Архив метки: Microsoft

Выпустил эпизод про майский Microsoft Patch Tuesday

1 комментарий

Выпустил эпизод про майский Microsoft Patch Tuesday. Первые впечатления оказались вполне верными. Добавил ещё 4 уязвимости, которые выглядят многообещающе, расширил описание и указал на пару странностей в EPSS.

———

Hello everyone! This episode will be about Microsoft Patch Tuesday for May 2023, including vulnerabilities that were added between April and May Patch Tuesdays. As usual, I use my open source Vulristics project to analyse and prioritize vulnerabilities. I took the comments about the vulnerabilities from the Qualys, Tenable, Rapid7, ZDI Patch Tuesday reviews. It's been a long time since we've had such tiny Patch Tuesday. 57 CVEs, including CVEs appeared during the month. And only 38 without them! 😄

Urgent
00:45 Memory Corruption – Microsoft Edge (CVE-2023-2033)

Critical
01:17 Security Feature Bypass – Secure Boot (CVE-2023-24932)
02:55 Memory Corruption – Microsoft Edge (CVE-2023-2136)

High
03:11 Remote Code Execution – Windows OLE (CVE-2023-29325)
04:20 Elevation of Privilege – Windows Win32k (CVE-2023-29336)
05:19 Remote Code Execution – Windows Network File System (CVE-2023-24941)
06:07 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-24943)
06:58 Remote Code Execution – Windows Lightweight Directory Access Protocol (LDAP) (CVE-2023-28283)
07:31 Remote Code Execution – Microsoft SharePoint (CVE-2023-24955)

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report

Первые впечатления от майского Microsoft Patch Tuesday

2 комментария

Первые впечатления от майского Microsoft Patch Tuesday

Первые впечатления от майского Microsoft Patch Tuesday. Давненько не было таких малюсеньких Patch Tuesday. 57 CVE с учетом набежавших за месяц. А если смотреть выпущенные только во вторник, то всего 38! 😄

1. Memory Corruption - Microsoft Edge (CVE-2023-2033). Наиболее критичная, но вендоры не подсвечивают. Это уязвимость в Chrome, о которой три недели трубят. Естественно касается и Edge. Есть в CISA KEV.
2. Security Feature Bypass - Secure Boot (CVE-2023-24932). Уязвимость используется в BlackLotus UEFI bootkit.
3. Memory Corruption - Microsoft Edge (CVE-2023-2136). Ещё одна критичная уязвимость в Chrome, есть в CISA KEV.
4. Elevation of Privilege - Windows Win32k (CVE-2023-29336). Пишут, что возможно уязвимость эксплуатируется при открытии зловредного RTF файла. Есть в CISA KEV.
5. Remote Code Execution - Microsoft SharePoint (CVE-2023-24955). Уязвимость продемонстрирована на Pwn2Own Vancouver.

Полный отчет Vulristics

По поводу предыдущей картинки, вынесу из комментов в ВК

Добавить комментарий

По поводу предыдущей картинки, вынесу из комментов в ВК.

1. В другом качестве картинки нет, стащил из аккаунта Nucleus в соцсеточке, на сайте у них не нашел. 🤷‍♂️ Но это просто статистика по второй колонке из CISA KEV.

2. "Возможно большее количество уязвимостей говорит о большей распространенности и большем числе продуктов вендора. А Linux - здесь наверное только linux kernel?" Да, Linux это только Linux Kernel, а Microsoft это все продукты Microsoft, включая Windows Kernel. Но то, что продукты Microsoft наиболее активно атакуются - факт. Отказ от продуктов Microsoft поднимет защищённость хотя бы по логике "если у вас нет собаки, её не отравит сосед". 🙂

3. "Как эппл и адоб умудрились заслужить столько?" У Adobe основной генератор дырок это PDF reader. Apple macOS, к сожалению, достаточно популярная десктопная ОС, для неё регулярно находят критичные RCE уязвимости. В основном в ядре и WebKit. Средств администрирования и защиты информации для macOS меньше и они не так развиты. Поэтому, имхо, устройства Apple в инфраструктуре это даже большая проблема, чем продукты Microsoft.

Nucleus Security нарисовали красивую картинку по CISA KEV уязвимостям

1 комментарий

Nucleus Security нарисовали красивую картинку по CISA KEV уязвимостям

Nucleus Security нарисовали красивую картинку по CISA KEV уязвимостям. Навели статистику по вендорам. К статистике наведенной по всем уязвимостям из NVD я отношусь обычно скептически - непонятно то ли у вендора такие дырявые продукты, то ли вендор наоборот ответственно подходит к уязвимостям в своих продуктах и заводит CVE на каждый чих. Здесь же рассматриваются только уязвимости с признаками эксплуатации в реальных атаках, просто так в CISA KEV не попадают. Поэтому вполне справедливо будет сделать вывод: если у вас инфраструктура на продуктах Microsoft, то уровень риска у вас соответствует этому громадному кружку, а если на Linux, то гораздо меньшему кружку (его так сразу и не заметишь). Выпиливайте у себя Microsoft! Хотя бы стратегически двигайтесь в этом направлении. Тоже касается и других больших кружков: CISCO, Apple, Oracle, Adobe. Google выпилить скорее всего не получится - это вездесущий Chromium. 🙂

Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога

Добавить комментарий

Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога. По сравнению с первыми впечатлениями добавились Microsoft Word RCE (CVE-2023-28311) с эксплоитом и Windows Pragmatic General Multicast (PGM) RCE (CVE-2023-28250) похожая на QueueJumper RCE в MSMQ. Также добавил много RCE в Windows DNS Server, но что-то определенное по ним сказать сложно.

