По поводу новости, что компания Microsoft разблокировала возможность скачивать дистрибутивы ОС Windows из РФ. Ограничение доступа они ввели ~19 июня, сняли ~28 декабря. Это, по-моему, крайне скверно.
За 2022 год MS опубликовали отчёты (Defending ***: Early Lessons from the Cyber War, Microsoft Digital Defense Report), которые не оставляют никаких сомнений на какой эта компания стороне. MS больше не нейтральный глобальный IT-вендор. Нельзя по инерции продолжать их так воспринимать. Теперь это явный придаток американского государства. Для них Россия эта угроза. Не какие-то условные киберпреступники из России, а именно органы гос. власти. Они прямо пишут как они этой угрозе противодействуют. И много о чем, естественно, умалчивают. Другие компании из американского бигтеха себе такого не позволяют, это случай практически уникальный.
Я не большой поклонник блокирования доступа к каким-то ресурсам в Интернет, но в случае дистрибутивов Windows мне кажется это совершенно оправдано делать. Необходимо всячески способствовать сокращению доли ОС Windows в РФ при этом не навредив стабильности текущей инфраструктуры. Кажется, что ограничение на скачивание продуктов Microsoft (чтобы пользователи лишний раз задумались, а может ну его, может Linux-а хватит), а также дополнительные существенные сборы с продажи лицензий и новых устройств с Windows стали бы достаточно действенной мерой. Косвенно это подтверждают и сами MS, т.к. ограничения с их стороны были сняты явно не из-за человеколюбия, видимо что-то начало меняться в невыгодную для них сторону.
@avleonovrus #Microsoft #Windows
За 2022 год MS опубликовали отчёты (Defending ***: Early Lessons from the Cyber War, Microsoft Digital Defense Report), которые не оставляют никаких сомнений на какой эта компания стороне. MS больше не нейтральный глобальный IT-вендор. Нельзя по инерции продолжать их так воспринимать. Теперь это явный придаток американского государства. Для них Россия эта угроза. Не какие-то условные киберпреступники из России, а именно органы гос. власти. Они прямо пишут как они этой угрозе противодействуют. И много о чем, естественно, умалчивают. Другие компании из американского бигтеха себе такого не позволяют, это случай практически уникальный.
Я не большой поклонник блокирования доступа к каким-то ресурсам в Интернет, но в случае дистрибутивов Windows мне кажется это совершенно оправдано делать. Необходимо всячески способствовать сокращению доли ОС Windows в РФ при этом не навредив стабильности текущей инфраструктуры. Кажется, что ограничение на скачивание продуктов Microsoft (чтобы пользователи лишний раз задумались, а может ну его, может Linux-а хватит), а также дополнительные существенные сборы с продажи лицензий и новых устройств с Windows стали бы достаточно действенной мерой. Косвенно это подтверждают и сами MS, т.к. ограничения с их стороны были сняты явно не из-за человеколюбия, видимо что-то начало меняться в невыгодную для них сторону.
@avleonovrus #Microsoft #Windows
По поводу поста зампреда комитета ГД по информполитике Антона Горелкина. "Все успешные операционные системы, которые существуют сейчас, разрабатывались без участия государств. Они завоевали рынок именно потому, что коммерческие компании были кровно в этом заинтересованы."
Если убрать за скобки действительно спорный контекст с выделением 480 млрд рублей Ростелекому, а рассмотреть написанное по существу, то можно отметить следующее:
1. "Все успешные операционные системы, которые существуют сейчас", если брать десктопы и смартфоны, произведены 3 американскими компаниями: Microsoft, Google, Apple. Как же так получилось, что компании все американские, и занимают большую часть рынка во всех странах мира. За небольшим исключением - мобильные ОС на основе AOSP в Китае и Red Star OS в Северной Корее. Такое положение американских компаний вызвано конкуренцией на свободном рынке? Или все же имеет место разумная политика протекционизма?
2. "Разрабатывались без участия государств". Если государственных денег на первый взгляд не видно это не значит, что их нет. Вливание миллиардов долларов в Microsoft через Department of Defence, например, видно вполне отчётливо (первая попавшаяся ссылка "Microsoft wins $10 billion US Department of Defense JEDI cloud contract"), часть этих средств безусловно идёт на разработку Windows. Будет неправдой сказать, что бизнес американского бигтеха строится на прямых вливаниях из американского бюджета, но и говорить, что американское государство в деятельности этих компаний не участвует и материально не поддерживает тоже нельзя.
3. Факт зависимости РФ от продуктов американских компаний на лицо. Сама собой ситуация не изменится. Альтернативные десктопные и мобильные операционные системы в мире есть, но значительную доли рынка они самостоятельно занять не могут и видимо не смогут. Если брать мобильные ОС, то кого реально интересуют Sailfish, PureOS, postmarketOS и т.п. кроме горстки гиков (я среди них)?
