Идёт онлайн-трансляция конференции СФЕРА Cybersecurity.
Наметил для себя окло-VM-ные доклады:
🔹 11:40 - 12:10 Как внедрить инструмент выявления уязвимостей и собрать из Жигули Мерседес.
🔹 13:00 - 13:30 Можно ли доверять недоверенному устройству?
🔹 16:00 - 16:30 Управление метриками ИБ. «Понты» или ежедневный инструмент?
Судя по новостям, объявляется неделя безопасности VMware. Особенно VMware vSphere. 😏 Что там было в конкретном курьерском кейсе, надеюсь, узнаем из результатов расследования. В любом случае появился неплохой повод проверить как обстоят дела с VMware в вашей организации:
🔻 Точно никакие управляющие интерфейсы не торчат в Интернет?
🔻 Точно всё, что нужно покрыто регулярными сканами уязвимостей и сканер уязвимостей детектирует адекватно?
🔻 Точно есть регламент по регулярной установке обновлений безопасности (независящий от сканов на уязвимости)?
🔻 Точно в моменте нет незакрытых уязвимостей высокого уровня критичности?
🔻 Точно выполняли харденинг и есть регулярный контроль настроек?
🔻 Точно есть мониторинг событий безопасности и реагирование на них?
🔻 Точно есть планы по импортозамещению продуктов VMware? Хороший повод их форсировать.
Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday.
💻 DWM (Desktop Window Manager) - это композитный оконный менеджер в Microsoft Windows, начиная с Windows Vista, который позволяет использовать аппаратное ускорение для визуализации графического пользовательского интерфейса Windows.
🦹♂️ Злоумышленник, получив первоначальный доступ к уязвимому Windows хосту, может проэксплуатировать данную уязвимость DWM, чтобы поднять свои привилегии до уровня SYSTEM. Это позволит ему закрепиться на хосте и продолжить развитие атаки.
👾 Исследователи из Лаборатории Касперского делятся в своём блоге интересной историей о том, как они нашли информацию об этой уязвимости в таинственном документе на ломаном английском, загруженном на VirusTotal 1 апреля 2024 года. VirusTotal - это бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. В ходе исследования эксперты ЛК подтвердили наличие уязвимости, описанной в документе, сообщили о ней в Microsoft, и, начиная с середины апреля, фиксировали эксплуатацию этой уязвимости банковским трояном QakBot и другими зловредами. Таким образом атаки начали фиксироваться где-то за месяц до выхода патчей Microsoft.
🛡 База уязвимостей БДУ ФСТЭК сообщает о наличии эксплоита в паблике, однако в сплоит-паках и на GitHub он пока не находится.
🟥 Positive Technologies относит уязвимость к трендовым,
Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday. Согласно описанию на сайте Microsoft, уязвимость представляет собой обход некоторых функций безопасности OLE в Microsoft 365 и Microsoft Office, в результате чего злоумышленник может выполнить произвольный код в контексте пользователя. Однако, несмотря на упоминание Microsoft 365 / Microsoft Office, это уязвимость не в этих продуктах, а именно в компоненте Windows.
Что такое OLE? Object Linking and Embedding - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии - открытие таблицы Excel в документе Word.
Какие именно функции безопасности OLE обходятся не очень понятно. Известно только то, что они "защищают пользователей от уязвимых элементов управления COM/OLE". Однако, судя по названию уязвимости, они как-то связаны с MSHTML - браузерным движком для Microsoft Internet Explorer. Microsoft давно отказались от браузера Internet Explorer, но MSHTML ещё используется в Windows как программный компонент.
Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office / Microsoft 365, на уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер. А что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости? В описании Microsoft есть противоречие. В одном месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: "проманипулировать со специально созданным файлом, но не обязательно кликать или открывать вредоносный файл". Видимо такая неоднозначность результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически.
Пока нет публичного PoC-а, независимого исследования данной уязвимости или сообщений о конкретных атаках, сказать что-то более определенное сложно. Поэтому ждём подробности и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется вживую.
🟥 Positive Technologies относит уязвимость к трендовым.
Уязвимость RCE - Confluence (CVE-2024-21683) c публичным эксплоитами на GitHub. Для эксплуатации требуется аутентификация. Уязвимы и Confluence Data Center, и Confluence Server.
🔻 Версия 8.5.9 LTS, исправляющая уязвимость, вышла 9 мая.
🔻 23 мая, после появление описания уязвимости в NVD и тикета от Atlassian, исследователь Huong Kieu изучил патч, описал уязвимость и сообщил, что у него получилось сделать PoC. В тот же день реализации эксплоита появились на GitHub.
Вероятно Atlassian придерживали информацию об исправлении уязвимости, чтобы больше организаций успели обновиться до начала активной эксплуатации. Правда, у них это не вполне получилось. Видимо они случайно опубликовали тикет 15 мая, а потом убрали до 23 мая. Но поисковик по уязвимостям Vulners всё запомнил. 😉 Так что информация об уязвимости всё это время была доступна. 🤷♂️
Вышла запись вебинара Positive Technologies по безопасности электронной почты и решению PT Knockin. В чём суть сервиса:
🔹 В веб-интерфейсе набираете атаки на ящик электронной почты (on-prem!) вашей организации. Например, письмо с "зловредным" вложением, которое эксплуатирует RCE уязвимость WinRAR (CVE-2023-38831). Открытие архива опасности НЕ несёт, но механизм эксплуатации там как у реального вредоносного ПО. Запускаете отправку писем.
🔹 Открываете почтовый ящик и смотрите какие письма долетели и не были остановлены средствами безопасности почты (например, песочницей).
🔹 Отмечаете в опроснике в каком виде долетели письма: был ли удалён текст письма, было ли изменено или удалено вложение. Если лень руками, можно настроить автоматическую интеграцию.
🔹 Смотрите отчёт, подкручиваете безопасность почты. Повторяете регулярно.
Сервис стоит денег, но можно попробовать бесплатно с ограниченным набором атак. 😉
Канал команды сервиса @knckn. Подписывайтесь!
Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика. Надеюсь, что больше изменений не будет, но если что, отпишу в канал. 🙂 Также можете уточнять в интерактивной программе мероприятия (выделил фильтрами день и трек "Государство").
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.