Архив метки: vulnerability

Вот тут Palo Alto утверждают занятное: что обычно злоумышленники начинают сканировать периметр организаций на наличие уязвимости через 15 минут после публикации CVE

1 комментарий

Вот тут Palo Alto утверждают занятное: что обычно злоумышленники начинают сканировать периметр организаций на наличие уязвимости через 15 минут после публикации CVE. Прям вот так:

"The 2022 Attack Surface Management Threat Report found that attackers typically start scanning for vulnerabilities within 15 minutes of a CVE being announced".

Как конкретно эти 15 минут получили вроде нигде не пишут. Но видимо могли засекать на ханипотах/ids попытки эксплуатации каких-то определенных уязвимостей и связали это с датой публикации уязвимости.

Пример приводят, что они через 5 дней после публикации уязвимости выпустили сигнатуру и за 10 часов насобирали две с половиной тысячи попыток эксплуатации.

"For example, Palo Alto Networks released a Threat Prevention signature for the F5 BIG-IP Authentication Bypass Vulnerability (CVE-2022-1388), and within just 10 hours, the signature triggered 2,552 times due to vulnerability scanning and active exploitation attempts".

Круто конечно, но все-таки сигнатуру выпустили далеко не сразу, так что сказать когда именно пошли зловредные сканы начались сложновато.

Но не суть. Не так важно действительно ли через 15 минут сканы начинаются или несколько позже. Факт, что злоумышленники мониторы новостной поток об уязвимостях. И факт, что они мотивированы сканить ваш периметр чаще, использовать для этого нестандартные проверки, а не только те, что есть в вашем коммерческом сканере.

И чтобы безопасникам не играть со злоумышленниками в догонялки единственный вариант это знать и контролировать свой периметр гораздо лучше, чем это может сделать любой внешний исследователь. Понимать зачем тот или иной сервис на периметре нужен. По возможности стараться минимизировать их количество. Если есть какое-то распространенное приложение или сетевое устройство на периметре, то иметь в виду, что их будут целенаправленно искать и ломать. Поэтому для таких сервисов следует отдельно мониторить бюллетени безопасности и начинать реагировать ещё до того как детекты появятся в сканерах и тем более до того как об уязвимости начнут верещать в СМИ.

Сказать-то конечно проще, чем сделать.

Вчера на Anti-Malware вышло интервью c Максимом Бронзинским

1 комментарий

Вчера на Anti-Malware вышло интервью c Максимом Бронзинским. Он руководитель направления Vulnerability Management платформы Solar MSS. Более чем годное интервью, нерекламное. Я на прошлом двухчасовом эфире на Anti-Malware как раз говорил, что неплохо было бы VM вендорам больше времени уделять методологической работе: как внедрять VM процесс, какие люди должны этим заниматься и как. И вот наметки как раз в эту сторону. Сделал небольшой конспект.

Большая опасность внедрения VM процесса, что он выродится в Vulnerability Assessment. Т.е. с детектированием уязвимостей все будет ок, а до непосредственного исправления уязвимостей не дойдет. Это происходит из-за того, что ИБ с детектированием уязвимостей справляется, а с передачей в IT на исправление нет. Важно встроиться в IT-шные процессы исправления. Для этого нужно общаться с IT, доносить до них информацию об исправлении уязвимостей в наиболее конкретной и доступной форме.

Какие роли/квалификации есть в Vulnerability Management процессе со стороны ИБ:

1. Инженер
- Отвечает за инвентаризацию активов, стремится к максимальному охвату активов VM процессом.
- Правильно настраивает сканирование, стремится к тому, чтобы мы имели полную актуальную информацию об уязвимостях активов.

2. Аналитик
- Описывает, категоризирует, приоритизирует уязвимостей.
- Составляет плана на устранение уязвимостей (собирает несколько мнений, делает вывод на основе экспертности – это сложнее чем выгрузить TOP 50 уязвимостей из сканера).
- Подготавливает отчеты
-- Отчет для Бизнеса отражающий угрозы процессам.
-- Отчет для IT, критерии: понятность, удобность (в т.ч. машиночитаемость), решение о приоритизации.

Рекомендации к внедрению в организации:

- Защищать сразу ТОЛЬКО самые критичные хосты неправильно, пропускаем точки, где злоумышленник может закрепиться.
- Защищать сразу все не получится, т.к. будет слишком сложно добавиться исправления.
- Рекомендуется заходить постепенно, начиная с критических хостов; затем постепенно ужесточать SLA.
- Необходимо отслеживать сколько уязвимостей IT готовы взять в работу (в зависимости от типа уязвимых хостов) с согласованным SLA (в зависимости от типа и критичности уязвимости) и вгружать в IT правильный объем работы.