4. Теперь вопрос: а насколько это критично? Если это вопрос государственной безопасности (а мне кажется это так и есть), то нужно принимать чрезвычайные меры, чтобы ситуация конкретно в России изменилась. Чтобы у нас вдруг стало не так как во всем мире. Для этого колоссальные усилия нужно предпринять. В том числе и в законодательной плоскости, и в сфере регуляторики. Сделать разумный протекционизм, как в Штатах, но располагая гораздо меньшими ресурсами. Это не просто кому-то денег дать. И результат совсем не гарантирован. Если же для государства засилье американских операционных систем это в целом норм, то тогда конечно можно оставить все как есть. Но ожидать, что ситуация сама изменится в силу самозародившейся конкуренции на локальном российском рынке, как мне кажется, не стоит.
@avleonovrus #Microsoft #Apple #Google #Android #macOS #iOS #Windows #Rostelecom
Если убрать за скобки действительно спорный контекст с выделением 480 млрд рублей Ростелекому, а рассмотреть написанное по существу, то можно отметить следующее:
1. "Все успешные операционные системы, которые существуют сейчас", если брать десктопы и смартфоны, произведены 3 американскими компаниями: Microsoft, Google, Apple. Как же так получилось, что компании все американские, и занимают большую часть рынка во всех странах мира. За небольшим исключением - мобильные ОС на основе AOSP в Китае и Red Star OS в Северной Корее. Такое положение американских компаний вызвано конкуренцией на свободном рынке? Или все же имеет место разумная политика протекционизма?
2. "Разрабатывались без участия государств". Если государственных денег на первый взгляд не видно это не значит, что их нет. Вливание миллиардов долларов в Microsoft через Department of Defence, например, видно вполне отчётливо (первая попавшаяся ссылка "Microsoft wins $10 billion US Department of Defense JEDI cloud contract"), часть этих средств безусловно идёт на разработку Windows. Будет неправдой сказать, что бизнес американского бигтеха строится на прямых вливаниях из американского бюджета, но и говорить, что американское государство в деятельности этих компаний не участвует и материально не поддерживает тоже нельзя.
3. Факт зависимости РФ от продуктов американских компаний на лицо. Сама собой ситуация не изменится. Альтернативные десктопные и мобильные операционные системы в мире есть, но значительную доли рынка они самостоятельно занять не могут и видимо не смогут. Если брать мобильные ОС, то кого реально интересуют Sailfish, PureOS, postmarketOS и т.п. кроме горстки гиков (я среди них)?
4. Теперь вопрос: а насколько это критично? Если это вопрос государственной безопасности (а мне кажется это так и есть), то нужно принимать чрезвычайные меры, чтобы ситуация конкретно в России изменилась. Чтобы у нас вдруг стало не так как во всем мире. Для этого колоссальные усилия нужно предпринять. В том числе и в законодательной плоскости, и в сфере регуляторики. Сделать разумный протекционизм, как в Штатах, но располагая гораздо меньшими ресурсами. Это не просто кому-то денег дать. И результат совсем не гарантирован. Если же для государства засилье американских операционных систем это в целом норм, то тогда конечно можно оставить все как есть. Но ожидать, что ситуация сама изменится в силу самозародившейся конкуренции на локальном российском рынке, как мне кажется, не стоит.
@avleonovrus #Microsoft #Apple #Google #Android #macOS #iOS #Windows #Rostelecom
Telegram
Горелкин
Главная ИТ-интрига под занавес уходящего года – получит ли «Ростелеком» бюджетное финансирование своего амбициозного проекта по внедрению российской мобильной операционки «Аврора»? Цена вопроса – 480 млрд рублей, Минцифры эту историю поддерживает, а вот Минфин…
Занятно конечно жизнь складывается: кто бы мог подумать, ещё года 2 назад, что пресловутый анекдотический "виндекапец" (как впрочем и "макокапец") станет ощутимо вырисовываться в отдельно взятой стране? 🤩 Что, например, российские ИБ вендоры судорожно кинутся пилить поддержку Linux серверов и Linux десктопов (!), потому что именно это теперь перспективная инфра. А то, что десятки лет было стандартом де-факто в корпоративной среде превратится в legacy, которое здесь и сейчас ещё поработает, но на горизонте 2025-2030 вряд ли от него хоть что-то ещё останется. Просто ух! 🙂
Мне как ИБшнику с бэкграундом именно в *nix безопасности наблюдать это, безусловно, отрадно. 😇 Конечно, если бы западные ОС вендоры начали сейчас жестить, резать обновления, а то и брикать устройства, то переход прошел бы гораздо быстрее, хоть и в авральном режиме. Видимо у этих вендоров свои причины пока не вести себя так. Хотя в том, что этот процесс идёт достаточно медленно тоже есть плюс, т.к. есть время провести миграцию на Linux нежно и аккуратно, с наименьшим стрессом для всех участвующих. 😏
А может этот переход вообще не случиться? Ну да, всякое возможно. Поглядим. Но в любом случае топить сейчас за этот переход видится делом нужным и правильным.
