Сегодня осознал, что мои отсылки могут быть непонятны. 😅 В разговоре проскочило про "звёзды ИБ" и я на автомате выдал "готовиться надо ко встрече со звездой". В ответ непонимание. 😳 Пришлось пояснять, что был такой старый мем с Киркоровым. 🤦♂️ Потом посмотрел когда ж Бедросович это отчебучивал. 2004 год, 20 лет назад! Многие коллеги тогда ещё не родились или были совсем маленькими. 🤷♂️🙂 Вот так оно и начинается…
На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу. Выплаты за критикал до миллиона рублей. Для удобства есть доступный из интернет сервак (нужно только в /etc/hosts прописать).
В описании программы есть закрытый список из 10 пунктов за что вознаграждение НЕ выплачивается. По этим пунктам и так интуитивно понятно, что такое слать не нужно, но люди находятся. 🤷♂️ За остальное может выплачиваться. Даже за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), но, по умолчанию, по минимальной границе.
В правилах и требованиях к отчёту тоже вроде всё по делу и ничего сверхестественного нет.
Программу запустили в прошлую среду, уже 3 отчёта сдано.
Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит. В режиме Пентест тоже, но это, имхо, чуть меньше впечатляет.
Казалось бы, а чего такого? Тот же Nessus ставится на Linux и сканирует Windows. Или апплаенс Qualys-а тоже не на винде работает. 🤔
Но для того, чтобы это реализовать нужно в Linux-овый сканер добавить транспорты для сканирования Windows (как минимум NetBIOS, SMB). А когда у вас десятилетиями сканер был исключительно виндовый, то считай транспорты нужно реализовать заново без использования платформозависимых библиотек. 🤷♂️ А потом тщательно протестировать, что всё работает.
Поэтому, когда отечественные VM-вендоры будут вам говорить, что они могут сканировать Linux-овым сканером Windows хосты, уточняйте речь только об агентном сканировании (сделать гораздо проще) или о безагентном тоже.
Агентно MaxPatrol VM может сканировать через EDR агенты.
Повышение критичности для Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-36424): 3 дня назад на GitHub появился технический анализ и код эксплоита.
Уязвимость из ноябрьского Microsoft Patch Tuesday. На момент выхода уязвимость никто не выделял, только Qualys мельком упомянули. 🤷♂️
👾 Сообщений об эксплуатации вживую пока нет, но теперь видимо ждём.
Для SQLi/RCE уязвимости FortiClientEMS (CVE-2023-48788) появился PoC и Fortinet отметили, что уязвимость эксплуатируется вживую. Write-up c PoC-ом выпустили исследователи из Horizon3AI.
"FortiClient Enterprise Management Server — централизованный сервер, предназначенный для управления программами FortiClient, установленными на контролируемых рабочих станциях. Он позволяет распространять необходимые настройки FortiClient (антивируса, веб фильтрации, телеметрии, контроля съемных устройств) на все подключенные к нему рабочие станции."
🇷🇺 В России это должен быть редкий зверь, но, судя по статьям на русском, где-то его всё-таки внедряли.
📊 Согласно ShadowServer, в Интернет торчит немного уязвимых серверов. Всего 130, больше всего в США (30) и Китае (11). Но возможно это ещё неполные результаты. Судя по графикам, они начали детектить эту уязвимость только с 22 марта.
У февральской RCE уязвимости в Outlook (CVE-2024-21378) повысилась критичность, но об этом не особо пишут. 🤷♂️ 11 марта вышел write-up от компании NetSPI. Пишут, что эта уязвимость была ими обнаружена в 2023 году. 29 сентября они сообщили о ней в Microsoft (получается MS фиксили её 4,5 месяца). В статье приводится PoC. Кроме того, они обещают добавить эксплуатацию в опенсурсную утилиту Ruler.
"Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.
Основная цель утилиты абьюзить client-side функции Outlook и получить удалённый шелл."
Эксплуатация уязвимости немного усложняется тем, что злоумышленник должен иметь валидную пользовательскую учётку Exchange.
Если вы вдруг ещё не устанавливали февральские обновления Microsoft, обязательно займитесь. Тем более, в феврале была ещё одна RCE в Outlook с публичным эксплоитом (CVE-2024-21413).
По поводу последнего яростно заминусованного поста мне в личку написали несколько человек, что я не прав: тайна переписки важнее безопасности и дело вовсе не в Телеграм. А дело в ошибках допущенных специальными службами. Мол, проспали такие мощные приготовления и т.д.
🔹 Я не берусь судить о работе специальных служб, т.к. ничего в этом не понимаю. Я только обращаю внимание, что все эти приготовления где-то координировались. И задержанные уроды заявляют, что в Telegram. 🤷♂️
🔹 По поводу того, что тайна переписки важнее безопасности. Я не юрист и опять же мало в этом понимаю, но вот почему-то американцы после 11 сентября 2001 года решили, что недостаточный контроль за частными коммуникациями это ключевая проблема и приняли Patriot Act. А затем отслеживали сообщения в Hotmail (Microsoft), Google Mail, Yahoo!, YouTube, Skype, AOL, Apple, Paltalk (и в ещё одной сверхпопулярной соцсети, которую я предпочту не называть) через программу PRISM. Вроде как это повысило эффективность работы NSA. Вот вы как считаете, американцам можно контролировать коммуникации, а нашим нельзя? Я вот считаю, что у наших должны быть средства контроля не хуже, чем у американцев.
🔹 Конечно есть отдельные западные диссиденты типа Ассанджа или Сноудена, которые эти американские программы критикуют. Я не западный диссидент и их идеалистическая позиция мне не близка. У меня претензия только в том, что к этим пользовательским данным имеют доступ американские специальные службы, а наши нет. Несправедливо. Но с другой стороны что удивляться, если это ИХ сервисы. Кто девушку ужинает, тот её и танцует.
🔹 В целом, я за то, чтобы у наших правоохранителей был весь нужный им арсенал средств для эффективной работы. Достаточен ли он сейчас? Не знаю, но надеюсь, что да. Если недостаточен, то мне кажется следует принимать меры, чтобы был достаточен. Я бы это приветствовал.
🔹 Можно возразить: ну, допустим, будет у злодеев не Телеграм, а какие-то супер-мега приватные приложения или даже что-то самописное работающее поверх традиционных каналов. Допустим. Но как и в ИБ цель не в том, чтобы сделать атаку невозможной, а чтобы максимально её усложнить, сделать как можно дороже. А приватные мессенджеры могут быть и фейковыми, как в случае с ANOM.
———
В завершение могу сказать только то, что я пишу здесь это моя личная рефлексия на произошедший ужас и кошмар. 😔😰 Кто уж как справляется, не судите строго.
Допускаю, что и сам мог быть на этом концерте Пикника, люблю эту группу. У них есть одна песня, текст которой звучит сейчас особенно жутко:
Из огня в огонь, из слова в слово
Душа душу зажигает.
В небесах охрипший ветер
Отпеванье начинает.
…
Ты огнем согреешь землю,
Все живое обновляя,
И в ночи рассвет разбудишь,
В небе солнце заменяя.
И познав все тайны жизни
Ты откроешь дверь вселенной…
Вспомню я свою молитву
За невинно убиенных.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.