Microsoft продолжают чудачить

1 комментарий

Microsoft продолжают чудачить. Принесли новую уязвимость. Проигрывание музыкального клипа Janet Jackson - Rhythm Nation (1989) ломает некоторые жесткие диски в некоторых ноутбуках ~ 2005-го года выпуска. Причем не только если клип проигрывается на самом устройстве, но и просто на соседнем устройстве. Есть в этом клипе какие-то частоты, которые с чем-то там в жестком диске резонируют. 😄 Звучит как лютый бред, но вот CVE-шка есть, CVE-2022-38392:

"A certain 5400 RPM OEM hard drive, as shipped with laptop PCs in approximately 2005, allows physically proximate attackers to cause a denial of service (device malfunction and system crash) via a resonant-frequency attack with the audio signal from the Rhythm Nation music video."

Заведена по посту в майкрософтовском блоге. Пишут, что неназванный "major computer manufacturer" зафиксил уязвимость добавлением кастомного аудио-фильтра:

"The manufacturer worked around the problem by adding a custom filter in the audio pipeline that detected and removed the offending frequencies during audio playback."

На самом деле демонстирует отсутствие какого-либо входного барьера при заведении CVE. CVE Numbering Authorities могут завести практически что угодно, с каким-угодно обоснованием, вплоть до совсем анекдотических.

Чуть больше месяца назад на форуме "Иннопром-2022" Евгений Касперский анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям"

2 комментария

Чуть больше месяца назад на форуме "Иннопром-2022" Евгений Касперский анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям". Без технических подробностей и сроков. И вот вчера на форуме "Армия-2022" (!) он выдал некоторые подробности по поводу проекта мобильной ОС. Ясности не особенно прибавило, но если раньше можно было предположить, что это будет чуть допиленный AOSP, то сейчас похоже, что это будет более загадочная штука. И фокус на работе с КИИ.

"Там еще не до конца готов функционал. … Мы писали все с самого нуля, поэтому еще нужно доделывать. Камера не работает. Мы делаем, но это требует времени. Плюс производительность - там еще есть работа, чтобы он работал с той же скоростью, к чему мы привыкли. Там куча всяких технических проблем, с которыми мы потихонечку справляемся. Когда мы его покажем и скажем, что вот, готово - не знаю"

"При этом мы не рассматриваем его как замену обычному смартфону. Все-таки это больше для работы с критической инфраструктурой. … Современность требует того, чтобы управлять инфраструктурой можно было и удаленно. Поэтому требуется устройство, которое будет гарантируемо невзламываемо. Поэтому мы делаем такое устройство, у которого будет достаточно ограниченный функционал. Там не будет App Store, там не будет фишек, которые все любят на смартфонах, но это будет штука, которой можно будет безопасно управлять условной турбиной"

Можно ли на основе этого предположить, что на смартфоне будут запускать ту самую кибериммунную KasperskyOS с некоторым графическим интерфейсом? Было бы логично и круто, но пока кажется, что все же нет, это будет другой проект. Если бы да, то не было бы смысла об этом умалчивать, а наоборот было выгодно это всячески подчеркивать, чтобы привлечь внимание к существующим проектам на KaspoerskyOS. Так ведь?

Также не факт, что этот смартфон для КИИ и общедоступная "операционная система для компьютеров и смартфонов" это один и тот же проект.

И даже если защищенный смартфон от ЛК в обозримом будущем появится, не факт что его дадут приобрести физикам. Вполне может быть как с Аврора ОС, которая сейчас позиционируется как "Корпоративная. Защищенная. Своя." и устройства с ней вроде как есть, но "поставляются только юридическим лицам". И возможно это даже оправдано. Кому хочется разгребать негатив от неадекватных пользователей, который купили устройство без понимания зачем оно им. Всякое такое: "почему так дорого, если на али такое же с Андройдом в 2 раза дешевле", "почему так медленно", "почему так мало приложений", "почему камера не как в айфоне". Это понятно. Но то, что при этом и гиков оставляют за бортом как-то грустненько. 🙂

Поделюсь свежими впечатлениями после мероприятия Код ИБ Безопасная Среда "Управление уязвимостями"

1 комментарий

Поделюсь свежими впечатлениями после мероприятия Код ИБ Безопасная Среда "Управление уязвимостями". Было круто, всем спасибо. мне всё понравилось. 🙂 Разом +50 подписчиков в телеграмм канал @avleonovrus тоже неплохо так. Добро пожаловать и спасибо за подписку!

