Архив метки: MicrosoftDefender

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)?

Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)? Основная причина, почему её можно выделить в апрельском Microsoft Patch Tuesday - упоминание в блоге ZDI (Zero Day Initiative). ZDI считают, что эта уязвимость эксплуатируется в реальных атаках. При том, что Microsoft в настоящее время так НЕ считают. Такая вот странная ситуация. 🤷‍♂️

Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.

Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024-29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Также Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412), которая попала в список трендовых уязвимостей в феврале.

Западные VM-вендоры друг о друге

Западные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о другеЗападные VM-вендоры друг о друге

Западные VM-вендоры друг о друге. Когда я активно занимался конкурентным анализом 10 лет назад, вендорские сравнения и батл-карты это было что-то очень-очень приватное, доставаемое из-под полы. А сейчас на западе, оказывается, вполне нормальным считается выкладывать такое открыто на официальных сайтах. 🤷‍♂️ Удобно. 🙂 Никто так подробно не опишет несовершенства решений как прямые конкуренты. 😉

Tenable
🔹 Сравнительная таблица с Qualys и Rapid7
🔹 Сравнение с Qualys (Security Leader’s Guide)
🔹 Сравнение с Rapid7 (Security Leader’s Guide)
🔹 Сравнение с Rapid7 (Vulnerability Prioritization)
🔹 Сравнение с Microsoft Defender (Security Leader’s Guide)
🔹 Сравнение с CrowdStrike (Security Leader’s Guide)

Qualys
🔹 Сравнительная таблица с Tenable
🔹 Сравнительная таблица с Tenable (другой вариант)
🔹 Сравнительная таблица с Tenable Nessus (SMB)
🔹 Сравнительная таблица с Rapid 7

Rapid7
🔹 Сравнение с Qualys
🔹 Сравнение с Tenable