Архив метки: PositiveTechnologies

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference. В 14:00 начнётся панельная дискуссия "Тотальный VM-разбор: вендор, заказчик и ML против уязвимостей". Очень приятно, что коллеги из R-Vision пригласили в дискуссию представителя Positive Technologies (меня 🙂) и RedCheck (Сергея Уздемира). Не часто конкурентам дают слово на вендорских мероприятиях. Большой респект R-Vision за это! 👍👏

Собираюсь говорить про БОСПУУ, контроль качества сканирования, почему VM-процесс становится ущербным и как может выглядеть осознанный подход к VM-у. В общем, о всех тех вещах, где видится большой потенциал для взаимодействия VM-вендоров, независимо от особенностей их продуктов и маркетинговых стратегий. 🙂 Будет интересно получить обратную связь от участвующих в дискуссии представителей клиентов (Сбертех, Вымпелком, Агроэко).

➡️ Регистрация на сайте
📍 Loft Hall и онлайн

Презент от нашей PR-службы - значок The Best Positive Speaker 2024

Презент от нашей PR-службы - значок The Best Positive Speaker 2024

Презент от нашей PR-службы - значок The Best Positive Speaker 2024. 🙂 Вручается за активное участие во внешних коммуникациях: выступление на мероприятиях, написание статей, комментариев СМИ и прочее. Очень приятненько было получить. 😇 Спасибо коллегам!

Размеры значка 25 x 35 мм. Комфортно тяжеленький, металлический. Покрыт качественной яркой эмалью. С небольшим усилием раскрывается как чемоданчик. Изящная штучка. 👍

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)

Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились в компьютере. Уязвимость этого драйвера, исправленная в рамках июньского Microsoft Patch Tuesday 2024 года, позволяет атакующему получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow (CWE-122).

🔻 Приватный эксплойт был представлен на конкурсе TyphoonPWN 2024 30 мая 2024 года. Его использовали в составе цепочки эксплоитов для осуществления побега из виртуальной машины под управлением VMware workstation (Guest-to-Host-Escape).

🔻 19 декабря 2024 года техническое описание и код эксплоита были опубликованы на сайте SSD Secure Disclosure.

🔻 3 марта в блоге Positive Technologies вышел пост, в котором рассматриваются корни уязвимости и техники эксплуатации.

Расскажу про свой проект Vulristics на киберфестивале PHDays

Расскажу про свой проект Vulristics на киберфестивале PHDays

Расскажу про свой проект Vulristics на киберфестивале PHDays. CFP на PHDays завершился, все доклады отобрали. 👍

Меня спросили недавно: "Неужели сотрудники Positive Technologies тоже проходят через CFP?!" Да, тоже! 🙂 Квот нет и заявки отбирают по общим для всех правилам. А заявок в этом году было более 800!

❌ Моя основная заявка на доклад "Руководство ФСТЭК по Управлению Уязвимостями в 2025 году и его расширение" не прошла CFP в Defense трек. 😔 Бывает. 🤷‍♂️ Про усиление роли Руководства в работе государственных и финансовых организаций и сочетание его с БОСПУУ я обязательно расскажу в другой раз. 🙂

✅ Зато прошла заявка на доклад "Vulristics - утилита для анализа и приоритизации уязвимостей" в трек OpenSource & OpenSecurity. 🎉 Расскажу, как я 5 лет развиваю этот проект и использую его практически ежедневно. 😎

🎟 Билеты на закрытую часть уже в продаже. Это пожертвование от 1500 р. в один из благотворительных фондов. 👍

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей

Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty. Выплаты до 2 миллионов рублей. Зарепортить можно полные или частичные сценарии реализации недопустимых событий. Уровень опасности (и вознаграждения) определяется по табличке возможных сценариев атаки ("Диверсия", "Взлом", "Утечка", "Злоупотребление"), класса атакующего и полноты реализации сценария. Для MaxPatrol VM выделяют следующие классы атакующих:

🔹 Класс 0. Права администратора на сканируемом узле.
🔹 Класс 1. [для VM не выделяют]
🔹 Класс 2. Полный доступ к узлу, на котором запущен компонент MP 10 Collector, и права администратора ОС. на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
🔹 Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC).
🔹 Класс 4. Класс 3 + учетная запись с правами в MP10, соответствующими роли сотрудника SOC 1-ой линии.

Посмотрел лонч PT Dephaze

Посмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT Dephaze

Посмотрел лонч PT Dephaze. На что делали акценты:

🔻 Безопасность работы решения для бизнес-процессов компании. За счёт настройки границ, параметров агрессивности и исключения (ручного согласования) техник.

🔻 Атаки и построение цепочек атак. В первую очередь реализуют "низко висящие фрукты": перехват и подделка трафика, извлечение и восстановление учетных данных, перечисление учетных записей, повышение привилегий и боковое перемещение.

🕹 Продукт продемонстрировали на тестовой инфраструктуре на основе GOAD с тремя доменами, в которых есть сервера и десктопы (включая Linux-десктоп в домене). Показали NTLM relay нa SMB, ESC15 (CVE-2024-49019), получение доступа к GitLab и прочее.

📋 Обещают улучшать отчёты, валидацию исправлений, аудит паролей, добавлять новые атаки, хакерские инструменты и поддержку типовых инфраструктур.

💳 Лицензируется по атакуемым активам. Есть мобильным модуль (на ноут) для изолированных сред.

➡️ Запустили пилоты 😉