1. По структуре мероприятия. По-моему, довольно удачно получилось совместить интересы спонсора, уважаемой компании Spacebit представляющей новое решение по контролю безопасности конфигураций X-Config, и при этом пройтись по всем болевым точкам Vulnerability Management процесса. Тема контроля мисконфигураций мне очень близка. В начале своей профессиональной деятельности я 3 года писал в Positive Technologies проверки по Nix-овым CIS-бенчмаркам для MaxPatrol 8. Я выступаю за то, чтобы критичные мисконфигурации рассматривались как уязвимости и с ними работали в рамах общего VM процесса. Не так часто удается подсветить именно эту тему с контролем конфигураций, а в рамках этого мероприятия это было более чем органично. За что Spacebit и Код ИБ большое спасибо!
2. Хорошо прошлись по теме того, что в тех же CIS Benchmarks зачастую зафиксированы требования, которые на реальную защищенность влияют примерно никак. Кажется, нам нужны стандарты получше, в которых будет меньше требований, но все они будут подробно и убедительно обоснованы с точки зрения противодействия атакующим.
3. Прошлись по уязвимостям, которые часто используются в атаках. Я вкинул недавнюю статистику Palo Alto. Словил критику от коллег, что, по их мнению, компании в основном ломают через веб и опять-таки мисконфиги, а не инфраструктурные уязвимости. А если не брать периметр, то через фишинг. Спорить не буду. Статистикой можно крутить как угодно, и она будет зависеть от экспертизы конторы, которая исследования проводит.
4. Я как обычно слегка эпатажно выступал за то, что приоритизировать уязвимости вообще не нужно, а нужно патчить всё. В идеале. Потому что данные по уязвимостям у нас неполные и нет достаточных оснований, чтобы наплевать на рекомендации вендора, которые он дал, включив уязвимость в бюллетень безопасности. Но если патчить всё невозможно, то, конечно, можно и пориоритизировать учитывая всякие разные факторы. Но моё мнение, что обязательно нужно подчеркивать — это не норма, это вынужденная мера, вызванная невозможностью запатчить всё, что нужно. А почему запатчить всё невозможно? Почему это вызывает боль? Это подводит нас к зрелости процесса патчинга, к размышлению о том, как его правильно организовать и автоматизировать.
5. Очень здорово, что мы коснулись Asset Management процесса, без которого нет смысла ни контролировать мисконфигурации, ни уязвимости. Иначе мы просто будем оставлять без внимания самое адище, которым обязательно воспользуются злоумышленники. Я под это дело добавил и про то, что нужно понимать не только какие хосты у нас есть, но и то какие софты у нас используются и как они установлены. Это для того, чтобы выяснить, желательно ещё на уровне пилота, а умеет ли VM решение детектировать уязвимости для этих софтов или нет. А если какие-то софты не поддерживаются, то нужно думать, как и чем это компенсировать. Очень доволен, что удалось вставить про полноту баз знаний VM-решений и высказаться достаточно подробно.
6. Непосредственно по теме взаимодействия ИТ и ИБ мне высказаться не удалось, очередь не дошла. Но я, конечно, за крепкую дружбу и сотрудничество. Как Кирилл Ермаков очень правильно сказал, "мы (ИБшники) на самом деле те же самые ITшники" просто у нас чуть-чуть другой фокус и специализация. Мы в одной лодке, должны говорить на одном языке и стараться друг другу облегчить жизнь. А если будет вражда, то есть сотни способов саботажа ИБ процесса со стороны IT. Это никому не понравится.

