Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)

Добавить комментарий

Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)

Про уязвимость Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468). Уязвимость из октябрьского Microsoft Patch Tuesday 2024 года. Microsoft Configuration Manager (ConfigMgr) используется для управления большими группами компьютеров: удаленного контроля, патчинга, развертывания ОС, установки ПО, и т.д.

Согласно описанию Microsoft, уязвимость позволяла неаутентифицированному злоумышленнику выполнять команды на уровне сервера или БД через специальные запросы к Management Point.

Эксперты Synacktiv раскрыли подробности через 100 дней после октябрьского MSPT - 16 января. Проблема была в сервисе MP_Location, который небезопасно обрабатывал клиентские сообщения. Это позволило реализовывать SQL-инъекции и выполнять произвольные запросы к БД с максимальными правами. В том числе выполнять команды на сервере через xp_cmdshell. 🤷‍♂️

Публичные эксплоиты доступны на GitHub. Сообщений об эксплуатации вживую пока не было.

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги

Добавить комментарий

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги. Имею сказать следующее.

1. Никто не застрахован. Обвинять жертву неправильно. Системная проблема требует системного решения.

2. Такие кейсы бьют не только по кошельку жертвы, но и по имиджу компании, сотрудник которой стал жертвой. Компаниям нужно развивать awareness. Наряду с антифишинговыми рассылками привычными должны стать антивишинговые звонки.

3. "В любой непонятной ситуации информируй непосредственного руководителя и службу безопасности компании!" Это должно быть на подкорке, 24/7. Сначала проинформировать работодателя, получить одобрение и лишь потом что-то предпринимать.

4. Возраст человека и его высокое положение в корпоративной иерархии - факторы риска. Максимальное внимание и заботу нужно проявлять к тем, кто является наиболее интересной целью для злоумышленников.

5. Телефонная связь - главный инструмент мошенников. С особой осторожностью следует относиться к звонкам с незнакомых номеров.

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям

Добавить комментарий

Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям. Записал выпуск специально для подписчиков Телеграм-канала @avleonovrus «Управление Уявзимостями и прочее». 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Приветствие
🔻 00:28 Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)
🔻 01:30 Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)
🔻 02:37 Remote Code Execution - Apache Struts (CVE-2024-53677)
🔻 03:31 Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)
🔻 04:44 Трендовые уязвимости 2024 года

👾 08:10 Маскот канала 😅

24 февраля приму участие в конференции "INFOSTART TEAMLEAD & CIO EVENT 2025"

Добавить комментарий

24 февраля приму участие в конференции INFOSTART TEAMLEAD & CIO EVENT 2025

24 февраля приму участие в конференции "INFOSTART TEAMLEAD & CIO EVENT 2025". Кажется, впервые буду выступать на преимущественно неИБ-шном мероприятии. 🙂 Конференцию организует Инфостарт - компания, которая занимается автоматизацией на 1C и поддерживает сообщество 1С-специалистов, насчитывающее 1,5 млн участников. 🤯 Совершенно другой мир и другая аудитория. 🤩

Буду рассказывать про Базовую оценку состояния Управления Уязвимостями. В рамках подготовки доклада соберу все свои посты на тему БОСПУУ из канала в драфтовую версию руководства по БОСПУУ. 😉

Выступать буду в первый день конференции, 24 февраля, в 14:20. Площадка знакомая - ЦМТ. Конгресс-зал 2. 🙂

Upd 13.02. Поменялось время и зал!

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411)

Добавить комментарий

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411)

Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411). 7-Zip - популярный бесплатный архиватор с открытым исходным кодом. Он широко используется в организациях в качестве стандартного средства для работы с архивами.

Уязвимость заключается в обходе механизма Mark-of-the-Web.

🔹 Если вы в Windows скачаете подозрительный исполняемый файл и запустите его, то функция SmartScreen Microsoft Defender-а отработает и заблокирует запуск файла из ненадёжного источника.

🔹 А если вы скачаете 7z архив, содержащий вложенный 7z архив со зловредом, то сможете в три дабл-клика запустить исполняемый файл и SmartScreen не сработает. 🤷‍♂️ Причина в том, что 7-Zip до версии 24.09, вышедшей 30 ноября 2024 года, некорректно проставлял метку Mark-of-the-Web на распакованные файлы. На GitHub есть пример эксплоита.

Признаков эксплуатации уязвимости вживую пока нет. Но, скорее всего, они появятся, так как это простой способ повысить эффективность фишинговых атак. Обновите 7-Zip!

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации

Добавить комментарий

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации. Тестирование проводили специалисты компании "Базис", ИСП РАН и испытательной лаборатории "Фобос-НТ" на стенде Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Студенты МГТУ им. Баумана и ЧГУ помогали с разметкой данных и настройкой целей для фаззинга.

Проверяли nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделяли libvirt.

Всего выявили 191 дефект:

🔹 178 нашли SAST-ом (больше всего в ActiveMQ Artemis и Apache Directory)

🔹 13 нашли фазингом (в Apache Directory LDAP API и libvirt)

Исправления интегрировали в основные ветки проектов.

Инициатива классная. 👍 Но было бы неплохо, конечно, узнать какие из этих детектов являются эксплуатабельными уязвимостями и проконтролировать, что фиксы уязвимых компонентов дошли до связанных сертифицированных продуктов в адекватные сроки. 😉

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591)

Добавить комментарий

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591)

Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591). Уязвимость позволяет удаленному злоумышленнику получить привилегии суперадминистратора с помощью специальных запросов к модулю Node.js websocket. Уязвимости подвержены сетевые устройства Fortinet под управлением FortiOS (включая FortiGate NGFW), а также решения FortiProxy.

🔹 10 января Arctic Wolf сообщили об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. 👾 Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.

🔹 14 января вышел бюллетень вендора. Уязвимость добавили в CISA KEV.

🔹 С 21 января на GitHub доступен публичный эксплойт.

🔹 По состоянию на 26 января Shadow Server фиксируют около 45 000 уязвимых устройств, доступных из Интернет.

Вендор рекомендует обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).