Архив метки: NSA

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028)

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028)

Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028). Уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. CVSS 7.8. Никто эту уязвимость особо не выделял. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского NSA (National Security Agency). Это случается достаточно редко. В таком состоянии уязвимость пребывала до 22 апреля 2024 г.

🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾

🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.

🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷‍♂️

🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.

🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎

🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.

➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.

По поводу последнего яростно заминусованного поста мне в личку написали несколько человек, что я не прав: тайна переписки важнее безопасности и дело вовсе не в Телеграм

По поводу последнего яростно заминусованного поста мне в личку написали несколько человек, что я не прав: тайна переписки важнее безопасности и дело вовсе не в Телеграм

По поводу последнего яростно заминусованного поста мне в личку написали несколько человек, что я не прав: тайна переписки важнее безопасности и дело вовсе не в Телеграм. А дело в ошибках допущенных специальными службами. Мол, проспали такие мощные приготовления и т.д.

🔹 Я не берусь судить о работе специальных служб, т.к. ничего в этом не понимаю. Я только обращаю внимание, что все эти приготовления где-то координировались. И задержанные уроды заявляют, что в Telegram. 🤷‍♂️

🔹 По поводу того, что тайна переписки важнее безопасности. Я не юрист и опять же мало в этом понимаю, но вот почему-то американцы после 11 сентября 2001 года решили, что недостаточный контроль за частными коммуникациями это ключевая проблема и приняли Patriot Act. А затем отслеживали сообщения в Hotmail (Microsoft), Google Mail, Yahoo!, YouTube, Skype, AOL, Apple, Paltalk (и в ещё одной сверхпопулярной соцсети, которую я предпочту не называть) через программу PRISM. Вроде как это повысило эффективность работы NSA. Вот вы как считаете, американцам можно контролировать коммуникации, а нашим нельзя? Я вот считаю, что у наших должны быть средства контроля не хуже, чем у американцев.

🔹 Конечно есть отдельные западные диссиденты типа Ассанджа или Сноудена, которые эти американские программы критикуют. Я не западный диссидент и их идеалистическая позиция мне не близка. У меня претензия только в том, что к этим пользовательским данным имеют доступ американские специальные службы, а наши нет. Несправедливо. Но с другой стороны что удивляться, если это ИХ сервисы. Кто девушку ужинает, тот её и танцует.

🔹 В целом, я за то, чтобы у наших правоохранителей был весь нужный им арсенал средств для эффективной работы. Достаточен ли он сейчас? Не знаю, но надеюсь, что да. Если недостаточен, то мне кажется следует принимать меры, чтобы был достаточен. Я бы это приветствовал.

🔹 Можно возразить: ну, допустим, будет у злодеев не Телеграм, а какие-то супер-мега приватные приложения или даже что-то самописное работающее поверх традиционных каналов. Допустим. Но как и в ИБ цель не в том, чтобы сделать атаку невозможной, а чтобы максимально её усложнить, сделать как можно дороже. А приватные мессенджеры могут быть и фейковыми, как в случае с ANOM.

———

В завершение могу сказать только то, что я пишу здесь это моя личная рефлексия на произошедший ужас и кошмар. 😔😰 Кто уж как справляется, не судите строго.

Допускаю, что и сам мог быть на этом концерте Пикника, люблю эту группу. У них есть одна песня, текст которой звучит сейчас особенно жутко:

Из огня в огонь, из слова в слово
Душа душу зажигает.
В небесах охрипший ветер
Отпеванье начинает.

Ты огнем согреешь землю,
Все живое обновляя,
И в ночи рассвет разбудишь,
В небе солнце заменяя.
И познав все тайны жизни
Ты откроешь дверь вселенной…
Вспомню я свою молитву
За невинно убиенных.

Прошло 10 лет с утечки Сноудена

Прошло 10 лет с утечки Сноудена

Прошло 10 лет с утечки Сноудена. Она подтвердила как легко американскому государству удается устанавливать тайные отношения с американским бигтехом. Например, в рамках программы PRISM. Вполне ожидаемо было, что все сообщения пользователей бесплатных интернет-сервисов сливаются и анализируются понятно кем. А скептики-западники говорили, что доказательств нет и уважаемые американские компании на такое никогда не пойдут, т.к. это уничтожит их репутацию и бизнес. А потом вдруг доказательства этому появились. Ну надо же. 😏

Совершенно не удивлюсь, если американскому государству также легко договариваться с американскими IT/ИБ вендорами (с некоторыми ещё в рамках PRISM договорились). И из какой-нибудь будущей утечки мы узнаем об "уязвимостях", которые появились в некоторых продуктах не случайно, а в рамках какой-нибудь гипотетической программы ACCESS.

Сам Сноуден мне несимпатичен. Инсайдер, сливший документы работодателя. Никаких сантиментов к России не питал, пытался укрыться в Исландии, Китае, Германии, странах Латинской Америки, да где угодно ещё. Не вышло, в итоге получил убежище, а потом и гражданство здесь. При этом периодически позволял себе всякие критические политические заявления по поводу России, от которых вполне мог бы и воздержаться (см. хронологию в статье на wiki). В общем, такой себе персонаж, но определенную пользу он, безусловно, принёс.

Что в итоге делать с Триангуляцией?

Что в итоге делать с Триангуляцией?

Что в итоге делать с Триангуляцией? Имхо, это зависит от вашего отношения к утверждению, что Apple намеренно добавили уязвимость в iMessage.

1. Если это действительно так, то Apple это откровенно враждебный вендор и от всех их продуктов нужно планомерно и оперативно избавляться. Не только от айфонов, но и от mac-ов и т.д. Начиная, естественно с наиболее критичных мест.

2. Если же у вас есть основания полагать, что Apple здесь ни при чём, то тогда действуем как в любом кейсе с малварями. Мониторим подключения к C&C, проверяем iOS устройства с помощью утилиты от Kaspersky, если заражены, то вайпаем их, iMessage от греха отключаем, ждём и форсим обновления Apple, сотрудникам выдаём общие рекомендации по кибергигиене.

У меня нет оснований не доверять тому, что было написано в пресс-релизе. Поэтому я, в целом, за первый вариант. Но, конечно же, хотелось бы видеть прямую рекомендацию от регуляторов. В бюллетене НКЦКИ такой рекомендации пока не было.

По поводу новости про малварь на Apple iPhone устройствах в России

По поводу новости про малварь на Apple iPhone устройствах в России

По поводу новости про малварь на Apple iPhone устройствах в России. Почитал исходный пресс-релиз.

1. Речь о заражениях ранее неизвестной малварью, использующей уязвимости iPhone. Т.е. видимо это не NSO Group Pegasus, которая обычно в подобных новостях светится.
2. Утверждается, что уязвимости были намеренно "предусмотрены производителем", т.е. Apple.
3. Утверждается, что заражено несколько тысяч устройств.
3. Утверждается, что это операция АНБ.

Охотно верю, что так и было. Имхо, Apple это зло и их устройствами пользоваться нельзя. Тем более, что в этих устройствах нет никакой особой необходимости, чего, например, не скажешь о продуктах Microsoft или Google. Одна мнимая статусность и глупые привычки, сформированные маркетинговой истерией. Надеюсь, что одним пресс-релизом не ограничится и последуют конкретные запретительные меры. Как по мне, то у госслужащих и у работников связанных с КИИ никаких продуктов Apple быть в принципе не должно.

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском. На русском было тут.