@avleonovrus #Linux #Windows #macOS
Мне как ИБшнику с бэкграундом именно в *nix безопасности наблюдать это, безусловно, отрадно. 😇 Конечно, если бы западные ОС вендоры начали сейчас жестить, резать обновления, а то и брикать устройства, то переход прошел бы гораздо быстрее, хоть и в авральном режиме. Видимо у этих вендоров свои причины пока не вести себя так. Хотя в том, что этот процесс идёт достаточно медленно тоже есть плюс, т.к. есть время провести миграцию на Linux нежно и аккуратно, с наименьшим стрессом для всех участвующих. 😏
А может этот переход вообще не случиться? Ну да, всякое возможно. Поглядим. Но в любом случае топить сейчас за этот переход видится делом нужным и правильным.
@avleonovrus #Linux #Windows #macOS
О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК. Сообщает нам Ъ со ссылкой на источник в правительстве. Якобы это инициатива Минцифры и обязанность делать предустановку возложат на ритейлеров. Если предположить, что так и будет, хорошо ли это? Смотря кому.
1. Вендорам отечественных ОС хорошо, т.к. дополнительный доход от OEM лицензий.
2. Государству хорошо, т.к. это поддержка вендоров отечественных ОС, которая не требует бюджетных вливаний. Теоретически может несколько уменьшиться доля западных ОС и зависимость от них.
3. Ритейлу плохо. На них ляжет дополнительная работа по предустановке, тестированию совместимости и т.п. Что делать с устройствами, на которые нельзя поставить отечественную ОС (читай: Apple)? Это фактический запрет на их продажу? Если да, то продажи таких устройств уйдут в тень, если нет, то будет ли действенна эта мера?
4. Пользователям нейтрально-плохо. Ритейлеры свои дополнительные затраты включат в цену устройств. Каким-то пользователям предустановленная ОС может и зайдет. Почта есть, браузер с соцсеточками и ютубом тоже есть - ну и норм. 🙂 Но, думаю, абсолютное большинство будет на свежекупленное устройства тут же ставить Windows. Лицензионный или не очень. Возможно как доп. услугу у того же ритейлера.
В целом, как мера поддержки отечественных Linux вендоров это выглядит неплохо, но сама по себе это мера расклад по используемым в РФ операционным системам вряд ли изменит. Чтобы снизить долю macOS и Windows нужно прежде всего осознать это как серьёзную проблему и начать это недвусмысленно транслировать. Пока прямых заявлений, что Microsoft и Apple нам вражины и нужно отказываться от использования их продуктов насколько это возможно, я лично не видел. А без этого сложно объяснить конечным пользователям почему им нужно перестать использовать то, что удобно и привычно, и начать вдруг пользоваться тем, что непривычно и менее функционально.
@avleonovrus #Минцифры #Linux #Microsoft #Windows #Apple #macOS
1. Вендорам отечественных ОС хорошо, т.к. дополнительный доход от OEM лицензий.
2. Государству хорошо, т.к. это поддержка вендоров отечественных ОС, которая не требует бюджетных вливаний. Теоретически может несколько уменьшиться доля западных ОС и зависимость от них.
3. Ритейлу плохо. На них ляжет дополнительная работа по предустановке, тестированию совместимости и т.п. Что делать с устройствами, на которые нельзя поставить отечественную ОС (читай: Apple)? Это фактический запрет на их продажу? Если да, то продажи таких устройств уйдут в тень, если нет, то будет ли действенна эта мера?
4. Пользователям нейтрально-плохо. Ритейлеры свои дополнительные затраты включат в цену устройств. Каким-то пользователям предустановленная ОС может и зайдет. Почта есть, браузер с соцсеточками и ютубом тоже есть - ну и норм. 🙂 Но, думаю, абсолютное большинство будет на свежекупленное устройства тут же ставить Windows. Лицензионный или не очень. Возможно как доп. услугу у того же ритейлера.
В целом, как мера поддержки отечественных Linux вендоров это выглядит неплохо, но сама по себе это мера расклад по используемым в РФ операционным системам вряд ли изменит. Чтобы снизить долю macOS и Windows нужно прежде всего осознать это как серьёзную проблему и начать это недвусмысленно транслировать. Пока прямых заявлений, что Microsoft и Apple нам вражины и нужно отказываться от использования их продуктов насколько это возможно, я лично не видел. А без этого сложно объяснить конечным пользователям почему им нужно перестать использовать то, что удобно и привычно, и начать вдруг пользоваться тем, что непривычно и менее функционально.
