Вышел выпуск новостей SecLab-а с моей рубрикой по трендовым уязвимостям марта. 🙂 Пятиминутная рубрика "В тренде VM" начинается с 16:43. 🎞
По сравнению с прошлым месяцем, в рубрике чуть поменьше мемчиков и шутеек, чуть побольше фактологии.
Основным ведущим выпуска в этот раз был Денис Батранков, Александр Антипов пока в отпуске.
Подробности по трендовым уязвимостям марта читайте в дайджесте и на Хабре.
Вышла статья на Хабре про трендовые уязвимости марта. В этот раз мы решили немного поменять технологию. Раньше на хабр просто рерайтили тот же дайджест с сайта. Получалось суховато. В этот раз за основу статьи я взял текст, который готовил для новостного видео SecLab-а (должно выйти на следующей неделе) и скомбинировал его с более формальным описанием из дайджеста. Вроде так получилось гораздо живее.
Вся кухня сейчас выглядит вот так:
1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab-а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Analytics.
4️⃣ Собираю итоговый текст для Хабра.
В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉
На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта. Для наглядности я также сгенерил отчёт Vulristics по ним. Всего 5 уязвимостей.
🔻 По 3 уязвимостям есть эксплоиты и подтвержденные признаки эксплуатации вживую: AuthBypass - TeamCity (CVE-2024-27198), RCE - FortiClientEMS (CVE-2023-48788), EoP - Windows Kernel (CVE-2024-21338).
🔻 Ещё по 2 уязвимостям признаков эксплуатации вживую пока нет, но есть эксплоиты: EoP - Windows CLFS Driver (CVE-2023-36424), RCE - Microsoft Outlook (CVE-2024-21378).
Будет ещё видео-версия с мемасиками в новостном выпуске секлаба. Снимали в конце марта, ждём на следующей неделе. И будет ещё пост на хабре по контенту из этой видяшки. 😇
26 марта CISA добавили в KEV уязвимость Remote Code Execution - Microsoft SharePoint Server (CVE-2023-24955).
🔹 Эта уязвимость из майского Patch Tuesday 2023 года. Я её тогда выделил в обзоре, т.к. эту уязвимость показали на Pwn2Own Vancouver, а значит для неё был приватный эксплоит, который рано или поздно появился бы в паблике.
🔹 В паблике эксплоит появился 26 сентября 2023 года.
🔹 19 января 2024 года вышел модуль для метасплоита, который эксплуатировал эту уязвимость вместе с обходом аутентификации SharePoint (CVE-2023-29357), исправленную в июне 2023 года.
🔹 Сейчас видимо пошли подтвержденные атаки именно для CVE-2023-24955. 👾
Мораль? Обновляйтесь заранее, обращайте внимание на уязвимости продемонстрированные на Pwn2Own мероприятиях.
🟥 Positive Technologies относит эту уязвимость к трендовым с 27 сентября 2023 года. Т.е. мы отметили её как супер-критичную за полгода до появления в CISA KEV.
На прошлой неделе для MaxPatrol VM (вместе с SIEM) объявили Bug Bounty программу. Выплаты за критикал до миллиона рублей. Для удобства есть доступный из интернет сервак (нужно только в /etc/hosts прописать).
В описании программы есть закрытый список из 10 пунктов за что вознаграждение НЕ выплачивается. По этим пунктам и так интуитивно понятно, что такое слать не нужно, но люди находятся. 🤷♂️ За остальное может выплачиваться. Даже за уязвимости, найденные в используемом компанией ПО сторонних производителей (например, opensource-библиотеках), но, по умолчанию, по минимальной границе.
В правилах и требованиях к отчёту тоже вроде всё по делу и ничего сверхестественного нет.
Программу запустили в прошлую среду, уже 3 отчёта сдано.
Начиная с версии 2.1, сканер (коллектор) MaxPatrol VM, поставленный на Linux, может безагентно сканировать Windows-хосты в режиме Аудит. В режиме Пентест тоже, но это, имхо, чуть меньше впечатляет.
Казалось бы, а чего такого? Тот же Nessus ставится на Linux и сканирует Windows. Или апплаенс Qualys-а тоже не на винде работает. 🤔
Но для того, чтобы это реализовать нужно в Linux-овый сканер добавить транспорты для сканирования Windows (как минимум NetBIOS, SMB). А когда у вас десятилетиями сканер был исключительно виндовый, то считай транспорты нужно реализовать заново без использования платформозависимых библиотек. 🤷♂️ А потом тщательно протестировать, что всё работает.
Поэтому, когда отечественные VM-вендоры будут вам говорить, что они могут сканировать Linux-овым сканером Windows хосты, уточняйте речь только об агентном сканировании (сделать гораздо проще) или о безагентном тоже.
Агентно MaxPatrol VM может сканировать через EDR агенты.
Аналитика Угроз и Управление Уязвимостями. Во вторник смотрел вебинар Positive Technologies "PT ESC. Эпизод 1: погружение в Threat Intelligence". Там было в основном про атаки, но про уязвимости и совместную работу PT Threat Analyzer с MaxPatrol VM тоже немного было (34:11).
🔹 MaxPatrol VM знает всё про уязвимости, которые актуальны для инфраструктуры заказчика.
🔹 PT Threat Analyser забирает список этих уязвимостей и делает сопоставление уязвимостей и индикаторов компрометации для вредоносного ПО, которое эти уязвимости эксплуатирует.
Таким образом заказчики могут фильтровать угрозы, актуальные именно для их инфраструктуры.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.