Вот это, наверное, основное, что запомнилось и на что хотелось бы обратить внимание. Может ещё что-то вспомню, когда будет видео. Обещают на следующей неделе.

Это второй выпуск Vulnerability Management news and publications

Добавить комментарий

Это второй выпуск Vulnerability Management news and publications. В этот раз меньше цитат из новостных статей, больше моих мыслей. Выглядит вроде получше, вам как?

Основная мысль этого эпизода. Microsoft это ангажированная компания. Фактически их можно теперь воспринимать как ещё одно американское агентство. Значит ли это, что нам нужно о них забыть и прекратить отслеживать, что они делают? Нет, не значит. Они делают много интересных вещей, которые как минимум можно исследовать и копировать. Значит ли это, что нужно отказаться от использования продуктов Microsoft? В некоторых локациях (вы сами знаете каких) точно да, в некоторых можно продолжать использовать, если это оправдано, но нужно иметь план Б. И это касается не только Microsoft. Т.е. видится гибкий подход. Здесь - поступаем так, там - по-другому. Кажется, что довольно жесткая фрагментация рынка IT это долгосрочный тренд и надо к нему приспосабливаться.

В этом эпизоде:

01:03 Microsoft выпустили пропагандистский отчет, что это значит для нас?
06:48 Microsoft выпустили функцию Autopatch, стоит ли ее применять?
09:59 Нелепая уязвимость: захардкоженный пароль в Confluence Questions
11:50 Новый Nessus Expert и почему это, по-видимому, худший релиз Tenable
13:20 Новые фичи Rapid7 Nexpose/InsightVM, добавленные во втором квартале 2022 года: хорошее и странное
16:46 Palo Alto: вредоносное сканирование через 15 минут после публикации CVE. Да неужели?
19:36 6 групп уязвимостей, которые чаще всего используются в атаках, согласно Palo Alto, и конец ИТ-глобализации

Video: https://youtu.be/_waOzdBvIyU
Video2 (for Russia): https://vk.com/video-149273431_456239097
Blogpost: https://avleonov.com/2022/08/14/vulnerability-management-news-and-publications-2/

В следующую среду, 17 августа, собираюсь участвовать в ток-шоу КОД ИБ "Безопасная среда"

3 комментария

В следующую среду, 17 августа, собираюсь участвовать в ток-шоу КОД ИБ Безопасная средаВ следующую среду, 17 августа, собираюсь участвовать в ток-шоу КОД ИБ Безопасная среда

В следующую среду, 17 августа, собираюсь участвовать в ток-шоу КОД ИБ "Безопасная среда". Выпуск будет про управление уязвимостями и мисконфигурациями. Компания подбирается очень приятная. 🙂 Должно получится интересно, регаться сюда.

Давайте глянем что там в августовском Microsoft Patch Tuesday

2 комментария

Давайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch TuesdayДавайте глянем что там в августовском Microsoft Patch Tuesday

Давайте глянем что там в августовском Microsoft Patch Tuesday. 147 уязвимостей.

Urgent: 1
Critical: 0
High: 36
Medium: 108
Low: 2

Есть супер-экшн:

Remote Code Execution - Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-34713) - Urgent [843]. Это один из вариантов уязвимости "DogWalk". Эксплуатируется при открытии файла, обычно Microsoft Word. Т.е. залетит через фишинг. Тут и функциональный эксплоит (где-то) есть, и признак активной эксплуатации вживую. Похожую уязвимость уже фиксили в мае. То ли не дофиксили, то ли похожую нашли. Эксплоита в паблике пока нет.

Есть критичное:

Elevation of Privilege - Microsoft Exchange (CVE-2022-21980) - во первых на периметре торчит, во вторых атакующий сможет читать все письма на сервере и отправлять. Хорошо, что пока эксплоита нет. Хороший пример, что на EoP-ки тоже можно обращать внимание.

