Диалог напоминает классические диалоги Деленн и Шеридана. 👍 Но Деленн, конечно, должна говорить голосом Миры Фурлан. Иначе что-то не то. Not the one. JMS на тему использования голосов умерших актёров написал в духе, что это неэтично и такой вариант не рассматривался. Но, учитывая текущую зрелость и распространенность голосовых дипфейков (для примера - вот Высоцкий вполне убедительно КиШа поёт), думаю анимированную Деленн с голосом Миры Фурлан мы всё-таки увидим/услышим. 🙂 Хотя бы и в рамках фан-творчества.
PS: С голосовыми дипфейками ситуация на самом деле довольно пугающая, поскольку получить убедительную запись какого угодно текста каким угодно голосом становится всё проще и проще. Хочется надеяться, что правоприменительная практика будет поспевать за техническим прогрессом и к людям, чьи голоса скопировали и использовали произвольным образом, не будут докапываться почём зря.
Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements 00:11 Works faster 01:31 Microsoft ADVs 02:45 Comments Table
TOP 04:09Remote Code Execution – Microsoft Office (CVE-2023-36884) 05:06Security Feature Bypass – Windows SmartScreen (CVE-2023-32049) 05:48Security Feature Bypass – Microsoft Outlook (CVE-2023-35311) 06:37Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874) 07:16Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs 08:10Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350) 09:01Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309) 09:44Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) 10:24Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315) 10:57Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160) 11:42Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
Посмотрел запись онлайн-запуска MaxPatrol VM 2.0 и MaxPatrol HCC. Выписал некоторые тезисы. 🙂
По уязвимостям
В рамках пилотов MaxPatrol VM в организациях находят в среднем ~30к уязвимостей, из них ~50 особо критичных и легко эксплуатируемых.
Главное согласовать SLA на исправление уязвимостей в организации. Идеально укладываться в 24 часа для особо критичных (что и ФСТЭК рекомендует).
Большой акцент на "трендовые уязвимости", которые отбирает и подсвечивает PT на основе пентестов и хитрого анализа данных.
От меня: фокус на собственную приоритизацию сейчас у всех топовых VM-вендоров. Например, Tenable VPR и Qualys TruRisk.Дело хорошее 👍
Информация о трендовых уязвимостях попадает в MaxPatrol VM с минимальной задержкой благодаря архитектурным изменениям в базе знаний. Привели пример кейса по добавлению трендовой уязвимости для софта (22:45), который в MaxPatrol VM вообще не поддерживается (VirtualBox). Если вдруг будет трендовая супер-критичная уязвимость, несмотря на отсутствие поддержки, исследователь добавит её с SLA в 12 часов.
По контролю конфигураций
Новый модуль HCC, лицензируется отдельно. Проблематика - очень много противоречивых требований, соответствовать всему невозможно.
Предлагается следующий процесс:
Этап 1. 1. Определение регламента принятых стандартов. Возможно надергать требований из CIS Benchmarks, чтобы составить свой. 2. Определение правил и задач по работе со стандартом, которые направляются IT-специалисту. 3. Проверка соответствия активов. 4. Проводим troubleshooting, возможно с видоизменением стандарта. 5. Принятие и внедрение стандарта на живую информационную систему. Этап 2. Работа с отчётами по нарушению требований (исправление или корректировка стандартов), разработка новых стандартов.
Сейчас в HCC доступный 17 стандартов PT Essential (44:13). Они разработаны совместно с пентестерами:
Windows Desktop Windows Server Microsoft SQL Server Generic Linux Oracle Database VMware ESXi VMware vCenter Microsoft Exchange RHEL-based Linux HP UX IBM AIX Linux Kernel Docker Cisco IOS Cisco IOS XE Cisco ASA года Cisco Nexus
Можно отслеживать коммуникацию с IT и выполнение установленных сроков в рамках политик.
Отдельного комплаенс сканирования нет, используется та же инвентаризация аудита. Проверки реализованы в виде запросов на собственном языке. Функционально можно сравнить с .audit от Tenable. Есть шансы, что в перспективе дадут делать свои проверки на нем. 😉
Из PT Essentials можно надёргать требований и составить из них свой стандарт.
