Архив метки: Microsoft

Подбил итоги сентября для англоязычного канала и блога

Добавить комментарий

Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.

---

Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.

Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management course
00:52 Bahasa Indonesia

Russian Podcasts
01:20 Прожектор по ИБ ("Information Security Spotlight") podcast
01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies

Main Job
01:57 Goodbye Tinkoff

Patch Tuesday
02:54 September Microsoft Patch Tuesday
03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352)
04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed"
04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761)
05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802)
05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)

Other Vulnerabilities
06:54 Bitrix CMS RCE (BDU:2023-05857)
07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012)
08:09 Qualys TOP 20 vulnerabilities

Vulnerability Management Market
09:06 Forrester and GigaOm VM Market reports
09:49 R-Vision VM

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost

Прожектор по ИБ, выпуск №3 (19.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №3 (19.09.2023). С небольшим опозданием записали вчера очередной эпизод. Состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:40 Читаем комментарии к прошлому эпизоду
05:01 Сентябрьский Microsoft Patch Tuesday
5:42 Втихую исправленные уязвимости в Exchange
11:31 RCE в libwebp
16:39 ThemeBleed
21:28 В ИБ команде Тинькофф классно
24:27 Затрояненный Free Download Manager
32:31 Эмодзи как подпись
38:09 Очереди в МФЦ на удаление биометрии?
42:02 Прощание от Mr. X

В сентябрьском Microsoft Patch Tuesday были 3 RCE уязвимости в Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756), которые по факту были втихую исправлены ещё в августовском Patch Tuesday

2 комментария

В сентябрьском Microsoft Patch Tuesday были 3 RCE уязвимости в Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756), которые по факту были втихую исправлены ещё в августовском Patch Tuesday

В сентябрьском Microsoft Patch Tuesday были 3 RCE уязвимости в Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756), которые по факту были втихую исправлены ещё в августовском Patch Tuesday. Что это значит?

🔸 Уязвимости были, но о них не сообщили. Значит пользователи, которые в августе делали выводы о необходимости обновления на основе анализа списка CVE могли принять решение не обновляться и были месяц уязвимыми. 🤷‍♂️
🔸 Пользователи, которые просто регулярно обновляются, поставили августовские обновления и НЕ были уязвимыми этот месяц. 👍
🔸 Список исправленных уязвимостей - это не истина в последней инстанции. Это просто некоторая справочная информация, которую вам сообщил вендор. О каких-то CVE они могли умолчать, какие-то по ошибке добавить. Могли и недекларированные возможности с обновлениями внести. 😏 Никто за руку не поймает.

Итого: не заморачивайтесь слишком CVE-шками, лучше просто регулярно обновляете продукты доверенных вендоров.

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте

1 комментарий

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте
Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моментеПочему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте. Но делать выводы как ситуация будет развиваться в будущем на основании текущего состоянии практически невозможно. Данных для анализа, как правило, недостаточно и они замусоренные. Поэтому решения для фильтрации/приоритизации уязвимостей не могут рекомендовать ВООБЩЕ не исправлять какую-то уязвимость. Всегда есть вероятность, что выстрелит уязвимость, о которой никто и не думал.

Если вам сейлз говорит, что с помощью их волшебного решения можно будет исправить только 3% найденных уязвимостей, а на остальное забить - гоните его в шею.

Сегодняшний пример. Remote Code Execution - Windows Themes (CVE-2023-38146). Одна из 25 RCE-шек в сентябрьском Micorosoft Patch Tuesday.

Со страницы уязвимости на сайте Microsoft:

Publicly disclosed: No
Exploited: No
Exploitability assessment: Exploitation Less Likely

Никто про неё в обзорах не писал кроме ZDI, и то с комментом "This probably isn’t one of the most severe bugs…". Vulristics оценил уязвимость как High, т.к. всё-таки RCE.

И что, вот на днях выходит подробное описание и публичный PoC, уязвимость в Vulristics становится Critical и самой важной в этом MSPT, а СМИ начинают разгонять про ThemeBleed. 🤷‍♂️

Не надейтесь на приоритизацию/фильтрацию уязвимостей, обновляйте всё заранее! У этих решений по сути два состояния: покерфейс 😐 и с выпученными глазами одурело бить в рынду 😱 (зачастую когда уже поздно).

