Архив метки: Microsoft

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями

Добавить комментарий

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями. Интервьюер - Павел Хавский. Это для тех, кому краткого резюме на 8 минут мало и хочется больше деталей. 🙂 По контенту это моя презентация для Код ИБ обновлённая по состоянию на 23 декабря, т.е. там всё, кроме MongoBleed. Также Павел вкидывал вопросы 💬 на около-VM-ные темы, на которые я старался, по мере сил, отвечать. 😅

00:00 Приветствие и знакомство
04:00 Ускоряющийся рост количества уязвимостей в NVD и связанные с этим проблемы
06:06 Что такое трендовые уязвимости и зачем мы их выделяем в Positive Technologies
07:56 💬 Может, массовое заведение уязвимостей в NVD делается намеренно, чтобы в них было сложнее искать то, что на самом деле важно?
14:54 Итоги 2025 года: 65 трендовых уязвимостей и где их можно посмотреть
19:05 Типы уязвимостей
19:25 Наличие эксплоитов и признаков эксплуатации
20:33 💬 Трендовые уязвимости в отечественном ПО: почему их больше, чем в прошлом году?
24:08 💬 Плохая работа TrueConf может быть связана с этими трендовыми уязвимостями?
25:42 Трендовые уязвимости Microsoft (47%)
28:37 Трендовые уязвимости, используемые в фишинговых атаках
29:36 Трендовые уязвимости Linux
30:10 💬 Стоит ли переходить на отечественные ОС на базе Linux и есть ли к ним доверие?
38:40 Трендовые уязвимости в библиотеках и фреймворках
40:50 Трендовые уязвимости сетевых устройств
42:16 Трендовые уязвимости, связанные с разработкой ПО
42:38 Трендовые уязвимости виртуализации и контейнеризации
43:00 Трендовые уязвимости ERP-систем
43:36 ТОП Трендовых: ToolShell и атаки на ядерные организации США
46:39 💬 Почему большие организации уязвимы и нужно ли пушить безопасность регуляторами?
52:10 💬 Мотивация VM-специалистов: энтузиазм или бюджет?
56:46 ТОП Трендовых: уязвимость-вспышка React2Shell
01:00:33 ТОП Трендовых: Эксплуатируемая уязвимость CommuniGate и качество детектирования уязвимостей
01:01:36 ТОП Трендовых: Уязвимость Apache HTTP Server и отслеживание EoL
01:03:56 ТОП Трендовых: Уязвимость Erlang/OTP
01:05:01 ТОП Трендовых: Уязвимости Windows для фишинга (1,2)
01:07:29 Прогноз на 2026: то же, но хуже
01:16:58 💬 Про карьеру в Vulnerability Management
01:24:06 💬 Новогодние пожелания

Видео, которое я выкладываю - согласованный перезалив на мой канал VK Видео. Я немного перемонтировал ролик, сделав больший акцент на слайдах, и поменял таймстемпы. Оригинальное видео на Youtube можно найти в этом посте.

Залил видеозапись своего выступления на ежегодной пресс-конференции Positive Technologies, которая прошла 11 декабря под названием "Анатомия цифровых бурь"

Добавить комментарий

Залил видеозапись своего выступления на ежегодной пресс-конференции Positive Technologies, которая прошла 11 декабря под названием "Анатомия цифровых бурь". Я кратко рассказал, что такое трендовые уязвимости и зачем нужно их выделять, охарактеризовал трендовые уязвимости 2025 года, поругал Microsoft, подсветил уязвимости в отечественных продуктах и что с этим всем делать (развивать VM-процесс в организациях 🙂).

Также ответил на вопрос, является ли отечественное ПО более безопасным и надёжным. ИМХО, продукты отечественных вендоров вряд ли будут безопаснее западных, но переходить на них всё равно стоит. 😉

Логика здесь следующая. Чем меньше популярных западных продуктов будет использоваться в России, тем меньше российские организации будут страдать от массовой (в общемировом масштабе) эксплуатации критических уязвимостей в них. ⬇️👍 В первую очередь это касается продуктов Microsoft и западных сетевых устройств (Cisco, Fortinet, Palo Alto).

