом деле это просто утилита для детектирования.

Трендовые уязвимости июня по версии Positive Technologies

1 комментарий

Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)

Посмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостей

Добавить комментарий

Посмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостей.

🔹 Кирилл Ермаков из Vulners рассказал про важность приоритизации узявимостей (особенно для MSSP компаний, т.к. они отвечают за безопасность клиентов) и как её можно улучшить с помощью динамически обновляемого AI Score v2. Очень понравилась его фраза: "если вы не знаете свои активы очень хорошо, выключайте вебинар и идите заниматься Asset Management-ом". Asset Management это база. 👍

🔹 Юрий Сергеев из RST Cloud рассказал как при приоритизации уязвимостей учесть данные об их эксплуатации в реальных атаках (в вашей локации, в вашей индустрии, для вашего профиля злоумышленника). Он привёл формулу и продемонстрировал как учёт этих факторов влияет на приоритизацию. Понравился пример с regreSSHion, где шуму много, но атака очень заметная и занимает много времени, поэтому эксплуатация вряд ли будет массовой.

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSHion (CVE-2024-6387)

1 комментарий

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSHion (CVE-2024-6387). Как сообщают эксперты Kaspersky, атака рассчитана на специалистов по компьютерной безопасности. Злоумышленники предлагают жертвам исследовать архив, который якобы содержит рабочий эксплойт, список IP-адресов и некую полезную нагрузку.

🔻 Исходный код напоминает слегка отредактированную версию нефункционального proof-of-concept эксплоита для этой уязвимости, который уже был в паблике.

🔻 Один из Python-скриптов имитирует эксплуатацию уязвимости на IP-адресах из списка. На самом деле он запускает вредоносное ПО для закрепления в системе и скачивания дополнительной полезной нагрузки. Зловред модифицирует /etc/cron.hourly и запуск команды ls.

Если исследуете чужой код, делайте это в надёжно изолированной среде и имейте в виду, что вас могут попытаться таким образом нахрапом атаковать. 😉

Три богатыря и Bug Bounty

Добавить комментарий

Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉

Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто проникнет во дворец и выполнит реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.

В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣

Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏

В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷‍♂️ Как это и бывает.

Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉

Microsoft будут заводить CVEшки для уязвимостей своих облачных сервисов

Добавить комментарий

Microsoft будут заводить CVEшки для уязвимостей своих облачных сервисов. Казалось бы, ну была уязвимость в какой-то облачной CRM-ке, они её зафиксили сразу для всех, никаких действий со стороны клиентов не требуется. Толку-то на это CVE заводить? 🤔

Но в Microsoft считают, что это требуется для большей прозрачности, а новые правила CNA (CVE Numbering Authorities) требуют заводить уязвимости, которые могут нанести существенный вред, независимо от того требуется ли клиентам совершать какие-то действия для устранения уязвимостей или нет. 🤷‍♂️ Microsoft обещают помечать такие уязвимости отдельно, как например CVE-2024-35260 "The vulnerability documented by this CVE requires no customer action to resolve". В CVEorg тоже будет специальный tag.

Нужно или не нужно заводить уязвимости облачных сервисов как CVE - вопрос спорный. Но то, что из-за этой практики количество идентификаторов в CVEorg/NVD станет прирастать гораздо быстрее - факт. 🤷‍♂️

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Уязвимость

Где SLA, Лебовски?

Июльский Microsoft Patch Tuesday

Трендовые уязвимости июня по версии Positive Technologies

Посмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостей

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSHion (CVE-2024-6387)

Три богатыря и Bug Bounty