Рекомендации для продажи VM-процесса бизнесу:

- Бизнесу рекомендуется показать потенциальные потери от успешной атаки в деньгах.
- Можно рассказать, что VM это фундамент ИБ. "Лечить зуб правильнее, чем пить обезболивающее" (например, использовать WAF вместо исправления уязвимости).

Аутсорсить VM можно, но нельзя отдавать функцию принятия решения об исправлении, т.к. из организации это видно всегда лучше.

Как там в "Москва слезам не верит" было: "Человека выдают два обстоятельства: если он неправильно ставит ударения в словах и задает глупые вопросы"

Добавить комментарий

Как там в "Москва слезам не верит" было: "Человека выдают два обстоятельства: если он неправильно ставит ударения в словах …> и задает глупые вопросы".

Сегодня я загуглил и узнал, что в слове "report" ударение всегда падает на второй слог, независимо от того, глагол это или существительное и какой это вариант английского. Так-то головой понимаю, что это ДАЛЕКО не единственный косяк в моем английском и всем так-то пофиг, но стыдно атас и хочется сразу все ролики удалить и заново перезаписать. 😅

Самый топ других ошибок, которые все равно у меня иногда проскакивают, это "ва", вместо "ву" в vulnerability (хотя это простительно, т.к. в британском варианте говорят скорее "ва") и ударение на первую "а", вместо второй в слове attacker. 🤦‍♂️🙂

Видяшечка про июльский Microsoft Patch Tuesday и про то, что Microsoft творит дичь

Добавить комментарий

Видяшечка про июльский Microsoft Patch Tuesday и про то, что Microsoft творит дичь. В принципе все то же, о чем тут писал. Ну и про репорт майкрософтовский тоже накинул немножко для затравки. 🙂

—-

Hello everyone! Microsoft has been acting weird lately. I mean the recent publication of a propaganda report about evil Russians and how Microsoft is involved in the conflict between countries. It wouldn't be unusual for a US government agency, NSA or CIA to publish such a report. But when a global IT vendor, which, in theory, should be more or less neutral, does this… This is a clear signal. It's not about business anymore.

I'll take a closer look at this report in the next episode of the Vulnerability Management news, but for now let's take a look at Microsoft July Patch Tuesday. Yes, the vendor is behaving strangely, but Microsoft products need to be patched. Right? At least for now. And tracking vulnerabilities is always a good thing. 🙂

01:32 CSRSS Elevation of Privilege (CVE-2022-22047)
04:36 RPC Remote Code Execution (CVE-2022-22038)
05:44 Microsoft Edge Memory Corruption (CVE-2022-2294)
06:55 32 vulnerabilities in Azure Site Recovery

Video: https://youtu.be/HjfxxcqWrH4
Video2 (for Russia): https://vk.com/video-149273431_456239096
Blogpost: https://avleonov.com/2022/07/23/microsoft-patch-tuesday-july-2022-propaganda-report-csrss-eop-rpc-rce-edge-azure-site-recovery/
Full report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_july2022_report_with_comments_ext_img.html

Майкрософт в последнее время творят дичь, но это не повод не патчить их продукты

1 комментарий

Майкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продуктыМайкрософт в последнее время творят дичь, но это не повод не патчить их продукты

Майкрософт в последнее время творят дичь, но это не повод не патчить их продукты. Во всяком случае пока. Ну и точно не повод не смотреть их уязвимости. 🙂 Традиционная видяшка про июльский Patch Tuesday будет, но кому интересно пораньше, выкладываю репорт Vulristics. Теперь всё в первую очередь несу в тележеньку avleonovrus. 😉

Что можно сказать, приоритизация работает корректно. Сверху списка активно эксплуатируемая вживую Elevation of Privilege в Windows CSRSS (CVE-2022-22047), о которой мейнстримные медиа протрубили. Можно сразу получить привилегии SYSTEM. Публичного эксплоита пока не видно.

Дальше менее интересные уязвимости. Remote Code Execution в Remote Procedure Call Runtime (CVE-2022-22038). Тут у Microsoft есть POC эксплоита. Но вряд ли доведут до чего-то рабочего, т.к. Exploitation Less Likely.

Между июньским и июльским Patch Tuesday вышла Memory Corruption в Microsoft Edge (CVE-2022-2294), которая видимо на самом деле RCE и Google пишут, что она вживую эксплуатируется.

Ещё занимательно, что в этом Patch Tuesday больше половины всех уязвимостей это EoP. Также очень много уязвимостей в Azure Site Recovery. И EoP, и RCE, и довольно много с непубличными эксплоитами уровня зрелости POC. По описанию Azure Site Recovery это "Site Recovery is a native disaster recovery as a service (DRaaS)", казалось бы должно патчиться самими Microsoft, но на самом деле там есть установленный на хостах Microsoft Azure Site Recovery suite и как минимум часть уязвимостей это в нем. Tenable про CVE-2022-33675 пишут, что можно поднять привилегии до SYSTEM.

