И снова уязвимость, которую не подсветил вообще никто из VM-вендоров, но для которой внезапно появляется два публичных PoC-а на гитхабе от известного исследователя (Filip Dragovic, #Wh04m1001). Elevation of Privilege - Windows Backup Service (CVE-2023-21752). Первый PoC любой файл может удалить, второй запускает shell с поднятыми привилегиями.
А то, что VM-вендоры подсвечивают как правило так и остается неэксплуатабельным. 🤷♂️
По поводу поста зампреда комитета ГД по информполитике Антона Горелкина. "Все успешные операционные системы, которые существуют сейчас, разрабатывались без участия государств. Они завоевали рынок именно потому, что коммерческие компании были кровно в этом заинтересованы."
Если убрать за скобки действительно спорный контекст с выделением 480 млрд рублей Ростелекому, а рассмотреть написанное по существу, то можно отметить следующее:
1. "Все успешные операционные системы, которые существуют сейчас", если брать десктопы и смартфоны, произведены 3 американскими компаниями: Microsoft, Google, Apple. Как же так получилось, что компании все американские, и занимают большую часть рынка во всех странах мира. За небольшим исключением - мобильные ОС на основе AOSP в Китае и Red Star OS в Северной Корее. Такое положение американских компаний вызвано конкуренцией на свободном рынке? Или все же имеет место разумная политика протекционизма?
2. "Разрабатывались без участия государств". Если государственных денег на первый взгляд не видно это не значит, что их нет. Вливание миллиардов долларов в Microsoft через Department of Defence, например, видно вполне отчётливо (первая попавшаяся ссылка "Microsoft wins $10 billion US Department of Defense JEDI cloud contract"), часть этих средств безусловно идёт на разработку Windows. Будет неправдой сказать, что бизнес американского бигтеха строится на прямых вливаниях из американского бюджета, но и говорить, что американское государство в деятельности этих компаний не участвует и материально не поддерживает тоже нельзя.
3. Факт зависимости РФ от продуктов американских компаний на лицо. Сама собой ситуация не изменится. Альтернативные десктопные и мобильные операционные системы в мире есть, но значительную доли рынка они самостоятельно занять не могут и видимо не смогут. Если брать мобильные ОС, то кого реально интересуют Sailfish, PureOS, postmarketOS и т.п. кроме горстки гиков (я среди них)?
4. Теперь вопрос: а насколько это критично? Если это вопрос государственной безопасности (а мне кажется это так и есть), то нужно принимать чрезвычайные меры, чтобы ситуация конкретно в России изменилась. Чтобы у нас вдруг стало не так как во всем мире. Для этого колоссальные усилия нужно предпринять. В том числе и в законодательной плоскости, и в сфере регуляторики. Сделать разумный протекционизм, как в Штатах, но располагая гораздо меньшими ресурсами. Это не просто кому-то денег дать. И результат совсем не гарантирован. Если же для государства засилье американских операционных систем это в целом норм, то тогда конечно можно оставить все как есть. Но ожидать, что ситуация сама изменится в силу самозародившейся конкуренции на локальном российском рынке, как мне кажется, не стоит.
По поводу новости, что компания Microsoft разблокировала возможность скачивать дистрибутивы ОС Windows из РФ. Ограничение доступа они ввели ~19 июня, сняли ~28 декабря. Это, по-моему, крайне скверно.
За 2022 год MS опубликовали отчёты (Defending ***: Early Lessons from the Cyber War, Microsoft Digital Defense Report), которые не оставляют никаких сомнений на какой эта компания стороне. MS больше не нейтральный глобальный IT-вендор. Нельзя по инерции продолжать их так воспринимать. Теперь это явный придаток американского государства. Для них Россия эта угроза. Не какие-то условные киберпреступники из России, а именно органы гос. власти. Они прямо пишут как они этой угрозе противодействуют. И много о чем, естественно, умалчивают. Другие компании из американского бигтеха себе такого не позволяют, это случай практически уникальный.
Я не большой поклонник блокирования доступа к каким-то ресурсам в Интернет, но в случае дистрибутивов Windows мне кажется это совершенно оправдано делать. Необходимо всячески способствовать сокращению доли ОС Windows в РФ при этом не навредив стабильности текущей инфраструктуры. Кажется, что ограничение на скачивание продуктов Microsoft (чтобы пользователи лишний раз задумались, а может ну его, может Linux-а хватит), а также дополнительные существенные сборы с продажи лицензий и новых устройств с Windows стали бы достаточно действенной мерой. Косвенно это подтверждают и сами MS, т.к. ограничения с их стороны были сняты явно не из-за человеколюбия, видимо что-то начало меняться в невыгодную для них сторону.
Выпустил эпизод про декабрьский Microsoft Patch Tuesday, Там про фейл со SPNEGO, а собственно декабрьское не особо интересное. В топе по критичности обход “Mark of the Web” и очередные RCE в Edge/Chromium. Остальное весьма потенциальное, но патчить всё рано надо.
Приоритизация уязвимостей это вещь ненадежная. В сентябрьском Microsoft Patch Tuesday была Information Disclosure уязвимость в компоненте согласования механизма аутентификации #SPNEGO Extended Negotiation (#NEGOEX) Security Mechanism (CVE-2022-37958). Ни один из VM вендоров не обратил на неё внимание.
13 декабря известная исследовательница из #IBM Security X-Force, Valentina Palmiotti, выложила видео с эксплуатацией этой уязвимости как Remote Code Execution. На видео в Linux виртуалке выполняется python скрипт, на виртуалке с Windows 10 появляется ошибка "Your PC will automatically restart in one minute".
Уязвимость может быть проэксплуатирована при попытке аутентификации по #RDP и #SMB. Возможно по #SMTP, #HTTP и т.д. при нестандартной конфигурации. Т.е. может быть хуже, чем #EternalBlue.
Microsoft внесла изменения в описание уязвимости. Теперь это Critical RCE. NVD естественно тормозит.
IBM опубликуют подробности только в Q2 2023, чтобы дать время на патчинг.
Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году. Пришла зима, скоро уже новый год, есть повод порефлексировать и скорректировать видение.
Что сканировать?
1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).
Чем сканировать?
Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.
Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее. Авторка этого отчета DEBRA M. FEZZA REED 🧡🌻 (She/Her) обиделась на меня, потому что я указал на ее ошибки публично, а не в личном сообщении в одной американской соцсеточке для профессионального общения. ¯\_(ツ)_/¯
> почему вы сочли необходимым пойти сразу на публичное осмеяние, а не обратиться ко мне напрямую, в профессиональной манере, чтобы исправить эту ошибку?
Честно говоря, у меня не было мотивации делать это после того, как Qualys ушла с российского рынка и оборвала все связи. Я даже не посмотрел, кто автор этого поста. И чего так серьезно-то? Это была просто невинная шутка с моей стороны, потому что описание получилось забавное.
> Я очень много работала, чтобы создать профессиональную репутацию, основанную на добросовестности, прозрачности, ответственности и подотчетности. Восприятие — это все, и действия имеют последствия. Вопреки вашему намерению, я не интерпретирую ваш пост как "невинную шутку".
Хорошо, продолжайте обвинять меня в своей ошибке. Видимо я помешал вам перечитать пост перед его публикацией. Видимо это моя вина, что с 8 ноября 2022 года больше никто не читал этот пост (ни в Qualys, ни во вне) и не указал вам на эти ошибки. Во всем виноват рандомный парень из России, который не написал вам в личку. Как непрофессионально с моей стороны. 🙂
PS: на QSC меня теперь вряд ли когда-нибудь пригласят. 😅
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.