Архив метки: vulnerability

Встречайте dbugs - портал по уязвимостям от Positive Technologies!

Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies!

Встречайте dbugs - портал по уязвимостям от Positive Technologies! 🎉 Этот проект демонстрирует, как в нашей компании происходит сбор и анализ данных по уязвимостям, в том числе и для определения трендовых уязвимостей.

Основные фишки:

🔹 Карточки уязвимостей со ссылками на источники (ссылки свои, а не из NVD и Mitre 😉!), возможность просматривать описание уязвимостей из разных источников (включая расширенное AI-ное описание от PT), автоматическое тегирование (наличие 👾 эксплоитов и фиксов, типы уязвимостей). Признака эксплуатации вживую пока нет, но обещают добавить. 🙏

🔹 AI Trends. Рейтинг уязвимостей по упоминаниям в микроблогах. Не путать с трендовыми уязвимостями, которые отображаются в MaxPatrol VM и о которых мы пишем в ежемесячных дайджестах.

🔹 Информация об исследователях и их рейтинг. Отталкиваясь от того, кто зарепортил уязвимость, можно прогнозировать реальную эксплуатабельность. Р - репутация. 🧐

И всё это доступно бесплатно! 🆓👍

Июльский Microsoft Patch Tuesday

Июльский Microsoft Patch Tuesday

Июльский Microsoft Patch Tuesday. Всего 152 уязвимостей, в два раза больше, чем в июне. Из них 15 уязвимостей были добавлены между июньским и июльским MSPT. Есть одна уязвимость с признаком эксплуатации вживую:

🔻 Memory Corruption - Chromium (CVE-2025-6554)

Для одной уязвимости есть эксплойт на GitHub:

🔸 EoP - Windows Update Service (CVE-2025-48799). Уязвимость эксплуатируется на Win11/Win10 хостах с двумя и более жёсткими дисками.

Из остальных можно выделить:

🔹 RCE - CDPService (CVE-2025-49724), KDC Proxy Service (CVE-2025-49735), SharePoint (CVE-2025-49704, CVE-2025-49701), Hyper-V DDA (CVE-2025-48822), MS Office (CVE-2025-49695), NEGOEX (CVE-2025-47981), MS SQL Server (CVE-2025-49717)
🔹 InfDisc - MS SQL Server (CVE-2025-49719)
🔹 EoP - MS VHD (CVE-2025-49689), TCP/IP Driver (CVE-2025-49686), Win32k (CVE-2025-49727, CVE-2025-49733, CVE-2025-49667), Graphics Component (CVE-2025-49732, CVE-2025-49744)

🗒 Полный отчёт Vulristics

Уязвимости подрядчиков - это ваши уязвимости

Уязвимости подрядчиков - это ваши уязвимости

Уязвимости подрядчиков - это ваши уязвимости. Есть масса публичных кейсов, когда подрядчика ломали и получали доступ к данным компаний-клиентов. А то и доступ непосредственно в их инфраструктуры! И что с этим делать? 🤔

Даже только по VM-ной части. Вы, как минимум теоретически, можете выстроить В СВОЕЙ КОМПАНИИ красивый и эффективный VM-процесс для 100% инфраструктуры. Но вы же не будете сами выстраивать VM-процесс у всех ваших подрядчиков? 🙂

Получается гарантировать безопасность подрядчиков следует как-то иначе: через выставление требований по ИБ к подрядчикам и контроль их выполнения (анкетирование, контроль периметра, внутренний аудит и т.п.).

🎞 У Алексея Лукацкого недавно был хороший вебинар про безопасность подрядчиков. Там ещё в раздатке были категории подрядчиков для компаний из разных отраслей: банки, IT-компании, ритейл, сельхоз, нефтянка. 👍

➡️ А завтра в 12:00 (МСК) об этом будут говорить в Код ИБ "Безопасная Среда". Собираюсь посмотреть. 👀

Централизация репортинга уязвимостей

Централизация репортинга уязвимостей

Централизация репортинга уязвимостей. Раз уж последний пост на эту тему набрал много реакции (хоть и отрицательных 😅) и даже породил дискуссию, я расписал как бы мог работать гипотетический государственный регулятор "Инициатива Нулевого Дня" ("ИНД"; отсылка к ZDI 🙂), контролирующий репортинг уязвимостей в продуктах вендоров из недружественных стран.

