Архив метки: PTESC

Мои коллеги по PT Expert Security Center (PT ESC, @ptescalator) собрали папку с 15 каналами по ИБ

Мои коллеги по PT Expert Security Center (PT ESC, @ptescalator) собрали папку с 15 каналами по ИБ. "Управление Уязвимостями и прочее" тоже туда добавили, за что большое спасибо! 😇

Честно говоря, я из этой подборки знал только, собственно, ESCalator и SecAtor. 😅 Добавил себе эту папку, прошёлся по каналам. В основном там всякие крутые ребята-исследователи, которые пишут о хардкорных вещах на умном. 🤯👍 Не то, что всякие ИБ блогеры-шоумены, пересказывающие одни и те же новости по 20 раз для ширнармасс. 🙃

🗂 Натаскал себе в папочку ИБ экспертов, буду просвещаться. Рекомендую подписаться и пошарить папку со знакомыми. 😉

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178)

Добавить комментарий

По поводу Remote Code Execution - Scripting Engine (CVE-2024-38178). Уязвимость из августовского Patch Tuesday. Жертва переходит по ссылке злоумышленника, происходит повреждение памяти и выполнение произвольного кода злоумышленника.

Тонкость в том, что жертва должна открывать ссылку в браузере Edge от Microsoft в режиме совместимости с Internet Explorer. Но зачем жертве настраивать браузер в такой режим?

🔻 Жертва может по работе пользоваться каким-то старым веб-приложением, которое работает только в Internet Explorer, поэтому браузер так настроен. Не такая уж редкая ситуация. 😏

🔻Злоумышленник может попытаться убедить жертву включить настройку "Allow sites to be reloaded in Internet Explorer mode (IE mode)" в Edge. 🤷‍♂️

Так или иначе, уязвимость эксплуатируется вживую и для неё уже есть (полу?🤔)публичный эксплоит. Мои коллеги по PT ESC поделились сегодня в канале @ptESCalator как они этот эксплоит нашли и протестировали. 🔍

Размышляю о детектировании имени уязвимого продукта в Vulristics

2 комментария

Размышляю о детектировании имени уязвимого продукта в Vulristics. Коллеги из PT ESC выложили крутую статью про атаки группировки (Ex)Cobalt на российские компании. Там, среди прочего, упоминается, что злоумышленники эксплуатируют уязвимости CVE-2023-38831 и CVE-2023-3519. Забил их в Vulristics.

🔻 WinRAR-ную уязвимость CVE-2023-38831 я уже тут подсвечивал и по ней всё более-менее неплохо продетектилось.
🔻А для уязвимости Citrix CVE-2023-3519 Vulristics не смог продетектировать уязвимый продукт по описанию уязвимости. Потому что всё описание в NVD это: "Unauthenticated remote code execution". И всё. 😄 NVD не перестаёт удивлять.

Чем такое скомпенсировать?

🔹 Брать название продукта и тип уязвимости из CISA KEV. Решение только для ~1000 уязвимостей и +1 коннектор. Такое себе.
🔹 Детектить уязвимый продукт на основе cpe. ⬅️ склоняюсь к этому, т.к. можно разом получить черновые детекты для множества продуктов из cpe dictionary.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.