@avleonovrus #Минцифры #Linux #Microsoft #Windows #Apple #macOS
Про Endpoint Vulnerability Detection. Поделюсь некоторыми соображениями, болями и хотелками по поводу отечественных средств детектирования уязвимостей инфраструктуры.
1. Если брать только ОС-и, то основная боль детектирования уязвимостей это Windows и macOS. Особенно Windows: и по KBшкам, и для Third-Party. Я верю, что в какой-то перспективе от этого в российском энтерпрайзе откажутся, но пока оно есть и требует поддержки. С Linux, особенно в той части детектов, которые обычно реализуют VM-вендоры, детект только по бюллетеням безопасности и версиям пакетов, можно сказать, терпимо.
2. Архитектура и интерфейсы управления отечественных VM решений (я намеренно не буду никого конкретного называть, считайте, что это в среднем по больнице) это просто беда. Трудно развертывать, трудно эксплуатировать, трудно дебажить. Лучше бы этого переусложненного безобразия не было вовсе. 😔
3. Функциональности по детектированию уязвимостей, которая есть в бесплатном ScanOVAL ФСТЭК в принципе было бы достаточно, если бы он не был специально ограничен с точки зрения автоматизации работы. Понятно почему ограничен - забесплатно и так очень круто, тут вопросов нет. Но если бы был, допустим, сканер аналогичный ScanOVAL, но позволяющий запускаться в неинтерактивном режиме с возможностью подложить ему OVAL-контент (или в другом формате - не важно) и получить результаты детектирования - это был бы отличный продукт, за который можно было бы платить вменяемые деньги. Поддержание работы движка и наполнение контента это тяжёлая, важная и трудоемкая работа, это должно финансироваться, тут тоже без вопросов. Я бы топил за такое. Назовем такой класс продуктов, например, Local Vulnerability Scanner.
4. Допустим у нас есть консольная сканилка из предыдущего пункта. Как должно выглядеть вменяемое взаимодействие агента и сервера? Максимально просто и прозрачно для конечного пользователя (№*?@%#$🤬💪)!!! Агент на устройстве должен периодически брать адрес сервера (обычного web-сервера, REST API) из текстового конфига, спросить у сервера "есть у тебя новый контент?", если есть, то скачать его, запустить детект и залить результаты детекта на сервер. Всё! Это тривиально запиливается на скриптах за неделю. И агентная часть, и серверная. И дебажится в случае непоняток ручным выполнением тех же самых запросов с таргет-хоста. И агентная обвязка, и сервер это вообще может быть опенсурс. Вменяемому клиенту все эти интерфейсные красивости, на которые VM-вендоры палят столько ресурсов либо вообще не нужны, либо абсолютно второстепенны.
Сомневаюсь я, конечно, что кто-то из VM-вендоров прислушается и выпустит базовое решение для детекта уязвимостей а-ля ScanOVAL, но с возможностями для автоматизации. Или, что возможности автоматизации добавят непосредственно в ScanOVAL. Или, что агентное сканирование сделают по-человечески, нормально и прозрачно. Но высказываться в эту сторону, имхо, нужно. А то так и продолжим терпеть с улыбочкой всю эту лютую дичь. 😬
@avleonovrus #Microsoft #Windows #macOS #ScanOVAL #LocalScanner #VulnerabilityDetection #FSTEC
1. Если брать только ОС-и, то основная боль детектирования уязвимостей это Windows и macOS. Особенно Windows: и по KBшкам, и для Third-Party. Я верю, что в какой-то перспективе от этого в российском энтерпрайзе откажутся, но пока оно есть и требует поддержки. С Linux, особенно в той части детектов, которые обычно реализуют VM-вендоры, детект только по бюллетеням безопасности и версиям пакетов, можно сказать, терпимо.
2. Архитектура и интерфейсы управления отечественных VM решений (я намеренно не буду никого конкретного называть, считайте, что это в среднем по больнице) это просто беда. Трудно развертывать, трудно эксплуатировать, трудно дебажить. Лучше бы этого переусложненного безобразия не было вовсе. 😔
3. Функциональности по детектированию уязвимостей, которая есть в бесплатном ScanOVAL ФСТЭК в принципе было бы достаточно, если бы он не был специально ограничен с точки зрения автоматизации работы. Понятно почему ограничен - забесплатно и так очень круто, тут вопросов нет. Но если бы был, допустим, сканер аналогичный ScanOVAL, но позволяющий запускаться в неинтерактивном режиме с возможностью подложить ему OVAL-контент (или в другом формате - не важно) и получить результаты детектирования - это был бы отличный продукт, за который можно было бы платить вменяемые деньги. Поддержание работы движка и наполнение контента это тяжёлая, важная и трудоемкая работа, это должно финансироваться, тут тоже без вопросов. Я бы топил за такое. Назовем такой класс продуктов, например, Local Vulnerability Scanner.
