Архив рубрики: Уязвимость

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России. Продолжаю разбирать профильные вакансии.

Судя по перечню задач, в Почте России к анализу защищённости помимо VM-а (и контроля периметра) включают:

🔹 контроль конфигураций
🔹 проведение Pentest-ов
🔹 развёртывание Honeypot-ов

Последнее странновато, т.к. это скорее вотчина команды детекта атак.

"Агрегирование статистики и составление отчётов по итогам этапов процесса" предполагается делать в MS PowerBI. А импортозамес? 😏

Немало интригует фраза про управление VM-процессом "без прямого использования сканирований и результатов работы сканеров уязвимостей". То ли самому сканы запускать не придётся, то ли они вообще без сканов обходятся. 🤔

VM-процесс нужно будет выстраивать по "методологии ФСТЭК", а устранение уязвимостей контролировать "с учётом реалий инфраструктуры". 😉

🟥 Вакансия из PT Career Hub - проекта Positive Technologies по подбору сотрудников в дружественные компании.

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. 77 CVE, из которых 20 были добавлены в течение месяца. В этот раз целых 7 уязвимостей с признаками эксплуатации вживую:

🔻 RCE - Windows Fast FAT File System Driver (CVE-2025-24985)
🔻 RCE - Windows NTFS (CVE-2025-24993)
🔻 SFB - Microsoft Management Console (CVE-2025-26633)
🔻 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24983)
🔻 InfDisc - Windows NTFS (CVE-2025-24991, CVE-2025-24984)
🔻 AuthBypass - Power Pages (CVE-2025-24989) - в веб-сервисе Microsoft, можно игнорить

Уязвимостей с публичными эксплоитами нет, есть ещё 2 с приватными:

🔸 RCE - Bing (CVE-2025-21355) - в веб-сервисe Microsoft, можно игнорить
🔸 SFB - Windows Kernel (CVE-2025-21247)

Среди остальных можно выделить:

🔹 RCE - Windows Remote Desktop Client (CVE-2025-26645) and Services (CVE-2025-24035, CVE-2025-24045), MS Office (CVE-2025-26630), WSL2 (CVE-2025-24084)
🔹 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24044)

🗒 Полный отчёт Vulristics

Следующее мероприятие, на котором я планирую выступить - форум "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля

Следующее мероприятие, на котором я планирую выступить - форум ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ 3 апреля

Следующее мероприятие, на котором я планирую выступить - форум "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля. В рамках технологической панели "А ты точно умеешь это детектировать? Правила детекта уязвимостей" у меня будет 20-минутный доклад "Уровни сравнения качества детектирования уязвимостей".

О чём расскажу:

🔹 Зачем нужно заниматься оценкой качества детектирования уязвимостей и как это связано с БОСПУУ.

🔹 Примеры публичных сравнений качества детектирования. Спасибо Алексею Лукацкому за напоминание про сравнение Principled Technologies 2019 года. 👍 Оказывается у меня был про него содержательный пост в англоязычном канале. 😇 Ну и про сравнение PentestTools (2024) и Securin (2023) тоже добавлю.

🔹 Уровни сравнения: просто по CVE, по CVE с учётом метода детекта, практическое сравнение на стендах. Возможно какие-то ещё? 🤔

Если у кого есть что вкинуть по теме, пишите в личку - буду рад пообщаться. И до встречи на Территории Безопасности!

Разбор VM-ной вакансии: Старший инженер по управлению уязвимостями в Авито

Разбор VM-ной вакансии: Старший инженер по управлению уязвимостями в Авито

Разбор VM-ной вакансии: Старший инженер по управлению уязвимостями в Авито. Буду периодически комментировать VM-ные вакансии, чтобы отслеживать, что сейчас востребовано, и помогать их закрывать. 😉

🔹 VM-ная часть вакансии выглядит стандартно: развивать и автоматизировать VM-процесс, взаимодействовать с владельцами сервисов, составлять базовые требования ИБ, использовать сканеры, понимать CVSS/CVE.

🔹 Linux-овая часть интригует. Нужно знать Puppet и придётся "администрировать ИТ-инфраструктуру на базе Linux". В сочетании с "развивать инструменты для поиска, анализа и устранения уязвимостей ИТ-инфраструктуры" можно предположить, что у них есть самописные детектилки уязвимостей с инвентаризацией на основе Puppet и то, что VM-щики непосредственно занимаются патчингом и харденигом.

🔹 По поводу "внедрять и администрировать системы защиты информации" могут быть вопросики. Советовал бы уточнять список СЗИ на собесе, чтобы не пришлось заниматься чем-то непрофильным. 😉

27-30 марта в Пятигорске пройдёт выездной "КОД ИБ ПРОФИ | КАВКАЗ"

27-30 марта в Пятигорске пройдёт выездной КОД ИБ ПРОФИ | КАВКАЗ

27-30 марта в Пятигорске пройдёт выездной "КОД ИБ ПРОФИ | КАВКАЗ". По формату там будет:

🔹 2-х дневная деловая программа. Фокус на выявлении угроз в инфраструктуре и коде приложений, улучшении эффективности работы ИБ-команд, технологиях и трендах. По нашей теме будет мастер-класс по управлению уязвимостями от Артёма Куличкина из СОГАЗ. Также пройдут штабные киберучения.

🔹 2-х дневная дополнительная программа. Джип-тур с осмотром перевала Гумбаши, Сырных пещер, Шаонинского и Сентийского храма. Подъём на гору Машук на фуникулёре, прогулка по теренкурам.

🎞 Вот видео как это было в прошлом году.

В общем, интересный формат для обучения, тесного ИБ-шного нетворкинга и отдыха. 😉 Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 🙂

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391)

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391)

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391). Уязвимость из февральского Microsoft Patch Tuesday. Windows Storage - это стандартный компонент, отвечающий за хранение данных на компьютере. В случае успешной эксплуатации, злоумышленник получает возможность удалять произвольные файлы. И, согласно исследованию ZDI, злоумышленник может использовать эту возможность для повышения своих прав в системе.

Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418). Уязвимость из февральского Microsoft Patch Tuesday. AFD.sys - это системный драйвер Windows, критически важный для процессов сетевого взаимодействия. Он предоставляет низкоуровневую функциональность для WinSock API, позволяя приложениям взаимодействовать с сетевыми сокетами.

Для эксплуатации уязвимости аутентифицированному атакующему необходимо запустить специально созданную программу, которая в конечном итоге выполняет код с привилегиями SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.

По описанию эта уязвимость очень похожа на прошлогоднюю уязвимость CVE-2024-38193, которая активно эксплуатировалась злоумышленниками из группировки Lazarus.