Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054)

Добавить комментарий

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054)

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054). Эта уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Было известно только то, что уязвимость эксплуатируется через взаимодействие жертвы со зловредным файлом.

Через месяц, 16 апреля в блоге Check Point вышел пост с техническими деталями. Там сообщается, что для эксплуатации этой уязвимости используются зловредные файлы…

✋ Минуточку, а ведь в мартовском MSPT была трендовая уязвимость CVE-2025-24071, связанная с такими файлами. 🤔 Выясняется, что это ТА ЖЕ САМАЯ уязвимость. 🤪 CheckPoint сообщают: "Microsoft had initially assigned the vulnerability the CVE identifier CVE-2025-24071, but it has since been updated to CVE-2025-24054". Бардак. 🤷‍♂️ Так что по технике переадресую к прошлому посту.

👾 Начиная с 19 марта, Check Point отследили около 11 кампаний направленных на сбор NTLMv2-SSP хешей, эксплуатирующих эту уязвимость.

Дочитали с дочкой серию комиксов "Правила выживания в школе" Светланы Шмаковой

Добавить комментарий

Дочитали с дочкой серию комиксов Правила выживания в школе Светланы Шмаковой

Дочитали с дочкой серию комиксов "Правила выживания в школе" Светланы Шмаковой. Те, которые на русском вышли. Читали по ролям на ночь. Очень понравилось. 🤩🔥 Хорошая рисовка, интересные истории из жизни средней школы Беррибрук (канадской? американской? не уточняется 🙂), узнаваемые жизненные ситуации и конфликты (без жести). Герои справляются с ними вполне адекватно. Ну, может только родителей могли бы подключать поактивнее. 😉

Книги достаточно объёмные, 224-248 страниц. В оригинале эти 3 книги называются Awkward, Brave, Crush. Ещё 2 вышли, но не переведены: Diary, Enemies.

Автор переехала из России в Канаду в 16 лет. Какой-то специфической западной повесточки в комиксах не чувствуется. Может немного здорового феминизма. "Explicit language" местами присутствует. С другой стороны, а как ещё школьные хулиганы должны выражаться? Вроде самым коробящим было слово "задрот". 🙂 Имейте ввиду, возможно стоит предварительно самостоятельно пролистать.

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)

Добавить комментарий

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475)

Про уязвимость Remote Code Execution & Arbitrary File Reading - Apache HTTP Server (CVE-2024-38475). Ошибка экранирования в модуле mod_rewrite приводит к удалённому выполнению кода или чтению произвольных файлов. Для эксплуатации не требуется аутентификация.

🔻 Версия Apache HTTP Server 2.4.60 с исправлением этой уязвимости вышла 1 июля 2024 года. Уязвимость была обнаружена исследователем Orange Tsai из компании DEVCORE. 9 августа 2024 года он опубликовал write-up и слайды с BH2024. С 18 августа 2024 года PoC эксплоита доступен на Github.

🔻29 апреля 2025 года стало известно, что уязвимость CVE-2024-38475 активно эксплуатируется для компрометации шлюзов безопасного доступа SonicWall SMA. WatchTowr Labs расписали в своём блоге, как уязвимость позволяет читать файл базы SQLite с активными сессиями. 1 мая уязвимость добавили в CISA KEV.

Естественно, эта уязвимость может "всплыть" далеко не только в решениях SonicWall. 😏

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education

Добавить комментарий

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education

Скоро стартует новая образовательная программа по сетевой безопасности от Positive Education. Курс рассчитан на ИБ-специалистов (SOC/CERT/CSIRT) и сетевых администраторов. В подготовке курса участвовали мои коллеги из PT ESC-а и отдела экспертизы PT NAD.

Нагрузка 5-7 часов в неделю: видеолекции с теорией, практика на облачном стенде, онлайн-созвоны с экспертами.

Обещают научить:

🔹 ключевым подходам и инструментам для анализа трафика
🔹 расследованию инцидентов на основе трафика

Для прохождения курса желательно иметь опыт работы с Wireshark и понимать архитектуру Microsoft Active Directory. 😉

⏰ Поток стартует 26 мая, курс продлится 6 недель
➡️ Регистрация и информация по стоимости на сайте

Мне тоже хотелось бы пройти, попробую вписаться. 😇

Первую часть майских праздников провели в Твери

Добавить комментарий

Первую часть майских праздников провели в Твери
Первую часть майских праздников провели в ТвериПервую часть майских праздников провели в ТвериПервую часть майских праздников провели в ТвериПервую часть майских праздников провели в ТвериПервую часть майских праздников провели в ТвериПервую часть майских праздников провели в ТвериПервую часть майских праздников провели в Твери

Первую часть майских праздников провели в Твери. Классный город. В архитектурном плане очень интересный. Исторический центр там отстраивали при Екатерине II после сильного пожара. Напоминает Питер: регулярная планировка, "единая фасада", широкие улицы, расходящиеся лучами, множество сохранившихся зданий XVIII века. Сходили в местную филармонию, детский кукольный театр, императорский дворец и другие музеи, погуляли по городу с обзорной экскурсией.

Очень понравилась набережная Волги. Не сказать, что там как-то особенно благоустроено, но поддерживается в очень приличном состоянии. Очень чисто. 👍 Ну и очень красиво, конечно. 🙂

Кушали вкусно и по московским меркам недорого. Транспортная доступность на высоте - 1,5 - 2 часа на Ласточке, ходят примерно раз в час. В городе хорошо развит автобусный транспорт и много яндекс такси. Областной центр всё-таки.

Не думал, что буду впечатлён, но оказалось, что локация топовая. 🔝 При случае, буду рад продолжить знакомство. 🙂

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую

Добавить комментарий

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую
KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую. Анализируют 50 публичных источников, включая CISA KEV и фиды люксембургского CERT CIRCL, а также данные собственных сенсоров. Помимо признаков эксплуатации вживую, на странице уязвимости отображаются данные из CVE Org, EPSS, упоминания в Интернете, правила детектирования в сканерах (например, nuclei), потенциальные публичные эксплоиты и прочее.

Фид KEVintel можно выгрузить в виде JSON или CSV. Удобно для интеграций, планирую приделать к Vulristics. 😉 Но, к сожалению, в выгрузках сейчас доступны не все данные, отображающиеся на странице уязвимости. 🤷‍♂️ На сайте они намекают на "pro features". Возможно расширенный фид и будет такой платной фичей.

Апрельский Linux Patch Wednesday

Добавить комментарий

Апрельский Linux Patch Wednesday

Апрельский Linux Patch Wednesday. Всего уязвимостей: 251. 👌 164 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет. Есть 7 уязвимостей с признаком наличия публичного эксплоита.

Для 2 уязвимостей есть подробно описанный эксплойт на GitHub. Обе они в первый раз исправлены в пакетах репозитория RedOS:

🔸 SQL injection - Exim (CVE-2025-26794)
🔸 Code Injection - MariaDB (CVE-2023-39593)

Для Memory Corruption - Mozilla Firefox (CVE-2025-3028), согласно NVD, эксплойт должен быть в багтреккере Mozilla, но к нему закрыт доступ. 🤷‍♂️

Для 4 уязвимостей есть публичные эксплоиты по данным БДУ ФСТЭК:

🔸 Information Disclosure - GLPI (CVE-2025-21626)
🔸 Security Feature Bypass - GLPI (CVE-2025-23024)
🔸 Denial of Service / Remote Code Execution - Perl (CVE-2024-56406)
🔸 Memory Corruption - Libsoup (CVE-2025-32050)

🗒 Полный отчёт Vulristics