Подробнее про PT Essential - Linux Kernel
В ядре Linux >30 млн. строк кода, 4000 разработчиков в год участвуют, каждый день 8000 строк меняются. Множество уязвимостей, особенно из-за ошибок доступа к памяти. Уязвимости добавляются быстрее, чем исправляются. Среднее время жизни критической уязвимости в ядре 5,5 лет. Проект Kernel Self Protection Project - "подушка безопасности" для устранения некоторых проблем как класса. Есть карта средств защиты ядра. Стандарт для ядра Linux был реализован с использованием этой карты и собственной дефенс экспертизы. Эти же требования были использованы в стандарте по настройке Linux систем от ФСТЭК. 👍
Методика ФСТЭК по оценке критичности уязвимостей
Теперь официально поддерживается в MaxPatrol VM. Про вопросы к реализации я уже раньше писал, это не silver bullet пока. Но и в таком виде работать в MaxPatrol VM проще, чем считать руками или скриптовать своё. Эта функциональность реализована в виде PDQL фильтра, такие фильтры будут доступны в общей библиотеке.
Добавили интеграцию с LAPS, чтобы избегать компрометации учёток с правами админа на многих хостах.
---
Крутой запуск! Многая лета новому поколению Compliance Management-а в MaxPatrol HCC! Буду активно отслеживать эту тему. 🙂 И не только я. Валерий Ледовской из X-cofig запустил канал по CM и тоже поделился впечатлениями от запуска HCC, зацените и подпишитесь! Взгляд со стороны прямых конкурентов это всегда любопытно. И чем больше будет авторских околоVM-ных каналов, тем лучше. 😉
Послушал эфир Сергея Вильянова с бывшим гендиром российского филиала Acer. Среди прочего, они обсуждали куда с российского рынка делись российские ноутбуки (iRU, Rover и прочее). Ничего сложного. Через жёсткий демпинг их за несколько лет убрали Acer и прочие зарубежные вендоры. А сейчас, абсолютно не стесняясь, об этом подробно рассказывают.
Исключительно российский вендор не может конкурировать при рыночных условиях с вендором, который заваливает этими ноутбуками весь мир. 🤷♂️
Ещё раз подивился тому как сильно по-разному воспринимают реальность обычные люди и гики (особенно гики-безопасники). В мире обычных людей, даже у тех кто вплотную с вычислительной техникой связан, вообще другие характеристики ноутбуков ценятся: красивый дизайн, чтобы работало быстро, было удобненько, экран четенький, чехольчик (!!), а стоило недорого. Какая там импортонезависимость, какая безопасность, НДВ и прочее. Это в лучшем случае есть в нашем мире, деформированных профессионально, и то не у всех, а другие люди в принципе никогда об этом не задумываются.
Поэтому к вопросу "а будут ли в России честные российские ноутбуки с высокой степенью локализации производства"? Вот прям до процессора. В условиях абсолютно свободной конкуренции точно нет. В условиях гарантированного спроса вызванного жёсткими регуляторными требованиями - возможно где-то и будут. Смотря как будут контролировать исполнение этих требований и карать за их обход. Но явно эти устройства будут не у физиков. Цена-качество у таких ноутбуков будет такое, что физики такие устройства будут покупать только если они абсолютные фанатики.
Это как с Ричардом Столлманом, который продолжительное время работал исключительно на дохленьком нетбуке Lemote Yeeloong с опенсурсным BIOS. Вот для него это было важно, а остальное не столь важно. Много ли среди нас Столлманов?
Есть, конечно, вариант, когда других ноутбуков не будет вообще и останутся одни честные отечественные. Но пока в возможность такого верится слабо.
👀 Переходите по ссылке, смотрите и оставляйте свои комментарии. Нам очень важно ваше мнение.
🗣 Гостем выпуска стал Александр Леонов, автор телеграм-канала «Управление уязвимостями и прочее». Эксперт рассказал об особенности VM в России. Как на процесс управления уязвимостями повлияли исход иностранных вендоров, тренд на импортозамещение и нововведения регуляторов."
Выпустил эпизод про июньский Microsoft Patch Tuesday. В целом, совпало с первыми впечатлениями, но добавил спуфинг в OneNote и подсветил уязвимости с "Proof-of-Concept Exploit" в CVSS Temporal. Ну и добавил деталей, как обычно.
———
Hello everyone! This episode will be about Microsoft Patch Tuesday for June 2023, including vulnerabilities that were added between May and June Patch Tuesdays. This time there were only 3 vulnerabilities used in attacks or with a public exploit. And only one of them is more or less relevant.
TOP of the Vulristics report 00:38Memory Corruption – Microsoft Edge (CVE-2023-3079) 01:12Remote Code Execution – GitHub (CVE-2023-29007) 01:40Spoofing – Microsoft OneNote (CVE-2023-33140)
No exploits or signs of exploitation in the wild 03:10Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015) 04:02Remote Code Execution – Microsoft Exchange (CVE-2023-32031, CVE-2023-28310) 05:27Elevation of Privilege – Microsoft SharePoint (CVE-2023-29357)
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.