Архив метки: Microsoft

О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК

Добавить комментарий

О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК. Сообщает нам Ъ со ссылкой на источник в правительстве. Якобы это инициатива Минцифры и обязанность делать предустановку возложат на ритейлеров. Если предположить, что так и будет, хорошо ли это? Смотря кому.

1. Вендорам отечественных ОС хорошо, т.к. дополнительный доход от OEM лицензий.

2. Государству хорошо, т.к. это поддержка вендоров отечественных ОС, которая не требует бюджетных вливаний. Теоретически может несколько уменьшиться доля западных ОС и зависимость от них.

3. Ритейлу плохо. На них ляжет дополнительная работа по предустановке, тестированию совместимости и т.п. Что делать с устройствами, на которые нельзя поставить отечественную ОС (читай: Apple)? Это фактический запрет на их продажу? Если да, то продажи таких устройств уйдут в тень, если нет, то будет ли действенна эта мера?

4. Пользователям нейтрально-плохо. Ритейлеры свои дополнительные затраты включат в цену устройств. Каким-то пользователям предустановленная ОС может и зайдет. Почта есть, браузер с соцсеточками и ютубом тоже есть - ну и норм. 🙂 Но, думаю, абсолютное большинство будет на свежекупленное устройства тут же ставить Windows. Лицензионный или не очень. Возможно как доп. услугу у того же ритейлера.

В целом, как мера поддержки отечественных Linux вендоров это выглядит неплохо, но сама по себе это мера расклад по используемым в РФ операционным системам вряд ли изменит. Чтобы снизить долю macOS и Windows нужно прежде всего осознать это как серьёзную проблему и начать это недвусмысленно транслировать. Пока прямых заявлений, что Microsoft и Apple нам вражины и нужно отказываться от использования их продуктов насколько это возможно, я лично не видел. А без этого сложно объяснить конечным пользователям почему им нужно перестать использовать то, что удобно и привычно, и начать вдруг пользоваться тем, что непривычно и менее функционально.

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога

Добавить комментарий

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога.

00:00 EPSS v3
02:54 Поддержка EPSS v3 в Vulristics
05:12 Интеграция Vulristics в Cloud Advisor

Video: https://youtu.be/kWX_64wNxbg
Video2 (for Russia): https://vk.com/video-149273431_456239122
Blogpost: https://avleonov.com/2023/04/24/vulristics-news-epss-v3-support-integration-into-cloud-advisor/

Добавил учёт EPSS в Vulristics

3 комментария

Добавил учёт EPSS в VulristicsДобавил учёт EPSS в Vulristics

Добавил учёт EPSS в Vulristics. EPSS стал ещё одним источником данных, т.е. команда для анализа набора CVE будет выглядеть так: 

$ python3 vulristics.py --report-type "cve_list" --cve-project-name "New Project" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"

Добавление нового источника задача несложная. Сделал по аналогии с NVD. Однако возник вопрос: какое именно значение EPSS использовать. Было 2 варианта:

1. Probability - вероятность наблюдения эксплуатации уязвимости в течение следующих 30 дней ("probability of observing exploitation activity in the next 30 days").

2. Percentile - значение показывающее насколько вероятность наблюдения эксплуатации данной CVE уязвимости больше чем для всех других CVE уязвимостей. Например, вероятность EPSS, равная всего 0,10 (10%), находится примерно на уровне 88-го процентиля, что означает, что 88% всех CVE имеют более низкую оценку ("For example, an EPSS probability of just 0.10 (10%) rests at about the 88th percentile — meaning that 88% of all CVEs are scored lower").

В итоге опытным путем пришел к тому, что Probability слишком малы, а также мало различаются, поэтому лучше использовать Percentile.

Я перегенерил отчет для апрельского MS Patch Tuesday.

1. Старый отчет без EPSS
2. Новый отчет с EPSS

Выглядит довольно неплохо, но со странностями. Так наиболее критичная Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252), которая присутствует в CISA KEV почему-то имеет очень низкий EPSS. 🤷‍♂️ Поэтому результат нейронки это, конечно, хорошо, но здравый смысл терять не нужно. 😉

Про новую таксономию нейминга для Threat Actors от Microsoft

Добавить комментарий

Про новую таксономию нейминга для Threat Actors от Microsoft. Наиболее существенное там 8 новых "стихийных" имен для "Nation state actors" из восьми стран. Ну ок, допустим вижу среди этих стран Южную Корею и Турцию. А где США? А где страны из альянса "Пять глаз"? 🧐😅 То есть даже на уровне таксономии не предполагается, что Microsoft могут освещать зловредную окологосударственную активность исходящую из этих стран. Для Microsoft её нет по определению. 🙈🙉🙊 Даже, когда явно какой-нибудь DoublePulsar утекает, всё равно. 🙂

Не сказать, что это новость, Microsoft уже давно напрямую демонстрируют свою ультра-проамериканскую позицию в отчетах. И делают они это ярче всех других глобальных IT-вендоров вместе взятых. И если вы сейчас не форсируете переход вашей инфраструктуры с продуктов Microsoft на что угодно не от Microsoft, то, имхо, очень и очень зря.

