Архив метки: TrendVulns

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday

Добавить комментарий

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday. И это не те уязвимости, на которые можно было подумать и о которых все пишут. Это две малозаметные EoPшки:

🔻 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2023-35632). В этом году был прецедент, когда EoP в Windows Ancillary Function Driver for Winsock (CVE-2023-21768) довели до эксплоита за 24 часа. В январе вышла уязвимость, в марте уже был модуль в Metasploit. Расковыряют ли в этот раз? Посмотрим. 🍿

🔻 Elevation of Privilege - Windows Win32k (CVE-2023-36011). EoP эксплоиты для Win32k появляются очень часто и обновления для этой конкретной CVE выпустили для всех версий Windows, начиная с Windows Server 2012. 🕵‍♂

Остальные уязвимости, несмотря на занимательные описания, пока не дотягивают до трендовых. Но это вовсе не значит, что их не нужно исправлять. Очень даже нужно. 😉

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости

2 комментария

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости

Выступил на КодИБ ИТОГИ с докладом про трендовые уязвимости. Вполне успешно, но чуток экстремально. Аккурат перед моим выступлением экран перестал работать. ⬛️ Поэтому моя презентация стартовала как стендап. 🤷‍♂️🙂 Объяснять словами диаграмму Эйлера про различия CISA KEV и трендовых уязвимостей от PT, которую зрители не видят, это такое себе. Но вроде справился. 😅 К счастью, где-то на середине выступления экран ожил и дальше всё пошло по плану, все картинки были продемонстрированы.

Под конец "дискуссии с экспертами" предложили сформулировать пожелание для всех зрителей по итогам выступления. Вспомнил наши выпуски "Прожектора по ИБ" и выдал универсальное: "Обновляйтесь!" 🙂

Неважно, корпоративная у вас инфраструктура или домашняя, регулярные обновления решат большую часть проблем с уязвимостями, а значит и с ИБ в целом. Ну а если уязвимостей слишком много, то в первую очередь исправляйте наиболее критичные трендовые уязвимости, подсвеченные надёжным VM-вендором. 😉

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

2 комментария

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

Экспорт данных из MaxPatrol VM через API по PDQL-запросу. К завтрашнему выступлению выкладываю небольшой мануал и пример скрипта.

1. Для работы с API вам понадобится логин и пароль пользователя, а также параметр ClientSecret, который лежит на сервере в /var/lib/deployer/role_instances/Core/params.yaml

2. Делаем запрос к mpvm_url + ':3334/connect/token', получаем токен, который подставляем в хидер authorization в виде 'Bearer ' + token. ⚠️ Получение токена у идёт по порту 3334, а дальнейшая работа с API по порту 443!

3. Делаем запрос к assets_grid с PDQL-запросом, получаем pdql_token. Затем с этим токеном делаем запросы к assets_grid/data увеличивая offset. Упёрлись в лимит 50000 результатов? Добавьте "| limit(0)" в конец PDQL-запроса.

🧠 Отлаживать PDQL-запросы удобнее в web-gui и затем смотреть какие запросы браузер шлёт, т.к. используется тот же API.

📄 Пример python-скрипта для экcпорта всех трендовых уязвимостей.

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости

3 комментария

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости

Собираюсь выступить на Код ИБ 2023 | ИТОГИ в этот четверг с мини-докладом про трендовые уязвимости. Зачем нужно выделять трендовые уязвимости и почему делать это по открытым данным весьма непросто. Плюс пара слайдов про то, какие трендовые уязвимости выделил в 2023 году один отечественный 🟥 VM вендор (конспиративная формулировка, т.к. иду как "независимый эксперт" 😉🤷‍♂️) .

Выступление будет в секции "Анализ защищенности и расследование инцидентов", начало в 12:00. Внезапно попал в одну секцию с Андреем Масаловичем (КиберДед)! 🙂 После коротких выступлений там ожидается "Дискуссия с экспертами", должно быть занимательно.

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

Добавить комментарий

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Windows Hello и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911

Добавить комментарий

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911

В CISA KEV только вчера, 21 ноября, добавили Looney Tunables CVE-2023-4911. Это при том, что уязвимость вышла 3 октября, публичный PoC для неё был готов уже на следующий день, и она уже как минимум 2 недели эксплуатируется в зловреде Kinsing. Не спешат товарищи, ой не спешат. 🤷‍♂️

🟥 Positive Technologies относит эту уязвимость к трендовым с 4 октября. 😎

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading

5 комментариев

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading

Любопытная статья с критикой CISA KEV за медлительность вышла на Dark Reading. "Эксплуатируемым уязвимостям требуются месяцы на то, чтобы попасть в CISA KEV". Показывают на примерах:

1. RCE уязвимость в Adobe Acrobat и Reader (CVE-2023-21608). Вышла эта уязвимость 18 января. PoC для неё вышел в феврале. С июня эксплоит доступен в коммерческих фреймворках. А в CISA KEV уязвимость добавили только 10 октября. 🤷‍♂️ 10 месяцев получается потребовалось.

2. Множественные уязвимости в Juniper серий EX и SRX. Объявили об уязвимостях в середине августа. 25 августа Shadowserver сообщили о попытках эксплуатации вживую. В CISA KEV добавили только 13 ноября.

3. Обход аутентификации Veeam Backup & Replication (CVE-2023-27532). Обнаруженна в марте, начала эксплуатироваться позже в том же месяце, добавлена в список KEV только в августе.

И почему так?

Всё из-за жёстких критериев к доказательствам фактов эксплуатации уязвимости вживую и к наличию исправления от вендора (т.к. CISA KEV это фактически перечень требований для федеральных агентств по исправлению уязвимостей).

В статье рекомендуют использовать дополнительные источники данных об уязвимостях эксплуатируемых вживую.

Тоже порекомендую такой источник -

Трендовые Уязвимости
от 🟥 Positive Technologies

😉