Есть потенциально интересное:

Remote Code Execution - Windows Point-to-Point Protocol (PPP) (CVE-2022-30133) - тут советуют трафик по порту 1723 поискать
Remote Code Execution - Windows Secure Socket Tunneling Protocol (SSTP) (CVE-2022-35766) - тоже не так часто в этом протоколе находят
Remote Code Execution - SMB Client and Server (CVE-2022-35804) - здесь естественно сразу вспоминают про MS17-010
Remote Code Execution - Visual Studio (CVE-2022-35827) - таких 3 и есть Proof-of-Concept Exploit, в таргетированном фишинге на разрабов может сработать?
Elevation of Privilege - Active Directory (CVE-2022-34691) - до System можно поднять права. Нужно, чтобы были запущены Active Directory Certificate Services

Есть стандартное, регулярно встречающееся в MSPT, но до реальной эксплуатации обычно не доходит:

Remote Code Execution - Windows Network File System (CVE-2022-34715)
Elevation of Privilege - Windows Print Spooler (CVE-2022-35793)

Есть курьёзы:

Vulristics внезапно подсветил уязвимость Memory Corruption - Microsoft Edge (CVE-2022-2623), потому что для неё есть публичный эксплоит. Оказалось, что тут ошибка в базах эксплоитов, сразу в двух 0day(.)today и packetstorm. Вместо CVE-2022-26233 по ошибке прописали CVE-2022-2623. И такое тоже бывает и никто это не проверяет. К слову о мнимой всесильности автоматической приоритизации уязвимостей по замусоренным данным.

Denial of Service - Microsoft Outlook (CVE-2022-35742) - вредоносное письмо намертво убивает Outlook, рестарт не помогает

Есть загадочное:

CERT/CC: CVE-2022-34303 Crypto Pro Boot Loader Bypass
CERT/CC: CVE-2022-34301 Eurosoft Boot Loader Bypass
CERT/CC: CVE-2022-34302 New Horizon Data Systems Inc Boot Loader Bypass

Во-первых они пришли по линии американского CERT Coordination Center. Во-вторых, по ним никто ничего не пишет, только Qualys. "security bypass vulnerabilities in a third-party driver affecting Windows Secure Boot". В-третьих, может это конечно совпадение и речь о других софтах, но Crypto Pro это не российский ли КриптоПро? А Eurosoft это не российский ли Еврософт "программное средство в области архитектурного проектирования и дизайна"? В общем, сигнальчик любопытный.

Полный отчет Vulristics: https://avleonov.com/vulristics_reports/ms_patch_tuesday_august2022_report_with_comments_ext_img.html

Продолжаю про новый китайский Linux дистрибутив openKylin

1 комментарий

Продолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylinПродолжаю про новый китайский Linux дистрибутив openKylin

Продолжаю про новый китайский Linux дистрибутив openKylin. У них наконец-то заработал официальный сайт. И с этого официального сайта получилось скачать openKylin-0.7-x86_64.iso от 22 июля. Поставил вчера, немного поигрался.

Миленький такой десктопный дистрибутивчик. С китайским языком проблем нет. Нужно на стартовом экране выбрать вторую сверху опцию ("установка"), выбрать нужный язык и дальше все будет переведено. Для автоматической разбивки размер диска должены быть как минимум 50 Гб, иначе руками. При установке нельзя выбрать конфигурацию, десктопная конфигурация ставится полностью.

У openKylin 0.7 кодовое имя "yangtze" (где-то c g, где-то без g, "yantze") , видимо дальше тоже пойдут по рекам. 🙂 В качестве DE используется UKUI (форк MATE Desktop Environment), так же как в Ubuntu Kylin. Из необычного, в качестве офисного пакета ставится проприетарный WPS Office. Guest Additions для VirtualBox поставились без проблем.

В целом, вполне юзабельно. Жить можно. Насколько все это в итоге отличается Ubuntu Kylin сказать не берусь, но очень похоже на обычный deb-based дистрибутив. Упоминания Ubuntu и Debian из основных мест поубирали, но в конфигах они конечно встречаются. Версии пакетов отличаются от Ubuntu и Debian, поэтому возможно и сами собирают.