4. Допустим у нас есть консольная сканилка из предыдущего пункта. Как должно выглядеть вменяемое взаимодействие агента и сервера? Максимально просто и прозрачно для конечного пользователя (№*?@%#$🤬💪)!!! Агент на устройстве должен периодически брать адрес сервера (обычного web-сервера, REST API) из текстового конфига, спросить у сервера "есть у тебя новый контент?", если есть, то скачать его, запустить детект и залить результаты детекта на сервер. Всё! Это тривиально запиливается на скриптах за неделю. И агентная часть, и серверная. И дебажится в случае непоняток ручным выполнением тех же самых запросов с таргет-хоста. И агентная обвязка, и сервер это вообще может быть опенсурс. Вменяемому клиенту все эти интерфейсные красивости, на которые VM-вендоры палят столько ресурсов либо вообще не нужны, либо абсолютно второстепенны.
Сомневаюсь я, конечно, что кто-то из VM-вендоров прислушается и выпустит базовое решение для детекта уязвимостей а-ля ScanOVAL, но с возможностями для автоматизации. Или, что возможности автоматизации добавят непосредственно в ScanOVAL. Или, что агентное сканирование сделают по-человечески, нормально и прозрачно. Но высказываться в эту сторону, имхо, нужно. А то так и продолжим терпеть с улыбочкой всю эту лютую дичь. 😬
@avleonovrus #Microsoft #Windows #macOS #ScanOVAL #LocalScanner #VulnerabilityDetection #FSTEC
Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive Technologies
05:22 Новый бэкдор для Ivanti Connect Secure и анализ апплаенса Ivanti
10:42 Февральский Microsoft Patch Tuesday, ошибочный временный взлёт RCE Outlook и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость EventLogCrasher в Windows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peiter Zatko (бывший CISO Twitter)
@avleonovrus #ПрожекторПоИБ #PositiveTechnologies #Ivanti #ConnectSecure #Microsoft #PatchTuesday #Outlook #Exchange #Фишинг #EventLogCrasher #Windows #ФСТЭК #NCSC #VMprocess
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive Technologies
05:22 Новый бэкдор для Ivanti Connect Secure и анализ апплаенса Ivanti
10:42 Февральский Microsoft Patch Tuesday, ошибочный временный взлёт RCE Outlook и взлёт уязвимости Exchange
15:17 Фишинговые рассылки на тему выплат за детей от 3 до 16 лет
18:24 Cтатистика по мошенничествам на сервисах знакомств в День святого Валентина
20:40 0day уязвимость EventLogCrasher в Windows
25:50 Драфт "Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в контексте Управления Уязвимостями
34:35 Обсуждение руководства по управлению уязвимостями от британских регуляторов
38:37 🎤 Лев зачитывает прощальный рэп, вспоминаем/осуждаем Peiter Zatko (бывший CISO Twitter)
@avleonovrus #ПрожекторПоИБ #PositiveTechnologies #Ivanti #ConnectSecure #Microsoft #PatchTuesday #Outlook #Exchange #Фишинг #EventLogCrasher #Windows #ФСТЭК #NCSC #VMprocess
YouTube
Прожектор по ИБ, выпуск №23 (18.02.2024): Прощальный рэп
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive…
🔸 Лев Палей, "Вести из Палей"
00:00 Здороваемся, смотрим статистику, Лев рассказывает почему больше не будет участвовать в Прожекторе по ИБ 😔
02:23 Дайджест трендовых уязвимостей за январь 2024 от Positive…
Единственная уязвимость из апрельского Microsoft Patch Tuesday, для которой Microsoft подтверждает наличие признаков активной эксплуатации вживую, является Spoofing - Proxy Driver (CVE-2024-26234): что это за зверь такой?
По этой уязвимости один источник - статья в блоге компании Sophos.
🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copyrigth' вместо 'Copyright', 'rigths' вместо 'rights'). 🙄
🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows Driver.STL revocation list) и завели CVE-2024-26234.
🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.
Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Windows, то наверное да. 🤷♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defender Antivirus как CVE оформлять. 🤪
Продолжение
@avleonovrus #Sophos #backdoor #STL #WHCP #Windows #Microsoft #PatchTuesday
По этой уязвимости один источник - статья в блоге компании Sophos.
🔻 В декабре 2023 года Sophos входе проверок ложных срабатываний обнаруживает странный файл Catalog.exe с опечатками в свойствах ('Copyrigth' вместо 'Copyright', 'rigths' вместо 'rights'). 🙄
🔻 После изучения оказывается, что это бэкдор с валидной подписью Microsoft Windows Hardware Compatibility Program (WHCP). 👾 Sophos ообщили об этой находке Microsoft. Microsoft, на основе этой информации обновили свой список отзыва (Windows Driver.STL revocation list) и завели CVE-2024-26234.
