Архив метки: vulnerability

Прожектор по ИБ, выпуск №3 (19.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №3 (19.09.2023). С небольшим опозданием записали вчера очередной эпизод. Состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:40 Читаем комментарии к прошлому эпизоду
05:01 Сентябрьский Microsoft Patch Tuesday
5:42 Втихую исправленные уязвимости в Exchange
11:31 RCE в libwebp
16:39 ThemeBleed
21:28 В ИБ команде Тинькофф классно
24:27 Затрояненный Free Download Manager
32:31 Эмодзи как подпись
38:09 Очереди в МФЦ на удаление биометрии?
42:02 Прощание от Mr. X

Поучаствовал сегодня в записи онлайн-курса по Vulnerability Management-у от Positive Technologies

1 комментарий

Поучаствовал сегодня в записи онлайн-курса по Vulnerability Management-у от Positive Technologies

Поучаствовал сегодня в записи онлайн-курса по Vulnerability Management-у от Positive Technologies. В отличие от Бауманского курса, где VM это один из многих модулей, в PT-шном курсе это основная специализация. Говорят, что курс практически готов. Большую часть начитали спикеры из команды Позитива. Я же немного разнообразил "взглядом со стороны клиента": про управление активами и общение с IT (фрустрацию, челобитные, докажи-покажи). Получилось в несколько более расширенном виде, чем в постах, приблизительно минут на 30 записи.

Релиз курса планируют на 22 октября. Курс будет платным, но говорят, что цена будет небольшой, только чтобы отбить затраты на разработку/съемку. Как и подкаст по VM-у КиберДуршлаг, мне эта позитеховская тема кажется очень интересной и полезной. Когда курс выйдет, планирую его тоже пройти и поделиться впечатлениями. 🙂

В сентябрьском Microsoft Patch Tuesday были 3 RCE уязвимости в Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756), которые по факту были втихую исправлены ещё в августовском Patch Tuesday

2 комментария

В сентябрьском Microsoft Patch Tuesday были 3 RCE уязвимости в Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756), которые по факту были втихую исправлены ещё в августовском Patch Tuesday

В сентябрьском Microsoft Patch Tuesday были 3 RCE уязвимости в Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756), которые по факту были втихую исправлены ещё в августовском Patch Tuesday. Что это значит?

🔸 Уязвимости были, но о них не сообщили. Значит пользователи, которые в августе делали выводы о необходимости обновления на основе анализа списка CVE могли принять решение не обновляться и были месяц уязвимыми. 🤷‍♂️
🔸 Пользователи, которые просто регулярно обновляются, поставили августовские обновления и НЕ были уязвимыми этот месяц. 👍
🔸 Список исправленных уязвимостей - это не истина в последней инстанции. Это просто некоторая справочная информация, которую вам сообщил вендор. О каких-то CVE они могли умолчать, какие-то по ошибке добавить. Могли и недекларированные возможности с обновлениями внести. 😏 Никто за руку не поймает.

Итого: не заморачивайтесь слишком CVE-шками, лучше просто регулярно обновляете продукты доверенных вендоров.

Темы по управлению уязвимостями для Бауманского курса записывали сегодня вместе с Павлом Поповым

2 комментария

Темы по управлению уязвимостями для Бауманского курса записывали сегодня вместе с Павлом ПоповымТемы по управлению уязвимостями для Бауманского курса записывали сегодня вместе с Павлом Поповым

Темы по управлению уязвимостями для Бауманского курса записывали сегодня вместе с Павлом Поповым. Вроде получилось неплохо, близко к тому, что задумывалось изначально.

Анализ Защищённости. Я рассказал про типы уязвимостей (с примерами реализации), базы уязвимостей, способы детектирования.

Управление Уязвимостями. Эту часть поделили с Павлом.
🔻 Я рассказал про важность управления активами, руководство по управлению уязвимостями ФСТЭК, методику по оценке критичности уязвимостей ФСТЭК и рекомендательный алгоритм НКЦКИ.
🔻 Павел рассказал про подход к управлению уязвимостями в парадигме результативной кибербезопаности (РКБ): про инвентаризацию и категоризацию IT-активов; выявление, анализ, приоритизацию и категоризацию уязвимостей; устранение уязвимостей; контроль и улучшении VM-процесса.

Управление Обновлениями. Я рассказал про безусловные обновления, методику тестирования обновлений ФСТЭК, психологические аспекты общения с IT (фрустрацию, челобитные, докажи-покажи).

Субботнее утро, Бауманка, УЛК

Добавить комментарий

Субботнее утро, Бауманка, УЛК

Субботнее утро, Бауманка, УЛК. Хорошо хоть не к первой паре. 😅

Приехал записывать модули по Vulnerability Management-у для онлайн-курса.

9 октября Позитивы запускают новый продукт MaxPatrol EDR

3 комментария

9 октября Позитивы запускают новый продукт MaxPatrol EDR

9 октября Позитивы запускают новый продукт MaxPatrol EDR. Что это значит в контексте Vulnerability Management-а? То, что у PT теперь будет решение, предполагающее установку агентов на хостах. В первую очередь эти агенты будут собирать данные для отслеживания и блокировки зловредной активности. Но также напрашивается и идея использовать эти агенты для инвентаризации, чтобы детектить уязвимости и мисконфигурации. Так что будем следить за этой темой. Вполне вероятно, что до полноценного агентного сканирования в MaxPatrol VM может быть не так далеко.

Судя по фразе в лендинге "Автоматизирует обнаружение и реагирование, обеспечивает своевременную и непрерывную защиту устройств на различных операционных системах", агенты должны выпустить и под Windows, и под Linux.

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте

1 комментарий

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте
Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моментеПочему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте

Почему я довольно скептически отношусь к приоритизации/фильтрации уязвимостей, хотя сам делаю опенсурсный проект для этого? Такие решения в лучшем случае отображают положение дел в моменте. Но делать выводы как ситуация будет развиваться в будущем на основании текущего состоянии практически невозможно. Данных для анализа, как правило, недостаточно и они замусоренные. Поэтому решения для фильтрации/приоритизации уязвимостей не могут рекомендовать ВООБЩЕ не исправлять какую-то уязвимость. Всегда есть вероятность, что выстрелит уязвимость, о которой никто и не думал.

Если вам сейлз говорит, что с помощью их волшебного решения можно будет исправить только 3% найденных уязвимостей, а на остальное забить - гоните его в шею.

Сегодняшний пример. Remote Code Execution - Windows Themes (CVE-2023-38146). Одна из 25 RCE-шек в сентябрьском Micorosoft Patch Tuesday.

Со страницы уязвимости на сайте Microsoft:

Publicly disclosed: No
Exploited: No
Exploitability assessment: Exploitation Less Likely

Никто про неё в обзорах не писал кроме ZDI, и то с комментом "This probably isn’t one of the most severe bugs…". Vulristics оценил уязвимость как High, т.к. всё-таки RCE.

И что, вот на днях выходит подробное описание и публичный PoC, уязвимость в Vulristics становится Critical и самой важной в этом MSPT, а СМИ начинают разгонять про ThemeBleed. 🤷‍♂️

Не надейтесь на приоритизацию/фильтрацию уязвимостей, обновляйте всё заранее! У этих решений по сути два состояния: покерфейс 😐 и с выпученными глазами одурело бить в рынду 😱 (зачастую когда уже поздно).

🗒 Vulristics report - обновил отчёт для сентябрьского Microsoft Patch Tuesday