Архив метки: FileExplorer

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями

Добавить комментарий

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями. Интервьюер - Павел Хавский. Это для тех, кому краткого резюме на 8 минут мало и хочется больше деталей. 🙂 По контенту это моя презентация для Код ИБ обновлённая по состоянию на 23 декабря, т.е. там всё, кроме MongoBleed. Также Павел вкидывал вопросы 💬 на около-VM-ные темы, на которые я старался, по мере сил, отвечать. 😅

00:00 Приветствие и знакомство
04:00 Ускоряющийся рост количества уязвимостей в NVD и связанные с этим проблемы
06:06 Что такое трендовые уязвимости и зачем мы их выделяем в Positive Technologies
07:56 💬 Может, массовое заведение уязвимостей в NVD делается намеренно, чтобы в них было сложнее искать то, что на самом деле важно?
14:54 Итоги 2025 года: 65 трендовых уязвимостей и где их можно посмотреть
19:05 Типы уязвимостей
19:25 Наличие эксплоитов и признаков эксплуатации
20:33 💬 Трендовые уязвимости в отечественном ПО: почему их больше, чем в прошлом году?
24:08 💬 Плохая работа TrueConf может быть связана с этими трендовыми уязвимостями?
25:42 Трендовые уязвимости Microsoft (47%)
28:37 Трендовые уязвимости, используемые в фишинговых атаках
29:36 Трендовые уязвимости Linux
30:10 💬 Стоит ли переходить на отечественные ОС на базе Linux и есть ли к ним доверие?
38:40 Трендовые уязвимости в библиотеках и фреймворках
40:50 Трендовые уязвимости сетевых устройств
42:16 Трендовые уязвимости, связанные с разработкой ПО
42:38 Трендовые уязвимости виртуализации и контейнеризации
43:00 Трендовые уязвимости ERP-систем
43:36 ТОП Трендовых: ToolShell и атаки на ядерные организации США
46:39 💬 Почему большие организации уязвимы и нужно ли пушить безопасность регуляторами?
52:10 💬 Мотивация VM-специалистов: энтузиазм или бюджет?
56:46 ТОП Трендовых: уязвимость-вспышка React2Shell
01:00:33 ТОП Трендовых: Эксплуатируемая уязвимость CommuniGate и качество детектирования уязвимостей
01:01:36 ТОП Трендовых: Уязвимость Apache HTTP Server и отслеживание EoL
01:03:56 ТОП Трендовых: Уязвимость Erlang/OTP
01:05:01 ТОП Трендовых: Уязвимости Windows для фишинга (1,2)
01:07:29 Прогноз на 2026: то же, но хуже
01:16:58 💬 Про карьеру в Vulnerability Management
01:24:06 💬 Новогодние пожелания

Видео, которое я выкладываю - согласованный перезалив на мой канал VK Видео. Я немного перемонтировал ролик, сделав больший акцент на слайдах, и поменял таймстемпы. Оригинальное видео на Youtube можно найти в этом посте.

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Добавить комментарий

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года. Я выделял не самые критичные уязвимости (все они самые критичные!), а скорее самые интересные и разнообразные. И это, безусловно, субъективная оценка.

Материал забрали в середине лета, поэтому были все шансы, что до конца года появится что-то интересное. Так и получилось. 😅 Сейчас на первое место я бы поставил:

🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704, CVE-2025-53770). С этой уязвимостью были связаны самые громкие атаки. 😉

Уязвимости из статьи:

🔻 RCE - CommuniGate Pro (BDU:2025-01331)
🔻 RCE & AFR - Apache HTTP Server (CVE-2024-38475)
🔻 RCE - Erlang/OTP (CVE-2025-32433)
🔻 RCE - Internet Shortcut Files (CVE-2025-33053)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)

Майский выпуск "В тренде VM": уязвимости в Microsoft Windows и фреймворке Erlang/OTP

Добавить комментарий

Майский выпуск В тренде VM: уязвимости в Microsoft Windows и фреймворке Erlang/OTP

Майский выпуск "В тренде VM": уязвимости в Microsoft Windows и фреймворке Erlang/OTP. Традиционная ежемесячная подборка. 🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 4 трендовые уязвимости:

🔻 Elevation of Privilege - Windows Common Log File System Driver (CVE-2025-29824)
🔻 Elevation of Privilege - Windows Process Activation (CVE-2025-21204)
🔻 Spoofing - Windows NTLM (CVE-2025-24054)
🔻 Remote Code Execution - Erlang/OTP (CVE-2025-32433)

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054)

Добавить комментарий

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054)

Про уязвимость Spoofing - Windows NTLM (CVE-2025-24054). Эта уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Было известно только то, что уязвимость эксплуатируется через взаимодействие жертвы со зловредным файлом.

Через месяц, 16 апреля в блоге Check Point вышел пост с техническими деталями. Там сообщается, что для эксплуатации этой уязвимости используются зловредные файлы…

✋ Минуточку, а ведь в мартовском MSPT была трендовая уязвимость CVE-2025-24071, связанная с такими файлами. 🤔 Выясняется, что это ТА ЖЕ САМАЯ уязвимость. 🤪 CheckPoint сообщают: "Microsoft had initially assigned the vulnerability the CVE identifier CVE-2025-24071, but it has since been updated to CVE-2025-24054". Бардак. 🤷‍♂️ Так что по технике переадресую к прошлому посту.

👾 Начиная с 19 марта, Check Point отследили около 11 кампаний направленных на сбор NTLMv2-SSP хешей, эксплуатирующих эту уязвимость.

Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

Добавить комментарий

Апрельский выпуск В тренде VM: уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat. По видяшкам берём паузу, пока только текстом. 🤷‍♂️🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего 11 трендовых уязвимостей:

🔻 Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)
🔻 Четыре эксплуатируемые уязвимости Windows из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)
🔻 Три уязвимости VMware "ESXicape" (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
🔻 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔻 Remote Code Execution - Kubernetes (CVE-2025-1974)

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071)

Добавить комментарий

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071)

Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071). Уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Спустя неделю, 18 марта, в блоге исследователя 0x6rss вышел write-up по этой уязвимости и PoC эксплоита. По его словам, уязвимость активно эксплуатируется вживую и, возможно, эксплойт для этой уязвимости продавался в даркнете с ноября прошлого года.

В чём суть. Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удалённую SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2 хеш, побрутить его или использовать в атаках pass-the-hash.

Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно.

Супер-эффективно для фишинга. 😱