🔻 А причём тут Proxy? Sophos пишут, что в подозрительный файл встроен крошечный бесплатный прокси-сервер 3proxy, который используется для мониторинга и перехвата сетевого трафика в зараженной системе.
Итого, что мы видим. CVE заведена по сути под конкретную подписанную малварь и обновление списка отзыва драйверов. Нужно ли под такое CVE заводить. Ну если для противодействия атакам требуется произвести обновление Windows, то наверное да. 🤷♂️ Хотя так и совсем до маразма можно дойти и, например, каждое обновление Microsoft Defender Antivirus как CVE оформлять. 🤪
Продолжение
@avleonovrus #Sophos #backdoor #STL #WHCP #Windows #Microsoft #PatchTuesday
Немного продолжу ещё про CVE-2024-26234: имхо, основная беда в крайне неудачном названии этой уязвимости "Spoofing - Proxy Driver". Складывается ощущение, что есть какой-то виндовый компонент "Proxy Driver", который спуфят (т.е. по определению "один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества"). А если читать статью Sophos, то там единственное, что можно принять за "Proxy Driver" это, собственно, малварь Catalog.exe и есть. И маскировка там если и есть, то только у зловредного сервиса с описанием "Google ADB LoaclSocket [sic] Multi-threading Graphics API".
То есть, либо речь о какой-то другой уязвимости (ну а вдруг, с Microsoft-ом я ничему не удивляюсь 😏), либо о совсем уж криво натянутой на глобус сове. 🦉🌏
Причём, для таких кейсов уже есть отлаженная форма заведения: ADV230001 - Guidance on Microsoft Signed Drivers Being Used Maliciously. Там как раз про зловредные подписанные драйвера и Windows Driver.STL.
Ну или если совсем уж хочется CVE завести, то почему бы не обозначить её как Security Feature Bypass - Windows Driver.STL?
Если же абстрагироваться от неудачного названия (которое всеми воспринимается с покерфейсом 😐, типа так и надо), необновленный Windows Driver.STL revocation list, из-за которого злоумышленник может запускать зловреды, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертом это вполне себе уязвимость, а в случае зафиксированной эксплуатации вживую, вполне себе уязвимость трендовая.
@avleonovrus #Sophos #backdoor #STL #WHCP #Windows #Microsoft #PatchTuesday #TrendVulns
То есть, либо речь о какой-то другой уязвимости (ну а вдруг, с Microsoft-ом я ничему не удивляюсь 😏), либо о совсем уж криво натянутой на глобус сове. 🦉🌏
Причём, для таких кейсов уже есть отлаженная форма заведения: ADV230001 - Guidance on Microsoft Signed Drivers Being Used Maliciously. Там как раз про зловредные подписанные драйвера и Windows Driver.STL.
Ну или если совсем уж хочется CVE завести, то почему бы не обозначить её как Security Feature Bypass - Windows Driver.STL?
Если же абстрагироваться от неудачного названия (которое всеми воспринимается с покерфейсом 😐, типа так и надо), необновленный Windows Driver.STL revocation list, из-за которого злоумышленник может запускать зловреды, подписанные сомнительным (утекшим? мошеннически выпущенным?) сертом это вполне себе уязвимость, а в случае зафиксированной эксплуатации вживую, вполне себе уязвимость трендовая.
@avleonovrus #Sophos #backdoor #STL #WHCP #Windows #Microsoft #PatchTuesday #TrendVulns
Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028). Уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. CVSS 7.8. Никто эту уязвимость особо не выделял. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского NSA (National Security Agency). Это случается достаточно редко. В таком состоянии уязвимость пребывала до 22 апреля 2024 г.
🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾
🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.
🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷♂️
🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.
🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎
🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.
➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.
@avleonovrus #Microsoft #Windows #PrintSpooler #GooseEgg #NSA
🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾
🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.
🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷♂️
🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.
🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎
🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.
➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.
@avleonovrus #Microsoft #Windows #PrintSpooler #GooseEgg #NSA
Критическая уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) с публичным эксплоитом. CVSS 9.8. 6 июня разработчики PHP выпустили обновление для устранения RCE-уязвимости, которая связана с функцией преобразования кодировки Best-Fit в операционной системе Windows. Уязвимость позволяет неаутентифицированному злоумышленнику, выполняющему argument injection атаку, обойти защиту от старой активно эксплуатируемой RCE-уязвимости CVE-2012-1823 с помощью определенных последовательностей символов и выполнить произвольный код. Эксплоиты для уязвимости уже доступны на GitHub. Shadowserver Foundation отмечает активные сканирования, направленные на обнаружения уязвимых хостов. 👾
Уязвимость затрагивает все версии PHP, установленные в операционной системе Windows.
