Архив метки: PositiveTechnologies

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177)

Добавить комментарий

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177)

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177). Это продолжение истории про Memory Corruption/RCE - ImageIO (CVE-2025-43300).

🧩 29 августа Meta (признана экстремистской организацией в России) предупредила часть пользователей WhatsApp о возможной компрометации их устройств. 🎯 0day уязвимость в WhatsApp для iOS и Mac (CVE-2025-55177) позволяла злодеям инициировать обработку контента из произвольного URL-а из-за "неполной авторизации сообщений синхронизации связанных устройств". Затем они эксплуатировали знакомую RCE при обработке DNG файлов (CVE-2025-43300).

Злоумышленники наверняка найдут и другие способы доставки зловрденых DNG-шек. 😉

И что же делать? Кроме перехода на MAX и Аврору. 😉

♻️ своевременно обновлять приложения и ОС

🛡 использовать iOS Lockdown Mode / Android Advanced Protection Mode

🔄 при подозрении на компрометацию сбрасывать устройство к заводским настройкам

ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300)

Добавить комментарий

ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300)

ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300). Отдельно радует, что ТАСС указали компанию, должность, имя-фамилию (а не "киберэксперт Леонов" 😅). Суть уязвимости тоже верно передали. 👍

По уязвимости появились подробности, что она вызвана ошибкой "в реализации кода для JPEG Lossless Decompression внутри модуля RawCamera.bundle, который обрабатывает файлы DNG (Digital Negative) от Adobe".

Почему опасно:

🔓 Эксплуатируется без клика и нотификаций: файлы DNG могут автоматически обрабатываться iOS при получении через iMessage или другие мессенджеры. 📱 Ваш телефон не спросит разрешения - он просто отрендерит превью и выполнит код. 😈

🌍 Широкий вектор атаки: DNG - это открытый формат raw изображения, активно используемый фотографами 📸.

🎯 Доп. возможности после эксплуатации: Apple BlastDoor разрешает права для RawCamera.bundle.

👾⚒️ Эксплуатируется вживую и есть PoC эксплоита на GitHub

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей

Добавить комментарий

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей. Продолжу предыдущий пост примером конкретного решения. 😉

➡️ На вход Carbon берёт данные по уязвимостям (в расширенном смысле, "экспозиции": CVE/BDU, мисконфиги, подобранные учётки и т.п.) и сетевой связности из MaxPatrol VM. ❗️Отсюда важность полноты VM-сканирования❗️ Пользователь также задаёт точки проникновения, и целевые системы.

⬅️ На выходе Carbon даёт набор потенциальных путей атаки (тысячи их!), завязанных на эксплуатацию обнаруженных уязвимостей ("экспозиций"). Причём это не условные маршруты на основе сетевой достижимости. Нет! Там полноценные сценарии с эксплуатацией RCE-уязвимостей, захватом учёток, повышением привилегий, учётом возможности подключения по легитимному протоколу и прочим. 👨‍🔬

⚖️ Пути атаки оцениваются с учётом сложности эксплуатации, длительности и количества шагов…

И только здесь начинается полноценная приоритизация уязвимостей… 😉

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT

Добавить комментарий

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT. 🎉

🔹 Organisation of Islamic Cooperation (OIC) является самой крупной и наиболее влиятельной официальной правительственной мусульманской международной организацией. В настоящее время объединяет 57 стран с населением около 2 млрд человек. Россия тоже входит в OIC в качестве наблюдателя.

🔹 OIC-CERT - группа реагирования на компьютерные инциденты, являющаяся дочерней организацией OIC. В неё входят национальные CERT-ы 27 стран, а также 8 коммерческих организаций, среди которых Positive Technologies.

➡️ Собственно в разделе, посвящённом результатам работы Positive Technologies, и была опубликована подготовленная мной статистика по трендовым уязвимостям за 2024 год (отчёт на 67,49M, стр 229).

Весьма рад, что получилось внести небольшой вклад в повышение осведомленности о PT ESC и Positive Technologies среди национальных CERT-ов и важных decision maker-ов! 😉

Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025

Добавить комментарий

Дайджест трендовых уязвимостей R-Vision В фокусе RVD за июль 2025

Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025. R-Vision отметили 3 уязвимости:

🔹 RCE - Microsoft SharePoint Server (CVE-2025-53770). Наиболее критичная уязвимость июля. У нас тоже в дайджесте была. ✅
🔹 RCE - WinRAR (CVE-2025-6218). Эта уязвимость у нас тоже в трендовых, но пойдёт уже в сентябрьский дайжест вместе с CVE-2025-8088. ✅
🔹 SFB - Chromium (CVE-2025-6558). Тут расхождение. Мы браузерные уязвимости Chromium к трендовым не относим, т.к. все они должны (по идее) закрываться настройками автообновления браузера. ❌

❓ Уязвимость EoP - Windows Update Service (CVE-2025-48799) попала к нам в дайджест и не попала в дайджест R-Vision. Эксплоит есть - пора трендить и патчить до начала массовых атак. 😉

Дайджест добротный, хорошо структурированный. Содержит вектор атаки, пруфы вендора, описание уязвимости, статус эксплуатации, сценарии атаки, рекомендации по устранению. 👍

R-Vision тоже стали выпускать ежемесячные дайджесты трендовых уязвимостей

Добавить комментарий

R-Vision тоже стали выпускать ежемесячные дайджесты трендовых уязвимостей

R-Vision тоже стали выпускать ежемесячные дайджесты трендовых уязвимостей. И да, они тоже используют словосочетание "трендовые уязвимости", как и Positive Technologies. Хотя мы, видимо, понимаем под этим несколько разные вещи и здесь стоило бы сверить определения. 😉 Дайджесты R-Vision называются не "В тренде VM", а "В фокусе RVD" (R-Vision Vulnerability Database). 🙂

Имхо, чем больше VM-вендоров будут выпускать материалы по критичным уязвимостям, на которые стоит обращать внимание, тем лучше. 👍 Пользователи смогут смотреть разные дайджесты и задаваться вопросом, почему у одного вендора одни уязвимости в дайджест попали, а у другого вендора не попали. Вендоры тоже могут делать свои выводы. Ну и в целом экспертиза будет расти, awareness усиливаться, и, будем надеяться, что ситуация с уязвимостями в российских организациях будет улучшаться от этого. Win-win-win! 😉

Августовский "В тренде VM": уязвимости в Microsoft Windows и SharePoint

Добавить комментарий

Августовский В тренде VM: уязвимости в Microsoft Windows и SharePoint

Августовский "В тренде VM": уязвимости в Microsoft Windows и SharePoint. Традиционная ежемесячная подборка. В этот раз экстремально короткая.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего две трендовые уязвимости:

🔻 Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770). Уязвимость массово эксплуатируется, возможно злоумышленники могли добраться даже до американских ядерных секретов. Уязвимость актуальна и для России.
🔻 Elevation of Privilege - Windows Update Service (CVE-2025-48799). Уязвимость затрагивает версии Windows 10/11 с как минимум двумя жёсткими дисками.