🗒 Vulristics report - обновил отчёт для сентябрьского Microsoft Patch Tuesday

Сентябрьский Microsoft Patch Tuesday

4 комментария

Сентябрьский Microsoft Patch TuesdayСентябрьский Microsoft Patch TuesdayСентябрьский Microsoft Patch Tuesday

Сентябрьский Microsoft Patch Tuesday. 97 CVE-шек, из них 35 набежало с августовского MSPT. Critical и Urgent уязвимостей нет.

Самая критичная это эксплуатируемая вживую Information Disclosure в Microsoft Word (CVE-2023-36761), которая, если верить ZDI, на самом деле позволяет выполнять NTLM Relay атаку.

NTLM Relay — это тип атаки, при котором злоумышленник перехватывает аутентификационные данные, использующие протокол NTLM, и перенаправляет их на другой сервер или сервис с целью получения несанкционированного доступа.

На втором месте эксплуатируемая вживую Elevation of Privilege в Microsoft Streaming Service Proxy.

Остальное всё без признаков эксплуатации.

Есть 3 Remote Code Execution в Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756). Но вряд ли будут эксплуатироваться. Для успешной эксплуатации злоумышленнику необходимо иметь доступ к локальной сети и валидную учётку.

В общем, обновляемся без спешки. 🫠

🗒 Vulristics report

Прожектор по ИБ, выпуск №1 (01.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №1 (01.09.2023). Вроде в прошлый раз неплохо получилось, записали ещё один эпизод тем же составом:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

01:13 Публичные эксплоиты для уязвимостей Juniper и WinRAR
08:34 Брешь протокола BGP может привести к длительным сбоям в работе интернета
12:45 Подозрительные изменения в британском Investigatory Powers Act 2016 (IPA)
21:13 НеУязвимость curl
27:18 Google удалила пиратские URL из личных сохранённых ссылок пользователей
34:17 Взлом национального центра готовности к инцидентам и стратегии кибербезопасности Японии
36:59 Блокировка ПО со стороны Microsoft стала бы благом?

Алексей Лукацкий накидывает про Microsoft

1 комментарий

Алексей Лукацкий накидывает про Microsoft.

"Мы все помним, что Microsoft пообещал не продавать лицензии на свое ПО в России после 30-го сентября. Тут, конечно, вопрос формулировок. Не будет продавать лицензии, не будет обновлять уже проданное ПО или вовсе заблокирует работу ПО на территории России? Последний сценарий самый худший, но он и самый маловероятный…"

Маловероятный в силу того, что в России остались легитимные пользователи-иностранцы и это ударит по ним. А сам пост про то, что есть софт Microsoft, который нужно обязательно с сайта MS качать, а то есть риск получить зловреда. Это всё понятно. Но меня заинтересовала именно первая часть.

Имхо, блокировка работы уже проданного ПО со стороны Microsoft после 30 сентября это самый лучший вариант, т.к.

1. Максимально ускорит замещение оставшейся Windows-инфраструктры. Да, в шоковом режиме. Да, что-то отвалится (в зависимости от того как именно будут блокировать). Но в любом случае восстановят-поднимут и получат живительной стимуляции от руководства для того, чтобы такая ерунда больше никогда не повторилась.

2. Это будет отличной общемировой демонстрацией, что продукты американского бигтеха это ненадежно, они выключаются одним тумблером и от них нужно оперативно избавляться. Как вариант, переходить на российские импортозомещающие продукты.

Запрет на скачивание обновлений это примерно то же самое, но это не такая шоковая тема. До первых инцидентов это заметят только безопасники. Ну да, будет ещё один аргумент для отказа от MS, но и только. Так что вариант значительно хуже.

Запрет продажи лицензий это вообще ни о чем. Думаю, что, к сожалению, Microsoft сами ускорять нам импортозамещение не захотят, а поэтому выберут именно такой вариант. Много где за MSную инфраструктуру продолжат всеми правдами и неправдами держаться. Полное выпиливание MS займёт больше времени, чем могло бы. И это, как мне кажется, худший вариант из возможных. Но, видимо, наиболее вероятный.