Выпустил-таки видео по ноябрьскому Patch Tuesday. С одной стороны, вроде и 0day-ев много вышло. А с другой стороны, чего-то супер-критичного не просматривается. Нет, ну атаки на браузер? Серьезно? Или метки для скаченных файлов (не так давно была похожая тема про macOS)? Патчиться конечно надо, но, к счастью, хвататься за голову в этот раз повода пока нет. 🙂
Вспомнилась старая студенческая шутка "а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает". Уязвимость Print Spooler оказывается каким-то боком касается JScript9 scripting language. 😜
Qulays по ошибке подставили для "CVE-2022-41073 | Windows Print Spooler Elevation of Privilege (EoP) Vulnerability" описание из "CVE-2022-41128 | Windows Scripting Languages Remote Code Execution (RCE) Vulnerability". Причем это же описание вставили ещё и в "CVE-2022-41091 | Windows Mark of the Web Security Feature Bypass Vulnerability". Но кто ж это читает-то. 😏
Про Microsoft Digital Defense Report 2022 (1/2).
Эта фоточка из репорта отражает мои эмоции при листании опуса на 114 страниц. Мешанина "всё обо всём". Безусловно есть интересное, но из-за повсеместных геополитических набросов и неприкрытой пропаганды общее впечатление гнетущее. В принципе как и в прошлом таком репорте. Повторяться не буду, но протранслирую мысль:
Дорогие IT-шные френды из РФ, если вы прямо сейчас не занимаетесь активным выпиливанием продуктов MS из инфраструктур ваших компаний, вы зря это не делаете. MS давно уже в открытую пишут, что РФ это угроза с которой корпорация помогает бороться. Как и с Китаем, Ираном и Северной Кореей. Это давно уже не нейтральный вендор, а часть американской государственной машины. В моменте нужно конечно продолжать продукты MS обслуживать, патчить и т.д. Но тренд должен быть однозначный на минимизацию использования.
Tom Burt, MS Corporate Vice President, заканчивает свое вступление в отчете так: "Мы надеемся вызвать чувство безотлагательности (urgency), чтобы читатели приняли немедленные меры (immediate action) на основе данных и идей, которые мы представляем как здесь, так и в наших многочисленных публикациях по кибербезопасности в течение года." У меня такие отчеты, в которых Россия упоминается 160 раз на 114 страницах отнюдь не в позитивном ключе (Китай, для сравнения, 73) вызывают желание безотлагательно и немедленно выполнять меры, чтобы инсталляций продуктов настолько политизированного американского вендора стало вокруг как можно меньше.
Про Microsoft Digital Defense Report 2022 (2/2).
Теперь на что можно обратить внимание.
1. Неплохая схема "Understanding the ransomware economy" на 11 странице и вообще раздел про рансомварь норм. "Существуют отдельные организации, которые создают вредоносные программы, получают доступ к жертвам, развертывают программы-вымогатели и ведут переговоры о вымогательстве". Занимательно.
По нашей теме: "В 68% затронутых организаций не было эффективного процесса управления уязвимостями и исправлениями, а высокая зависимость от ручных процессов по сравнению с автоматическим исправлением привела к критическим уязвимостям. Производственная и критическая инфраструктура по-прежнему испытывает трудности с обслуживанием и исправлением устаревших систем операционных технологий (OT)."
Лол, а в 32% затронутых организаций был эффективный VM процесс и все равно пошифровали? Я бы на такие посмотрел. 🙂 Рекомендации по борьбе с рансомварью не сказать, что какие-то новые, но в целом толковые.
2. На 26 странице раздел про атаки на роутеры неплохой со схемами атак.
3. Раздел "Nation State Threats" это один сплошной фейспалм. Но, закрыв глаза на недоказуемые геополитические набросы, можно выделить интересное по нашей теме. "Ключевой тактикой [атак] стало выявление и быстрое использование незакрытых уязвимостей. Быстрое развертывание обновлений безопасности является ключом к защите." "В среднем требуется всего 14 дней, чтобы эксплойт стал доступен в дикой природе после того, как информация об уязвимости была публично раскрыта". Это выглядит как манипуляция, т.к. для подавляющего большинства уязвимостей ни эксплуатации вживую, ни эксплоитов не появляются. Но допустим.