Исследователь, обнаруживший уязвимость в продукте вендора из недружественной страны, передаёт результаты ресёрча в ИНД. Эксперты ИНД проводят анализ и выносят решение:

🔹 Если уязвимость представляет интерес с точки зрения национальной безопасности, исследователь подписывает соглашение о неразглашении и ему выплачивается вознаграждение от ИНД. Вендор не уведомляется. Также как NSA годами использовали EternalBlue и не сообщали MS. 😉

🔹 Если уязвимость не представляет интереса, ИНД либо сообщает о ней вендору, либо даёт разрешение исследователю сообщить вендору самостоятельно. Уязвимость заводится в БДУ.

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому "закону о белых хакерах

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому закону о белых хакерах

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому "закону о белых хакерах":

"Кроме того, передача информации о выявленных недостатках программ для ЭВМ и (или) базы данных правообладателям, находящимся под юрисдикцией государств, совершающих недружественные действия в отношении Российской Федерации, не отвечает интересам обеспечения безопасности Российской Федерации."

Вполне справедливо. Более того, контакты российских исследователей с вендорами из недружественных стран (зачастую крупным гос. подрядчиками) в текущей непростой геополитической ситуации могут иметь признаки противоправной деятельности. 🤔 См. 275 УК РФ: "консультационная или иная помощь". А оно вам надо?

Централизация репортинга уязвимостей могла бы помочь: российский исследователь сдаёт найденную уязвимость не вендору, а российскому регулятору (ФСТЭК? НКЦКИ?), а регулятор уже принимает решение - следует ли сообщать об этой уязвимости вендору из недружественной страны или нет.

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы. 🤷‍♂️ Ведь задача, которая ставится перед их разработчиками - получить за минимальное время и с минимальными затратами решение с максимальной функциональностью. И заработать на этом. 👛

Для того чтобы отечественные ОС стали по-настоящему отечественными, необходимо менять подход. Исходить из того, что западные опенсурсные компоненты - зло. Они нашпигованы закладками (иногда под видом уязвимостей 😏). Для того чтобы минимизировать риски, связанные с этими закладками, необходимо минимизировать и количество зависимостей. А для этого нужно хотя бы поддерживать актуальный реестр зависимостей.

Тогда постепенно можно будет избавляться от наиболее сомнительных зависимостей, переходить на отечественные аналоги и форки. Тем самым формируя по-настоящему отечественные операционные системы. Которых (сюрприз-сюрприз!) сейчас нет. 🌝

Про уязвимость Remote Code Execution - Internet Shortcut Files (CVE-2025-33053)

Про уязвимость Remote Code Execution - Internet Shortcut Files (CVE-2025-33053)

Про уязвимость Remote Code Execution - Internet Shortcut Files (CVE-2025-33053). Уязвимость из июньского Microsoft Patch Tuesday. Эта уязвимость сразу имела признаки эксплуатации вживую. Эксплуатация уязвимости позволяет удалённому злоумышленнику выполнить произвольный код при открытии жертвой специального .url-файла, доставленного, например, в ходе фишинговой атаки.

🔹 Уязвимость зарепортили исследователи из компании Check Point. В день июньского Microsoft Patch Tuesday (10 июня) на их сайте были опубликованы технические детали. Уязвимость эксплуатировалась APT-группой Stealth Falcon как минимум с марта 2025 года. Эксплуатация уязвимости приводила к загрузке и запуску вредоносного ПО (Horus Agent) с WebDAV-сервера злоумышленника.

🔹 Эксплоиты для уязвимости доступны на GitHub с 12 июня.