Первые впечатления от апрельского Microsoft Patch Tuesday

2 комментария

Первые впечатления от апрельского Microsoft Patch Tuesday

Первые впечатления от апрельского Microsoft Patch Tuesday. По сравнению с мартовским как-то слабенько. 🙄

1. Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252). Пока это самое критичное, т.к. есть признаки эксплуатации вживую. И, соответственно, есть Functional Exploit, но не в паблике пока.
2. Remote Code Execution - Microsoft Message Queuing. Опасно, если включен сервис Message Queuing. По умолчанию выключен.
3. Много CVEшек Remote Code Execution - Microsoft PostScript and PCL6 Class Printer Driver и Remote Code Execution - Windows DNS Server, может из этого что-то и раскрутят.
4. Remote Code Execution - DHCP Server Service (CVE-2023-28231). Тоже непонятно, но “Exploitation More Likely”.

Полный отчет Vulristics. Есть небольшие проблемы с детектом софтов и типов уязвимостей, но не критичные, поправлю. В рамках этого Patch Tuesday планирую добавить поддержку EPSS и оценить разницу в приоритизации. 😉

Выпустил на выходных итоговый блогопост и видяшечку по мартовскому Microsoft Patch Tuesday

Добавить комментарий

Выпустил на выходных итоговый блогопост и видяшечку по мартовскому Microsoft Patch Tuesday. Приглашаю ознакомиться.

1. В целом, пока первые впечатления выглядят верными. Атака на хеши с помощью Outlook наиболее актуальна. Обход MOTW и DoS Excel хоть и эксплуатируются, но не особо пугают. Потенциально эксплуатабельные и wormable RCE в ICMP и, в меньшей степени, в HTTP/3 и RPC могут мощно стрельнуть, а могут и оказаться пшиком. Пока не ясно. Но лучше, конечно, заранее запатчиться.
2. Вокруг Microsoft Outlook (CVE-2023-23397) была политота. Microsoft начали разгонять про какие-то state-sponsored attacks с указанием конкретных стран и группировок. Это подхватили VM-вендоры в своих обзорах и таким образом это просочилось в отчет Vulristics. Пришлось всё это highly likely безобразие ручками подтереть.
3. Аж 7 RCE в Microsoft PostScript and PCL6 Class Printer Driver выглядят загадочно, но посмотрим во что это выльется. Кажется кто-то раскопал новую тему.
4. Заканчивается первый квартал. Во втором должны выложить подробности по SPNEGO. Ждем. 🙄
5. Похоже мои англоязычные avleonov.com и @avleonovcom в основном становятся про Patch Tuesday. 😅 Три последних поста были про это. Про другие темы что-то пока нет времени и желания туда писать, а тем более делать видяшку. Возможно разбавлю чем-нибудь, но вряд ли это будет до CISO Forum. Пока буду тратить ресурсы на подготовку к нему. Ну и вообще, "делать контент" на русском как-то пока больше нравится. Спасибо за ваш фидбек и поддержку! 🙂

Обновил Vulristics отчет по мартовскому Microsoft Patch Tuesday

1 комментарий

Обновил Vulristics отчет по мартовскому Microsoft Patch Tuesday

Обновил Vulristics отчет по мартовскому Microsoft Patch Tuesday. Появился публичный эксплоит для Denial of Service - Microsoft Excel (CVE-2023-23396). И подробное описание. Пока это действительно только DoS, но возможно и до RCE докрутят.

Для Remote Code Execution - ICMP (CVE-2023-23415) была пара ссылок на GitHub. Одна удаленная (404), а другая заблокированная ("Access to this repository has been disabled by GitHub Staff due to a violation of GitHub's terms of service"). Были ли там реальные эксплоиты или рикролы/малвари судить не берусь. Добавил обе ссылки в исключения в Vulristics.

Ссылка на отчет та же.