Critical
00:50 Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252)
01:44 Remote Code Execution - Microsoft Word (CVE-2023-28311)

Other
02:18 Remote Code Execution - Microsoft Message Queuing (CVE-2023-21554) (QueueJumper)
03:17 Remote Code Execution - Windows Pragmatic General Multicast (PGM) (CVE-2023-28250)
04:05 Lots of CVEs Remote Code Execution – Microsoft PostScript and PCL6 Class Printer Driver (CVE-2023-24884, CVE-2023-24885, CVE-2023-24886, CVE-2023-24887, CVE-2023-24924, CVE-2023-24925, CVE-2023-24926, CVE-2023-24927, CVE-2023-24928, CVE-2023-24929, CVE-2023-28243)
04:24 Lots of CVEs Remote Code Execution – Windows DNS Server (CVE-2023-28254, CVE-2023-28255, CVE-2023-28256, CVE-2023-28278, CVE-2023-28305, CVE-2023-28306, CVE-2023-28307, CVE-2023-28308)
04:32 Remote Code Execution - DHCP Server Service (CVE-2023-28231)

Video: https://youtu.be/aLt5k18jOwY
Video2 (for Russia): https://vk.com/video-149273431_456239123
Blogpost: https://avleonov.com/2023/04/28/microsoft-patch-tuesday-april-2023-clfs-eop-word-rce-msmq-queuejumper-rce-pcl6-dns-dhcp/
Vulristics report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_april2023_report_with_comments_ext_img.html

Год с великого исхода западных вендоров: судьба специалиста

Добавить комментарий

Год с великого исхода западных вендоров: судьба специалиста. С трудом уже верится, но раньше в РФ было возможно строить IT/ИБ системы, используя западные решения. 🙂 Более того, это был абсолютный мейнстрим. Как следствие, сотрудники российских компаний естественным образом развивались в крутых специалистов по продуктам Microsoft, Oracle, CISCO, PaloAlto, AWS, Tenable/Qualys/Rapid7 и т.д. 😉 Собирали комплекты вендорских сертификатов, выстраивали красивые CV-шки.

Безусловно, в этом была своя прелесть. Ты используешь те же решения, что и крупные компании во всем развитом мире, твои скилы также востребованы в общемировом масштабе. А значит релокация туда, где лучше, выглядит как вполне себе план Б (а у кого-то и как план А). Минусом шла привязка к западным вендорам и их судьбе в России. Но что с ними сделается-то? 😏

Однако оказалось, что сделаться может много чего и очень быстро. И перед российскими специалистами по решениям западных вендоров всерьез встал выбор:

- продолжать делать то, что делали, а значит релоцироваться туда, где можно продолжать строить системы на западных решениях;
- остаться и строить системы на тех решениях, которые остались/появились в РФ;
- остаться, перестать строить системы и принять участие в копировании западных решений.

Релокация это всегда мероприятие на любителя. Тем более сейчас, когда "жить на 2 страны" стало совсем не так просто и комфортно. Переезд на запад теперь выглядит скорее как дорога в один конец.

Остаться и развиваться в чем-то другом это и потеря конкурентных преимуществ, и необходимость быстро учиться новому, и переход в новый локальный контекст. Опыт с Яндекс Клауд и Астра Линукс безусловно менее универсален, чем с AWS и RHEL. 🙂 Это нужно осознать и принять.

Никого не осуждаю, у всех свои ситуации. Но милей мне, безусловно, оставшиеся. Мы в одной лодке, выгребем. 🛶 🙂

О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК

Добавить комментарий

О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК. Сообщает нам Ъ со ссылкой на источник в правительстве. Якобы это инициатива Минцифры и обязанность делать предустановку возложат на ритейлеров. Если предположить, что так и будет, хорошо ли это? Смотря кому.

1. Вендорам отечественных ОС хорошо, т.к. дополнительный доход от OEM лицензий.

2. Государству хорошо, т.к. это поддержка вендоров отечественных ОС, которая не требует бюджетных вливаний. Теоретически может несколько уменьшиться доля западных ОС и зависимость от них.

3. Ритейлу плохо. На них ляжет дополнительная работа по предустановке, тестированию совместимости и т.п. Что делать с устройствами, на которые нельзя поставить отечественную ОС (читай: Apple)? Это фактический запрет на их продажу? Если да, то продажи таких устройств уйдут в тень, если нет, то будет ли действенна эта мера?

4. Пользователям нейтрально-плохо. Ритейлеры свои дополнительные затраты включат в цену устройств. Каким-то пользователям предустановленная ОС может и зайдет. Почта есть, браузер с соцсеточками и ютубом тоже есть - ну и норм. 🙂 Но, думаю, абсолютное большинство будет на свежекупленное устройства тут же ставить Windows. Лицензионный или не очень. Возможно как доп. услугу у того же ритейлера.

В целом, как мера поддержки отечественных Linux вендоров это выглядит неплохо, но сама по себе это мера расклад по используемым в РФ операционным системам вряд ли изменит. Чтобы снизить долю macOS и Windows нужно прежде всего осознать это как серьёзную проблему и начать это недвусмысленно транслировать. Пока прямых заявлений, что Microsoft и Apple нам вражины и нужно отказываться от использования их продуктов насколько это возможно, я лично не видел. А без этого сложно объяснить конечным пользователям почему им нужно перестать использовать то, что удобно и привычно, и начать вдруг пользоваться тем, что непривычно и менее функционально.