4. Вынесу как отдельный пункт признание МS на странице 39, что относительно новая политика Китая, регулирующая порядок раскрытия информации об уязвимостях, самым положительным образом сказалась на информированности китайских государственных структур. Там конечно приводятся всякие голословные обвинения в offensive активностях, которые внимания не заслуживают. А вот то самое китайское "Положение об администрировании уязвимостей безопасности сетевых продуктов" внимание очень даже заслуживает, надо будет его отдельно разобрать. Если американцы так возмущаются, значит хорошие сапоги, надо брать (с).
5. Рекомендации относительно 0day уязвимостей неплохие. "Уделите особое внимание исправлению уязвимостей нулевого дня сразу же после их выпуска; не ждите, пока цикл управления исправлениями будет развернут. Документируйте и инвентаризируйте все аппаратные и программные активы предприятия, чтобы определить риски и быстро определить где нужно патчить."
6. Страница 53. "Нам срочно нужна последовательная глобальная система, в которой приоритет отдается правам человека и которая защищает людей от безрассудного поведения государства в Интернете." Лол, лучше б напомнили кто MS17-010 не зарепортил, а использовал втихую, и у кого потом EternalBlue утек. 🙃
7. На 64-ой странице рекомендации по IOT снова про патчинг. "Обеспечьте надежность устройств, установив исправления, изменив пароли по умолчанию и порты SSH по умолчанию." "Как и в других системах, в прошивке устройств IoT/OT широко использовались библиотеки с открытым исходным кодом. Однако устройства часто поставляются с устаревшими версиями этих компонентов. В нашем анализе 32 процента образов содержали не менее 10 известных уязвимостей (CVE), оцененных как критические (9,0 или выше). Четыре процента содержали не менее 10 критических уязвимостей старше шести лет."
8. На странице 97 пишут, что браузеры тоже не патчат "Изучив критическую уязвимость, затронувшую 134 версии набора браузеров (set of browsers), мы обнаружили, что 78 процентов, или миллионы устройств, по-прежнему используют одну из уязвимых версий через девять месяцев после выпуска исправления."
Выпустил отчет по октябрьскому Microsoft Patch Tuesday. В календарные сроки уложился. 😅
На самом деле не особо интересный месяц. По #ProxyNotShell Remote Code Execution – Microsoft Exchange (CVE-2022-41040, CVE-2022-41082) все ещё ждем патчей. Общевиндовая Elevation of Privilege - Windows COM+ Event System Service (CVE-2022-41033) вроде активно эксплуатируется, но пока не ясно кем и как именно. Остальное всё такое себе, средненькое. Подробнее в блогпосте.
Вот это важная тема. Патчить там пока нечего, но скиньте своим SOC-оводам, что бы детекты и черные списки настроили.
Upd. Ответ от Microsoft и указание CVE: CVE-2022-41040 Microsoft Exchange Server Server-Side Request Forgery (SSRF) и CVE-2022-41082 PowerShell RCE
Сегодня пролетала новость о том, что в Windows 11 22H2 добавили фичу, которая ругается на ввод пароля от системной учетки пользователя в "неположенных" местах: в текстовых редакторах, формах вебсайтов и прочем. Преподносится это как защита от фишинга "Enhanced phishing protection". Я ещё подумал, что прикольно они кейлоггер в систему встроили. И со смехом предположил, что они наверное весь пользовательский input в облако забирают для анализа. 😁 Нельзя же локально хранить последние N введенных символов и искать в них пароль! Только в облаке! 😏 А потом заглянул в официальный блогопост и увидел, что они это презентуют в составе "Microsoft Defender Smartscreen", который согласно Википедии "is a cloud-based anti-phishing and anti-malware component". 🤩
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.