Архив метки: Zerologon

Американцы выпустили joint Cybersecurity Advisory (CISA, FBI, HHS, MS-ISAC) против шифровальщика Black Basta

Добавить комментарий

Американцы выпустили joint Cybersecurity Advisory (CISA, FBI, HHS, MS-ISAC) против шифровальщика Black Basta

Американцы выпустили joint Cyber­se­cu­ri­ty Advi­so­ry (CISA, FBI, HHS, MS-ISAC) против шифровальщика Black Bas­ta. Утверждается, что по состоянию на май 2024, от Black Bas­ta пострадали более 500 организаций по всему миру, включая бизнесы и критическую инфраструктуру в Северной Америке, Австралии и Европе. Затронуто 12 из 16 секторов критической инфраструктуры.

Шифровальщик впервые замечен в апреле 2022 года. Первоначальное заражение выполняет с помощью фишинга или эксплуатацией февральской уязвимости обхода аутентификации в Con­nect­Wise Screen­Con­nect (CVE-2024–1709).

Инструментарий для подъема привилегии и горизонтального перемещения: Mimikatz и эксплуатация уязвимостей ZeroL­o­gon (CVE-2020–1472), NoPac (CVE-2021–42278, CVE-2021–42287), Print­Night­mare (CVE-2021–34527). Исправления уязвимостей были доступны годами, но в организациях их не применяли. 🤷‍♂️ Возможно надеялись, что периметр никогда не проломят. Вышло иначе. 😏

Выпустил новую англоязычную видяшечку

Добавить комментарий

Выпустил новую англоязычную видяшечку. Так получилось, что за последний год мой англоязычный блог (а вместе с ним и ютюб канал, и подкаст) окончательно свёлся к ежемесячным обзорам Microsoft Patch Tues­day. 🤷‍♂️🤦‍♂️ А остальной контент оседал только в моих телеграмм-каналах @avleonovcom и @avleonovrus. В основном, конечно, в русскоязычном. Постараюсь эту тенденцию переломить. Теперь буду выпускать один англоязычный эпизод по итогам месяца без особого фокуса на Patch Tues­day. Так должно быть поадекватнее и повеселее. 🙂

Подумывал делать эпизоды и на русском тоже, но решил не браться, т.к. получается двойная работа. Автоматический перевод яндекс-браузером могу порекомендовать только для смеха (например, отдельностоящее "CVЕ" распознает как "CV" и переводит как "резюме"). Но планирую тащить новости из канала на обсуждение в Прожектор по ИБ. Так что русскоязычные видяшки тоже в каком-то виде будут. 🙂
___

Hel­lo every­one! This month I decid­ed NOT to make an episode com­plete­ly ded­i­cat­ed to Microsoft Patch Tues­day. Instead, this episode will be an answer to the ques­tion of how my Vul­ner­a­bil­i­ty Man­age­ment month went. A ret­ro­spec­tion of some kind.

GitHub exploits and Vul­ris­tics
00:44 PoC in Github
02:19 Vul­ris­tics vul­ners-use-github-exploits-flag

VM ven­dors updates
04:39 Qualys First-Par­ty Appli­ca­tion Risk Detec­tion and Reme­di­a­tion
06:18 Ten­able Expo­sureAI
07:23 SC Awards and Rapid7

Vul­ner­a­bil­i­ties
09:04 Anglo-Sax­on vul­ner­a­bil­i­ty lists AA23-215A
12:32 August Microsoft Patch Tues­day
14:40 Win­RAR Exten­sion Spoof­ing (CVE-2023–38831)
15:16 Juniper RCE (CVE-2023–36844)

📘 Blog­post
🎞 Video
🎞 Video2 (for Rus­sia)

В прошедшую пятницу, 25 августа, мы записали пилотный эпизод ток-шоу с рабочим названием "Прожектор по ИБ"

2 комментария

В прошедшую пятницу, 25 августа, мы записали пилотный эпизод ток-шоу с рабочим названием "Прожектор по ИБ". 🙂 Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

В этот раз темы накидывали экспромтом, в итоге получилось такое:

00:00 CVSS и приоритизация уязвимостей
07:05 МФМСЭУС и нейминг вендоров
12:58 Уязвимости умных лампочек TPLink, умного дома и как админы стопорят VM
27:11 Недавние уязвимости Win­RAR и других архиваторов
33:38 Самое ломаемое ПО, англосаксонский отчёт, Office RCE и Zerol­o­gon, уязвимости по отраслям
42:41 Снова про умные дома, АСУ ТП и регуляторику

Если вам зашло, полайкайте пожалуйста и мы тогда запустим это в регулярном режиме, в нормальном качестве, с заставками и всем нужным. 🙂 Если кто-то хочет поучаствовать в таких посиделках — пишите в личку. 😉 И если у вас идея названия получше чем "Прожектор по ИБ", то тоже пишите.

Кстати, про Zerologon (CVE-2020–1472)

1 комментарий

Кстати, про Zerologon (CVE-2020-1472)

Кстати, про Zerol­o­gon (CVE-2020–1472). На днях R‑Vision выложили на Хабре подробную статью про эту уязвимость.

Уязвимость старенькая, но всё ещё актуальная, в недавний расширенный список англосаксов входит.

"Она позволяет злоумышленникам изменить пароль компьютерной учетной записи контроллера домена и получить доступ к содержимому Active Direc­to­ry.

Эксплуатация Zerol­o­gon возможна на следующих не пропатченных версиях Win­dows Serv­er: 2008 R2, 2012, 2012R2, 2016, 2019. В версии Win­dows Serv­er 2022 уязвимость уже исправлена. Для реализации атаки достаточно наличия сетевой связности с устройства, к которому имеет доступ атакующий, до уязвимого контроллера домена."

В отчёте Vul­ris­tics уязвимость абсолютно топовая. Единственное что снижает критичность это тип — EoP, но в контексте контроллера домена это, конечно, совсем другая история. 😏

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics

1 комментарий

Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics
Я добавил возможность исключать ссылки на GitHub в отчётах Vulristics

Я добавил возможность исключать ссылки на GitHub в отчётах Vul­ris­tics. Для "громких" уязвимостей, например для Zerol­o­gon (CVE-2020–1472), в отчёте бывает слишком много ссылок на GitHub, большая часть из которых с эксплойтами не связана. А автоматически понять где репозитарии с эксплойтом, а где какая-то нерелевантная ерунда, весьма сложно. Да и, как правило, не особо и нужно. Реально работающий эксплойт скорее всего попадёт в специализированные сплойт-паки, хоть и с некоторой задержкой.

Поэтому, думаю у пользователей Vul­ris­tics должна быть возможность выпустить и отчёт, содержащий максимум информации по эксплойтам (пусть и несколько замусоренный), и отчёт только с учётом сплойт-паков.

Я добавил параметр –vul­ners-use-github-exploits-flag, который может принимать значение либо True либо False. По умолчанию значение True.

Также добавил [источник] ссылки.