Да, конечно, от таргетированных атак отказ от этих продуктов полностью не защитит. При необходимости злодеи любые российские продукты расковыряют, уязвимости найдут, эксплоиты напишут и в малвари свои встроят. НО в том-то и дело, что для таких таргетированных атак потребуется инструментарий, разработанный специально для компрометации российских организаций и нигде больше не применимый, что сделает атаки гораздо сложнее и дороже, а значит, их будут проводить гораздо реже. 😉👍

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2025-62221). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились на компьютере. Уязвимость этого драйвера, исправленная в рамках декабрьского Microsoft Patch Tuesday, позволяет локальному атакующему получить привилегии SYSTEM. Причина уязвимости - Use After Free (CWE-416).

⚙️ Уязвимость была обнаружена исследователями Microsoft (из MSTIC и MSRC). Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.

👾 Уязвимость была отмечена Microsoft как эксплуатирующаяся в реальных атаках и добавлена в CISA KEV. Подробностей по атакам пока нет.

🛠 С 10 декабря на GitHub были доступны репозитории, якобы содержащие эксплоиты для уязвимости. Впоследствии они были удалены. Есть несколько объявлений о продаже эксплоитов (возможно мошеннических).

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников

Добавить комментарий

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников

Добавлю про атаки с эксплуатацией React2Shell (CVE-2025-55182) на основе западных источников.

🔹 15 декабря Microsoft сообщили об обнаружении нескольких сотен скомпрометированных хостов в самых разных организациях. Упоминают подключения к серверам Cobalt Strike, использование bind mounts, RMM MeshAgent, RAT VShell и EtherRAT, загрузчиков ВПО SNOWLIGHT и ShadowPAD, криптомайнера XMRig, средств извлечения секретов TruffleHog и Gitleaks.

🔹 16 декабря исследователи S-RM сообщили об атаке с эксплуатацией React2Shell для доступа к корпоративной сети и развёртывании шифровальщика Weaxor.

🔹 17 декабря CyberScoop со ссылкой на Palo Alto сообщили о более 60 скомпрометированных организаций. Помимо утилит из поста Microsoft, Palo Alto упоминают использование бэкдоров KSwapDoor и Auto-color, а также Noodle RAT.

Декабрьский "В тренде VM": уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django

Добавить комментарий

Декабрьский В тренде VM: уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django

Декабрьский "В тренде VM": уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз достаточно компактная. 💽

🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT

Всего четыре уязвимости:

🔻 EoP - Windows Kernel (CVE-2025-62215)
🔻 RCE - expr-eval (CVE-2025-12735)
🔻 RCE - Control Web Panel (CVE-2025-48703)
🔻 SQLi - Django (CVE-2025-64459)

🟥 Портал трендовых уязвимостей

Декабрьский Microsoft Patch Tuesday

Добавить комментарий

Декабрьский Microsoft Patch Tuesday

Декабрьский Microsoft Patch Tuesday. Всего 56 уязвимостей, на 9 меньше, чем в ноябре. Есть одна уязвимость с признаком эксплуатации вживую:

🔻 EoP - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)

Уязвимостей с публичными эксплоитами пока нет. Из остальных уязвимостей можно выделить:

🔹 RCE - Microsoft Office (CVE-2025-62554, CVE-2025-62557), Microsoft PowerShell (CVE-2025-54100), Microsoft Outlook (CVE-2025-62562), GitHub Copilot for JetBrains (CVE-2025-64671)
🔹 EoP - Windows Win32k (CVE-2025-62458), Windows Cloud Files Mini Filter Driver (CVE-2025-62454, CVE-2025-62457), Windows Common Log File System Driver (CVE-2025-62470), Windows Remote Access Connection Manager (CVE-2025-62472), Windows Storage (CVE-2025-59516)

🗒 Полный отчёт Vulristics

Про уязвимость Elevation of Privilege - Windows Kernel (CVE-2025-62215)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Kernel (CVE-2025-62215)

Про уязвимость Elevation of Privilege - Windows Kernel (CVE-2025-62215). Уязвимость из ноябрьского Microsoft Patch Tuesday. Эксплуатация уязвимости позволяет локальному злоумышленнику получить привилегии SYSTEM. Причина уязвимости - Race Condition (CWE-362) и двойное освобождение памяти (CWE-415).

⚙️ Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.

👾 Microsoft сообщили об эксплуатации уязвимости в реальных атаках 11 ноября в рамках MSPT, и на следующий день уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.

🛠 Публичные эксплоиты доступны на GitHub с 18 ноября.