Архив рубрики: Уязвимость

Ноябрьский Microsoft Patch Tuesday

Добавить комментарий

Ноябрьский Microsoft Patch Tuesday

Ноябрьский Microsoft Patch Tuesday. 125 CVE, из которых 35 были добавлены с октябрьского MSPT. 2 уязвимости с признаками эксплуатации вживую:

🔻 Elevation of Privilege - Windows Task Scheduler (CVE-2024-49039)
🔻 Spoofing - Windows NTLM (CVE-2024-43451)

Без признаков эксплуатации, но с приватным PoC-ом эксплоита:

🔸 Remote Code Execution - Microsoft Edge (CVE-2024-43595, CVE-2024-43596)
🔸 Authentication Bypass - Azure Functions (CVE-2024-38204)
🔸 Authentication Bypass - Microsoft Dataverse (CVE-2024-38139)
🔸 Spoofing - Microsoft Exchange (CVE-2024-49040)

Из остальных можно выделить:

🔹Remote Code Execution - Windows Kerberos (CVE-2024-43639)
🔹Elevation of Privilege - Windows Win32k (CVE-2024-43636)
🔹Elevation of Privilege - Windows DWM Core Library (CVE-2024-43629)
🔹Elevation of Privilege - Windows NT OS Kernel (CVE-2024-43623)

🗒 Полный отчёт Vulristics

VM Dev Tasks: Разработка консольной утилиты - сканера уязвимостей

Добавить комментарий

VM Dev Tasks: Разработка консольной утилиты - сканера уязвимостей

VM Dev Tasks: Разработка консольной утилиты - сканера уязвимостей. Сканер уязвимостей взаимодействует с сетевыми хостами в инфраструктуре организации и определяет для них известные (CVE, БДУ) уязвимости. Взаимодействие может подразумевать выполнение команд на самом хосте (подключение к установленному на хосте агенту или безагентное подключение по SSH, WinRM и т.д.) или не подразумевать этого (взаимодействие с сервисами на открытых портах хоста).

В рамках проекта потребуется реализовать:

🔹 парсеры для источников информации об уязвимостях для некоторого набора софтов/ОС/сетевых устройств (лучше выбирать не самое очевидное и распространённое, но при этом востребованное); на основе этой информации сгенерировать формальные правила детектирования уязвимостей (например, на языке OVAL)
🔹 скрипты инвентаризации состояния хоста
🔹 скрипты детектирования уязвимостей по сгенерированным ранее правилам

В идеале попробовать реализовать генерацию правил детектирования с помощью LLM.

В Штатах победил Трамп, но, имхо, для нашего дела это мало чего изменит

Добавить комментарий

В Штатах победил Трамп, но, имхо, для нашего дела это мало чего изменит

В Штатах победил Трамп, но, имхо, для нашего дела это мало чего изменит. Будь там хоть Трамп, хоть Харрис, хоть Байден, хоть сам чёрт лысый. 😈

🔻 Как использовали США свой взращённый нерыночными методами бигтех как инструмент глобального доминирования, так и будут использовать. Как распространяли NSA-ные закладки под видом уязвимостей, так и продолжат распространять. Новые "оспенные одеяла" для нового времени. 🤷‍♂️

🔻 Наиболее негативным сценарием сейчас, как ни парадоксально, было бы снятие всех ограничений со стороны США и схлопывание импортозамещения у нас. Думаю, что это очень маловероятно. Памятуя о первой каденции Трампа, стоит ждать усиления санкционных ограничений в области экспорта IT-продуктов и сервисов. 🌚

🔻 Бардака в NVD, при Трампе, конечно, было куда меньше. Но и обещаний навести там порядок за 2 дня никто не озвучивал. 😅 Так что в части американской инфраструктуры для описания и оценки уязвимостей ничего кроме дальнейшей деградации я не жду.

Возможно ли использовать AI для детектирования уязвимостей?

Добавить комментарий

Возможно ли использовать AI для детектирования уязвимостей?

Возможно ли использовать AI для детектирования уязвимостей? Думаю да, но тут нужно определиться, что мы под этим понимаем.

