Архив метки: vulnerability

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России

Добавить комментарий

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России

Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России. Продолжаю разбирать профильные вакансии.

Судя по перечню задач, в Почте России к анализу защищённости помимо VM-а (и контроля периметра) включают:

🔹 контроль конфигураций
🔹 проведение Pentest-ов
🔹 развёртывание Honeypot-ов

Последнее странновато, т.к. это скорее вотчина команды детекта атак.

"Агрегирование статистики и составление отчётов по итогам этапов процесса" предполагается делать в MS PowerBI. А импортозамес? 😏

Немало интригует фраза про управление VM-процессом "без прямого использования сканирований и результатов работы сканеров уязвимостей". То ли самому сканы запускать не придётся, то ли они вообще без сканов обходятся. 🤔

VM-процесс нужно будет выстраивать по "методологии ФСТЭК", а устранение уязвимостей контролировать "с учётом реалий инфраструктуры". 😉

🟥 Вакансия из PT Career Hub - проекта Positive Technologies по подбору сотрудников в дружественные компании.

Мартовский Microsoft Patch Tuesday

Добавить комментарий

Мартовский Microsoft Patch Tuesday

Мартовский Microsoft Patch Tuesday. 77 CVE, из которых 20 были добавлены в течение месяца. В этот раз целых 7 уязвимостей с признаками эксплуатации вживую:

🔻 RCE - Windows Fast FAT File System Driver (CVE-2025-24985)
🔻 RCE - Windows NTFS (CVE-2025-24993)
🔻 SFB - Microsoft Management Console (CVE-2025-26633)
🔻 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24983)
🔻 InfDisc - Windows NTFS (CVE-2025-24991, CVE-2025-24984)
🔻 AuthBypass - Power Pages (CVE-2025-24989) - в веб-сервисе Microsoft, можно игнорить

Уязвимостей с публичными эксплоитами нет, есть ещё 2 с приватными:

🔸 RCE - Bing (CVE-2025-21355) - в веб-сервисe Microsoft, можно игнорить
🔸 SFB - Windows Kernel (CVE-2025-21247)

Среди остальных можно выделить:

🔹 RCE - Windows Remote Desktop Client (CVE-2025-26645) and Services (CVE-2025-24035, CVE-2025-24045), MS Office (CVE-2025-26630), WSL2 (CVE-2025-24084)
🔹 EoP - Windows Win32 Kernel Subsystem (CVE-2025-24044)

🗒 Полный отчёт Vulristics

Следующее мероприятие, на котором я планирую выступить - форум "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля

Добавить комментарий

Следующее мероприятие, на котором я планирую выступить - форум ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ 3 апреля

Следующее мероприятие, на котором я планирую выступить - форум "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля. В рамках технологической панели "А ты точно умеешь это детектировать? Правила детекта уязвимостей" у меня будет 20-минутный доклад "Уровни сравнения качества детектирования уязвимостей".

О чём расскажу:

🔹 Зачем нужно заниматься оценкой качества детектирования уязвимостей и как это связано с БОСПУУ.

🔹 Примеры публичных сравнений качества детектирования. Спасибо Алексею Лукацкому за напоминание про сравнение Principled Technologies 2019 года. 👍 Оказывается у меня был про него содержательный пост в англоязычном канале. 😇 Ну и про сравнение PentestTools (2024) и Securin (2023) тоже добавлю.

🔹 Уровни сравнения: просто по CVE, по CVE с учётом метода детекта, практическое сравнение на стендах. Возможно какие-то ещё? 🤔

Если у кого есть что вкинуть по теме, пишите в личку - буду рад пообщаться. И до встречи на Территории Безопасности!

Разбор VM-ной вакансии: Старший инженер по управлению уязвимостями в Авито

Добавить комментарий

Разбор VM-ной вакансии: Старший инженер по управлению уязвимостями в Авито

Разбор VM-ной вакансии: Старший инженер по управлению уязвимостями в Авито. Буду периодически комментировать VM-ные вакансии, чтобы отслеживать, что сейчас востребовано, и помогать их закрывать. 😉

🔹 VM-ная часть вакансии выглядит стандартно: развивать и автоматизировать VM-процесс, взаимодействовать с владельцами сервисов, составлять базовые требования ИБ, использовать сканеры, понимать CVSS/CVE.

🔹 Linux-овая часть интригует. Нужно знать Puppet и придётся "администрировать ИТ-инфраструктуру на базе Linux". В сочетании с "развивать инструменты для поиска, анализа и устранения уязвимостей ИТ-инфраструктуры" можно предположить, что у них есть самописные детектилки уязвимостей с инвентаризацией на основе Puppet и то, что VM-щики непосредственно занимаются патчингом и харденигом.

🔹 По поводу "внедрять и администрировать системы защиты информации" могут быть вопросики. Советовал бы уточнять список СЗИ на собесе, чтобы не пришлось заниматься чем-то непрофильным. 😉

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391)

Про уязвимость Elevation of Privilege - Windows Storage (CVE-2025-21391). Уязвимость из февральского Microsoft Patch Tuesday. Windows Storage - это стандартный компонент, отвечающий за хранение данных на компьютере. В случае успешной эксплуатации, злоумышленник получает возможность удалять произвольные файлы. И, согласно исследованию ZDI, злоумышленник может использовать эту возможность для повышения своих прав в системе.

Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)

Добавить комментарий

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)

Про уязвимость Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418). Уязвимость из февральского Microsoft Patch Tuesday. AFD.sys - это системный драйвер Windows, критически важный для процессов сетевого взаимодействия. Он предоставляет низкоуровневую функциональность для WinSock API, позволяя приложениям взаимодействовать с сетевыми сокетами.

Для эксплуатации уязвимости аутентифицированному атакующему необходимо запустить специально созданную программу, которая в конечном итоге выполняет код с привилегиями SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую, но насколько масштабными были зафиксированные атаки всё ещё неизвестно.

По описанию эта уязвимость очень похожа на прошлогоднюю уязвимость CVE-2024-38193, которая активно эксплуатировалась злоумышленниками из группировки Lazarus.

Расширенный поиск по web-уязвимостям в Vulners

Добавить комментарий

Расширенный поиск по web-уязвимостям в Vulners

Расширенный поиск по web-уязвимостям в Vulners.

🔻 Vulners теперь размечает значимые параметры в описании CVE уязвимостей и эксплоитов. 🤖 Например, по описанию "Code injection vulnerability in config/config_invt1.php due to improper handling of the PASSOx parameter" он автоматически определяет, что это веб-уязвимость и выделяет parameter запроса "PASSOx", url "config/config_invt1.php", position "request body" и cwe "CWE-94" (Code Injection). Эти параметры видны на странице описания уязвимости и в JSON (блок webApplicability).

🔻 По этим параметрам можно искать уязвимости в поисковом интерфейсе Vulners (бесплатно 🆓) и через API. Например, все вебные уязвимости или уязвимости с "php" в урле.

А зачем это может понадобиться?

🔹 Если у вас есть список урлов (путей), найденных краулером, можно поискать по ним потенциальные уязвимости.

И наоборот

🔹 Для размеченных уязвимостей Vulners можно проверить не доступны ли их пути в сервисах на вашем периметре.

В общем, прикольная фича. 😉👍🔥