Архив метки: Netlogon

Выпустил новую англоязычную видяшечку

Добавить комментарий

Выпустил новую англоязычную видяшечку. Так получилось, что за последний год мой англоязычный блог (а вместе с ним и ютюб канал, и подкаст) окончательно свёлся к ежемесячным обзорам Microsoft Patch Tues­day. 🤷‍♂️🤦‍♂️ А остальной контент оседал только в моих телеграмм-каналах @avleonovcom и @avleonovrus. В основном, конечно, в русскоязычном. Постараюсь эту тенденцию переломить. Теперь буду выпускать один англоязычный эпизод по итогам месяца без особого фокуса на Patch Tues­day. Так должно быть поадекватнее и повеселее. 🙂

Подумывал делать эпизоды и на русском тоже, но решил не браться, т.к. получается двойная работа. Автоматический перевод яндекс-браузером могу порекомендовать только для смеха (например, отдельностоящее "CVЕ" распознает как "CV" и переводит как "резюме"). Но планирую тащить новости из канала на обсуждение в Прожектор по ИБ. Так что русскоязычные видяшки тоже в каком-то виде будут. 🙂
___

Hel­lo every­one! This month I decid­ed NOT to make an episode com­plete­ly ded­i­cat­ed to Microsoft Patch Tues­day. Instead, this episode will be an answer to the ques­tion of how my Vul­ner­a­bil­i­ty Man­age­ment month went. A ret­ro­spec­tion of some kind.

GitHub exploits and Vul­ris­tics
00:44 PoC in Github
02:19 Vul­ris­tics vul­ners-use-github-exploits-flag

VM ven­dors updates
04:39 Qualys First-Par­ty Appli­ca­tion Risk Detec­tion and Reme­di­a­tion
06:18 Ten­able Expo­sureAI
07:23 SC Awards and Rapid7

Vul­ner­a­bil­i­ties
09:04 Anglo-Sax­on vul­ner­a­bil­i­ty lists AA23-215A
12:32 August Microsoft Patch Tues­day
14:40 Win­RAR Exten­sion Spoof­ing (CVE-2023–38831)
15:16 Juniper RCE (CVE-2023–36844)

📘 Blog­post
🎞 Video
🎞 Video2 (for Rus­sia)

Кстати, про Zerologon (CVE-2020–1472)

1 комментарий

Кстати, про Zerologon (CVE-2020-1472)

Кстати, про Zerol­o­gon (CVE-2020–1472). На днях R‑Vision выложили на Хабре подробную статью про эту уязвимость.

Уязвимость старенькая, но всё ещё актуальная, в недавний расширенный список англосаксов входит.

"Она позволяет злоумышленникам изменить пароль компьютерной учетной записи контроллера домена и получить доступ к содержимому Active Direc­to­ry.

Эксплуатация Zerol­o­gon возможна на следующих не пропатченных версиях Win­dows Serv­er: 2008 R2, 2012, 2012R2, 2016, 2019. В версии Win­dows Serv­er 2022 уязвимость уже исправлена. Для реализации атаки достаточно наличия сетевой связности с устройства, к которому имеет доступ атакующий, до уязвимого контроллера домена."

В отчёте Vul­ris­tics уязвимость абсолютно топовая. Единственное что снижает критичность это тип — EoP, но в контексте контроллера домена это, конечно, совсем другая история. 😏

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics

1 комментарий

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics
Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics

Я добавил возможность исключать ссылки на GitHub в отчётах Vul­ris­tics. Для "громких" уязвимостей, например для Zerol­o­gon (CVE-2020–1472), в отчёте бывает слишком много ссылок на GitHub, большая часть из которых с эксплойтами не связана. А автоматически понять где репозитарии с эксплойтом, а где какая-то нерелевантная ерунда, весьма сложно. Да и, как правило, не особо и нужно. Реально работающий эксплойт скорее всего попадёт в специализированные сплойт-паки, хоть и с некоторой задержкой.

Поэтому, думаю у пользователей Vul­ris­tics должна быть возможность выпустить и отчёт, содержащий максимум информации по эксплойтам (пусть и несколько замусоренный), и отчёт только с учётом сплойт-паков.

Я добавил параметр –vul­ners-use-github-exploits-flag, который может принимать значение либо True либо False. По умолчанию значение True.

Также добавил [источник] ссылки.