Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071)

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071)

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071). Уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Спустя неделю, 18 марта, в блоге исследователя 0x6rss вышел write-up по этой уязвимости и PoC эксплоита. По его словам, уязвимость активно эксплуатируется вживую и, возможно, эксплойт для этой уязвимости продавался в даркнете с ноября прошлого года.

В чём суть. Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удалённую SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2 хеш, побрутить его или использовать в атаках pass-the-hash.

Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно.

Супер-эффективно для фишинга. 😱

Евгений Баклушин выложил у себя

Евгений Баклушин выложил у себя

Евгений Баклушин выложил у себя папку Телеграм-каналов по ИБ. Там каналы (15 шт.), которые он читает без пропусков: авторские блоги и одно СМИ. Очень приятно, что "Управление Уязвимостями и прочее" там тоже есть. 😇

✅ Проштудировал папку, подписался на четыре канала, о которых раньше не знал. Подборка отличная. 👍

➡️ Добавляйте себе и скидывайте коллегам. 😉

Про уязвимость Remote Code Execution - SINAMICS S200 (CVE-2024-56336)

Про уязвимость Remote Code Execution - SINAMICS S200 (CVE-2024-56336)

Про уязвимость Remote Code Execution - SINAMICS S200 (CVE-2024-56336). SINAMICS S200 - система сервоприводов для высокодинамического управления движением, разработанная компанией Siemens. Эта система может использоваться, например, для работы с деталями: их позиционирования в процессе сборки, перемещения в конвейерных системах, высокоточной обработки.

Суть уязвимости в том, что загрузчик устройства разблокирован (unlocked bootloader), что позволяет проводить инъекцию вредоносного кода и устанавливать недоверенную (и вредоносную) прошивку. Эксплуатируя уязвимость, злодеи могут реализовывать разнообразные диверсии.

Siemens патчи (пока?) не выпустили. Рекомендуют "защищать сетевой доступ к устройствам с помощью соответствующих механизмов". 😉

Признаков эксплуатации вживую и готовых эксплоитов пока нет. Уязвимость подсветили в бюллетене CISA и добавили в БДУ ФСТЭК (может косвенно свидетельствовать об использовании SINAMICS S200, на российских предприятиях).

О сравнении VM-продуктов

О сравнении VM-продуктов

О сравнении VM-продуктов. Имхо, сравнение VM-продуктов по опросникам, а-ля Cyber Media, это, конечно, лучше, чем ничего, но не сказать, что особенно полезно. 🤷‍♂️

🔻 В таких сравнениях обычно уделяют мало внимания тому, уязвимости в каких системах умеет детектировать VM-решение (а это самое главное!).

🔻 Но даже если представить, что мы вынесем в опросник все поддерживаемые системы и аккуратненько сопоставим декларируемые возможности каждого VM-решения, то и этого будет недостаточно. Декларировать можно всё что угодно, а ты поди проверь качество реализации. 😏

Имхо, при проведении сравнений необходимо выполнять практическое тестирование хотя бы на минимальном количестве стендов:

🔹 Типичный Windows десктоп и сервер
🔹 Типичный Linux десктоп и сервер
🔹 Типичное сетевое устройство (на Cisco IOS?)

Провести их сканирование в режиме с аутентификацией разными VM-продуктами, сопоставить результаты и предложить VM-вендорам объяснить расхождения. Это будет уже хоть что-то. 😉

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей

Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!

Дуров в Дубае

Дуров в Дубае

Дуров в Дубае. Сообщают, что Дурову разрешили покинуть Францию на "несколько недель" и 15 марта он вылетел в Дубай. Что это значит для перспектив Телеграма в России? Видятся 2 варианта:

🔹 Дуров мог сдать и слить всё, что только можно французам и дать подкреплённые гарантии дальнейшего сотрудничества. Если так, то послабления в мерах пресечения для Дурова ничего не значат, комментариев от него не последует, а через "несколько недель" он вернётся во Францию. При этом раскладе ничего не меняется, движемся по треку блокировок.

🔹 Это результат чьих-то договорённостей. Тогда разрешение на временный выезд может быть удобной схемой, по которой Дуров вытаскивает свою тушку из Франции, а все стороны "сохраняют лицо". Во Францию он не вернётся, его формально объявят в розыск, а через какое-то время мы увидим интервью Павла Валерьевича про то как Телеграм противостоит внешнему давлению. Тогда возможно возвращение Телеграма к развитию в качестве нейтральной договороспособной площадки.

Очень злой мир

Очень злой мир

Очень злой мир. Невольно отслеживаю схемы IT-мошенничества (давно уже не только "телефонного"). С каждым днём схемы всё изощрённее. Нет такой гнусности на которую не пойдут злодеи, чтобы получить доступ к банковским счетам и госуслугам жертв. Звонки "от следователя" примелькались? Так вот вам про "код от домофона". И ещё миллион сценариев. 😕

На всё более сложные схемы безопасники выдают всё более сложные рекомендации. Вот, например, хабропост от коллег по PT ESC-у про угон аккаунтов в Telegram. Очень крутой. 👍 Но там ~40к символов! 😨 "Схемы, о которых все должны знать". Бабушка в преддеменции, которой смартфон с телегой нужен для общения с внучкой тоже должна это проштудировать? 🙄

Какая-то жуткая гонка на выживание. Не отвечай, не нажимай, подозревай, не расслабляйся, будь в курсе всех схем. А чуть отстал и не уяснил очередной злодейский тренд - сам виноват, лох и мамонт.

Этот наш чудный IT-мирок фундаментально сломан, ребята. 🤷‍♂️ И вина безопасников в этом тоже, безусловно, есть.