И тут было бы справедливо спросить: "А не ты ли, Александр, совсем недавно топил за эти самые облачные ИБ сервисы Microsoft, а теперь получается включил обратку?" 🤔

Добавить комментарий

И тут было бы справедливо спросить: "А не ты ли, Александр, совсем недавно топил за эти самые облачные ИБ сервисы Microsoft, а теперь получается включил обратку?" 🤔

Ну и предъявить прямо из моего же бложика:
1. Microsoft security solutions against ransomware and APT (самый лучший бизнес-завтрак на моей памяти - кейтеринг был прям топ 👍)
2. Microsoft Defender for Endpoint: Why You May Need It and How to Export Hosts via API in Python
3. Getting Hosts from Microsoft Intune MDM using Python
4. How to get Antivirus-related Data from Microsoft Defender for Endpoint using Intune and Graph API
5. Microsoft Defender for Endpoint: The Latest Versions of Antivirus Engine & Signatures

Разве что собственно про экспорт уязвимостей из Defender for Endpoint пост так и не запилил. Руки не дошли. 🙂

Ну и чего тут скажешь. До сих пор считаю, что Defender for Endpoint крутой, удобный продукт, хоть и не без периодически возникающих проблем. Также считаю, что использовать ИБ сервисы от вендора ОС, которому ты и так уже доверился по полной, это идея неплохая. И нашим вендорам ОС в эту сторону смотреть правильно и прогрессивно. Как и в случае с автопатчингом. Другой вопрос, а что делать, если вендор начал выписывать кренделя и доверять ему стало, мягко говоря, непросто?

Не сказать, что я об этом совсем не писал:

It will be a difficult decision to store this critical data in Microsoft cloud. Even with Microsoft’s guarantees that all the data is stored securely and they touch it with AI only.

Но конечно напирал я на эту тему недостаточно. Что поделать, 5 лет назад все выглядело сильно иначе.
¯\_(ツ)_/¯

Прочитал свежий майкрософтовский репорт, тот самый про то как они сопредельную страну защищают

6 комментариев

Прочитал свежий майкрософтовский репорт, тот самый про то как они сопредельную страну защищают. Я обычно такие темы избегаю, но тут уж никак.

1. Большая часть репорта это какая-то вода и хайли-лайкли. Читать скучно. Больше половины вообще не про атаки, а про пропаганду, в том числе какие-то странные исторические экскурсы.
2. С другой стороны тут важно не то, что написано, а то кем написано. Это не мейнстримное медиа, не NSA, не CIA, это Microsoft - глобальный IT вендор, который должен по идее быть более-менее нейтральным. И вот они теперь такие репорты выдают! Если думаете, что Microsoft негосударственный и чисто про бизнес, полистайте этот репорт. Это позиция официальнее некуда, там вступление текущим президентом Microsoft написано.
3. Из более-менее интересного по технике я увидел только то, что гос. инфру перенесли в облако и технологии MS (Defender for Endpoint?) использовали для защиты. Чуть менее чем вся техническая сторона на 9-ой странице репорта.
4. Там пишут про две важных опции безопасности. Первая это то, что Microsoft запилил им бесплатный Vulnerability Management. "The first has been the use of technology acquired from RiskIQ that identifies and maps organizational attack surfaces, including devices that are unpatched against known vulnerabilities and therefore are the most susceptible to attack." Не вполне понятно как именно это сделали. Как вариант могли просто к Defender for Endpoint подключить. Но может каким-то другим образом массово активировали сбор данных с хостов.
5. На то, что собирали именно какими-то нестандартными методами намекает вторая опция безопасности: "MSTIC recognized that XXX malware could be mitigated meaningfully by turning on a feature in Microsoft Defender called controlled folder access. This typically would require that IT administrators access devices across their organization, work made more difficult and potentially even dangerous in XXX conditions. The XXX government therefore authorized Microsoft through special legal measures to act proactively and remotely to turn on this feature across devices throughout the government and across the country." И тут не так важно, что настроили контроль доступа к папкам, а то как это сделали. Оказывается MS могут массово удаленно подкручивать опции безопасности, если правительство сопредельной страны им это разрешило. Ну надо же. А что ещё могут и где?
6. Основная озабоченность конечно в том, что продукты Microsoft, в том числе облачные средства безопасности, широко используются в российских организациях. Такие публикации подтверждают, что Microsoft вендор крайне ангажированный, нестабильный и нужно спешно с этим что-то делать.