🔻 Если речь идёт об обнаружении ранее неизвестных уязвимостей, о ресёрче, то здесь AI инструменты работают уже сейчас. Буквально на днях, 1 ноября, исследователи из Google Project Zero обнаружили первую реальную эксплуатабельную уязвимость с помощью своего LLM проекта Big Sleep. Это была stack buffer underflow в SQLite. Очень круто и многообещающе. 👍

🔻 Если же речь идёт об известных (CVE) уязвимостях, то задача сводится к генерации чётких правил их детектирования в инфраструктуре. AI должен взять на вход имя продукта и вендора, обнаружить источник данных об уязвимостях, понять структуру данных и как можно из них сгенерировать формальные правила для детектирования (например, на языке OVAL), произвести генерацию и оценить корректность правил. Не выглядит как что-то невероятное, но практических реализаций этого я пока не встречал. 🤷‍♂️

На предложение спрашивать с вендоров за уязвимости можно возразить, что они просто начнут свои уязвимости замалчивать

Добавить комментарий

На предложение спрашивать с вендоров за уязвимости можно возразить, что они просто начнут свои уязвимости замалчивать

На предложение спрашивать с вендоров за уязвимости можно возразить, что они просто начнут свои уязвимости замалчивать. И сейчас отечественные вендоры не любят сообщать об уязвимостях в своих продуктах, а так совсем ягнятки замолчат. 🤐

И тут я сформулирую предложение, без которого первое не работает. Если вендор знает об уязвимости в версии своего продукта, используемой у клиентов, и этот факт замалчивает, то это должно классифицироваться как КРАЙНЕ серьёзное нарушение. Если такая ситуация вскрывается, то

🔹 сертификат продукта должен отзываться, лицензия вендора анулироваться, назначаться крупный штраф

🔹 ответственный (гендир) должен лично нести за это уголовную ответственность

По какой статье? Имхо, стоит расширить 274.1, т.к. такое замалчивание создаёт риски для КИИ.

Следует сделать так, чтобы между публикацией информации об уязвимости (и последующим объяснением с регулятором) и замалчиванием вендору ВСЕГДА рационально было бы сделать выбор в пользу первого.

Как сделать так, чтобы вендоры отвечали за уязвимости в их продуктах?

Добавить комментарий

Как сделать так, чтобы вендоры отвечали за уязвимости в их продуктах?

Как сделать так, чтобы вендоры отвечали за уязвимости в их продуктах? Как по мне, рыночные механизмы здесь не работают. 🤷‍♂️ Работают только регуляторные и только в контексте сертифицированных решений. Только отзыв сертификата существенно влияет на бизнес вендоров. 😏

"Если б я был султан", в случае обнаружения критичной уязвимости в сертифицированной версии ПО требовал бы, чтобы

🔻 вендор объяснил, как уязвимость туда попала, с учётом реализованных процессов безопасной разработки

🔻 испытательная лаборатория объяснила, почему уязвимость не была обнаружена в ходе работ по сертификации

А дальше пусть комиссия регулятора решает, что делать и с этим вендором, и с этой лабораторией. 😈

Я бы с большим интересом почитал отчёты о том, что сертифицированное решение оказывается зависимым от уязвимостей в западных компонентах, а испытательная лаборатория не может эффективно выявлять какие-то типы уязвимостей. 😏 Пара громких кейсов изменят ситуацию в индустрии к лучшему.

А почему компании-вендоры лепят продукты из кишащего уязвимостями недоверенного опенсурса и это их ничуть не напрягает? Просто их прибыль не зависит от уязвимостей примерно никак

Добавить комментарий

А почему компании-вендоры лепят продукты из кишащего уязвимостями недоверенного опенсурса и это их ничуть не напрягает? Просто их прибыль не зависит от уязвимостей примерно никак

А почему компании-вендоры лепят продукты из кишащего уязвимостями недоверенного опенсурса и это их ничуть не напрягает? Просто их прибыль не зависит от уязвимостей примерно никак. Для них важно, чтобы фичи для решения бизнес-задач клиентов появлялись в продукте быстро и с минимальными затратами на ФОТ. А если это можно получить сразу, бесплатно и легально за счёт опенсурсного кода - это ж просто праздник какой-то! Практически деньги из воздуха! 💰🤑 А то, что в этом софте будут находить уязвимости или даже закладки, так и что с того? Надо будет - запатчат.

Быстро поднятое упавшим не считается!

Удобное положение вещей: выпущенное обновление искупает факт наличия уязвимости. Какая бы позорная она не была! Даже если она эксплуатировалась как 0day! Было и было. 🤷‍♂️

Ставьте обновления, господа клиенты. Хоть по 10 раз на дню. 😏 И не рефлексируйте.

Пока факт наличия уязвимости в продукте стоит вендорам примерно 0, ситуация не изменится. Издержки продолжат нести клиенты. 🤷‍♂️