🔻 PHP 8.3 < 8.3.8
🔻 PHP 8.2 < 8.2.20
🔻 PHP 8.1 < 8.1.29
Версии PHP 8.0, PHP 7 и PHP 5 также уязвимы, но они уже в End-of-Life и не поддерживаются. 🤷♂️
Отдельно подчеркивается, что все инсталляции XAMPP также уязвимы по умолчанию. XAMPP - это популярная кроссплатформенная сборка локального веб-сервера, содержащая Apache, MariaDB, PHP, Perl и большое количество дополнительных библиотек.
В случае, если обновление до актуальной версии PHP невозможно, исследователи из компании DEVCORE предлагают конфигурации для противодействия эксплуатации уязвимости. Однако эти рекомендации касаются инсталляций на Windows с определенными языковыми локалями (Traditional Chinese, Simplified Chinese, Japanese), для которых эксплуатация уязвимости была подтверждена. На других локалях из-за широкого спектра сценариев использования PHP в настоящее время невозможно полностью перечислить и исключить все потенциальные сценарии эксплуатации уязвимости. Поэтому пользователям рекомендуется провести комплексную оценку активов, проверить сценарии использования PHP и обновить PHP до последней версии.
@avleonovrus #PHP #CGI #XAMPP #Microsoft #Windows
Уязвимость затрагивает все версии PHP, установленные в операционной системе Windows.
🔻 PHP 8.3 < 8.3.8
🔻 PHP 8.2 < 8.2.20
🔻 PHP 8.1 < 8.1.29
Версии PHP 8.0, PHP 7 и PHP 5 также уязвимы, но они уже в End-of-Life и не поддерживаются. 🤷♂️
Отдельно подчеркивается, что все инсталляции XAMPP также уязвимы по умолчанию. XAMPP - это популярная кроссплатформенная сборка локального веб-сервера, содержащая Apache, MariaDB, PHP, Perl и большое количество дополнительных библиотек.
В случае, если обновление до актуальной версии PHP невозможно, исследователи из компании DEVCORE предлагают конфигурации для противодействия эксплуатации уязвимости. Однако эти рекомендации касаются инсталляций на Windows с определенными языковыми локалями (Traditional Chinese, Simplified Chinese, Japanese), для которых эксплуатация уязвимости была подтверждена. На других локалях из-за широкого спектра сценариев использования PHP в настоящее время невозможно полностью перечислить и исключить все потенциальные сценарии эксплуатации уязвимости. Поэтому пользователям рекомендуется провести комплексную оценку активов, проверить сценарии использования PHP и обновить PHP до последней версии.
@avleonovrus #PHP #CGI #XAMPP #Microsoft #Windows
Уязвимость Remote Code Execution - PHP на Windows хостах (CVE-2024-4577) используется в атаках шифровальщиков. О самой уязвимости у меня уже был пост в субботу. Теперь же исследователи Imperva Threat Research сообщают, что эта уязвимость используется злоумышленниками для доставки зловреда, идентифицированого как компонент шифровальщике TellYouThePass.
⏳ Атаки были замечены 8 июня, менее чем через 48 часов после выпуска патча от разработчиков PHP. В атаках использовался эксплоит, который к тому времени уже был публично доступен.
Атаки с использованием TellYouThePass отмечаются с 2019 года. Они нацелены на организации и частных лиц. Злоумышленники шифруют и Windows, и Linux инфраструктуру.
Какие можно сделать выводы? Если видите уязвимость с публичным эксплоитом и более-менее понятным вектором эксплуатации - не поленитесь запатчить её как можно быстрее. Потому что злоумышленники точно не поленятся добавить этот эксплоит в свою малварь. 😉
@avleonovrus #PHP #Microsoft #Windows #TellYouThePass #Imperva
⏳ Атаки были замечены 8 июня, менее чем через 48 часов после выпуска патча от разработчиков PHP. В атаках использовался эксплоит, который к тому времени уже был публично доступен.
Атаки с использованием TellYouThePass отмечаются с 2019 года. Они нацелены на организации и частных лиц. Злоумышленники шифруют и Windows, и Linux инфраструктуру.
Какие можно сделать выводы? Если видите уязвимость с публичным эксплоитом и более-менее понятным вектором эксплуатации - не поленитесь запатчить её как можно быстрее. Потому что злоумышленники точно не поленятся добавить этот эксплоит в свою малварь. 😉
@avleonovrus #PHP #Microsoft #Windows #TellYouThePass #Imperva
Июньский Microsoft Patch Tuesday. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tuesday. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:
🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.
Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.
В профильных СМИ обращают внимание на эти 2:
🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.
На что ещё можно обратить внимание:
🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.
🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Chromium #MSMQ #DNSSEC #Win32k #Windows #WindowsKernel #MicrosoftOffice #Outlook #WiFi
🔻 Remote Code Execution - Chromium (CVE-2024-5274, CVE-2024-4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.
Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.
В профильных СМИ обращают внимание на эти 2:
🔸 Remote Code Execution - Microsoft Message Queuing (MSMQ) (CVE-2024-30080). У этой уязвимости большой CVSS Score - 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Windows серверов с включенным MSMQ. Очень похоже на прошлогоднюю QueueJumper (CVE-2023-21554).
🔸 Denial of Service - DNSSEC (CVE-2023-50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷♂️ Какой-то супер-критичности не вижу, но для MS Patch Tuesday такое редкость, видимо поэтому все пишут.
На что ещё можно обратить внимание:
🔸 Elevation of Privilege - Windows Win32k (CVE-2024-30091), Windows Kernel (CVE-2024-30088, CVE-2024-30099) и Windows Cloud Files Mini Filter Driver (CVE-2024-30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Concept эксплоиты.
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30101). Это уязвимость Microsoft Outlook. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Outlook, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Preview Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race condition.
🔸 Remote Code Execution - Microsoft Outlook (CVE-2024-30103). Панель предварительного просмотра (Preview Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷♂️
🔸 Remote Code Execution - Windows Wi-Fi Driver (CVE-2024-30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Execution - Microsoft Office (CVE-2024-30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Preview Pane) НЕ является вектором атаки.
🗒 Отчёт Vulristics по июньскому Microsoft Patch Tuesday
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Chromium #MSMQ #DNSSEC #Win32k #Windows #WindowsKernel #MicrosoftOffice #Outlook #WiFi
Резко повысилась критичность уязвимости Elevation of Privilege - Windows CSC Service (CVE-2024-26229). Уязвимость из апрельского Microsoft Patch Tuesday. В апреле эту уязвимость вообще никто не подсвечивал.
"На Танечку внимания никто не обращал" (c)
Microsoft про неё писали "Exploitation Less Likely". Известно было только то, что в случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.
Но через 2 месяца, 10 июня, на GitHub появился рабочий эксплоит. 🤷♂️ Сюрприз! Критичность уязвимости скачкообразно повысилась.
Можно было это как-то прогнозировать? Имхо, вообще никак. Ещё одно подтверждение, что прогнозирование трендовости это, конечно, хорошо и правильно, но регулярный безусловный патчинг согласно установленному SLA (AIT) не отменяет.
Небольшая подробность. Автор эксплоита уточнил CWE уязвимости.
Было: CWE-122 - Heap-based Buffer Overflow
Стало: CWE-781 - Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code
@avleonovrus #CSC #Microsoft #Windows
"На Танечку внимания никто не обращал" (c)
Microsoft про неё писали "Exploitation Less Likely". Известно было только то, что в случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.
Но через 2 месяца, 10 июня, на GitHub появился рабочий эксплоит. 🤷♂️ Сюрприз! Критичность уязвимости скачкообразно повысилась.
Можно было это как-то прогнозировать? Имхо, вообще никак. Ещё одно подтверждение, что прогнозирование трендовости это, конечно, хорошо и правильно, но регулярный безусловный патчинг согласно установленному SLA (AIT) не отменяет.
Небольшая подробность. Автор эксплоита уточнил CWE уязвимости.
Было: CWE-122 - Heap-based Buffer Overflow
Стало: CWE-781 - Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code
@avleonovrus #CSC #Microsoft #Windows
Повышение критичности уязвимости Elevation of Privilege - Windows Error Reporting Service (CVE-2024-26169). В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM. Уязвимость была исправлена в мартовском Microsoft Patch Tuesday. Как это частенько бывает, тогда эту уязвимость никто не выделял. 🤷♂️
Однако, через 3 месяца, 12 июня, исследователи Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔
13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.
Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений - лучше.
@avleonovrus #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware
Однако, через 3 месяца, 12 июня, исследователи Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплоиты для данной уязвимости. Если верить меткам времени компиляции, эти эксплоиты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 или даже в декабре 2023 года. Конечно, эти временные метки злоумышленники могли и подделать, но зачем? 🤔
13 июня уязвимость была добавлена в CISA KEV. В паблике эксплоита пока не видно.
Мораль та же: оценка и приоритизация уязвимостей хорошо, а регулярная безусловная установка обновлений - лучше.
@avleonovrus #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware
Повышение критичности уязвимости Elevation of Privilege - Windows Kernel (CVE-2024-30088). Уязвимость свежая, из июньского Microsoft Patch Tuesday. Я её выделял в обзоре, так как для неё, согласно CVSS вектору, существовал приватный Proof-of-Concept Exploit. Но подробностей не было. Было ясно только то, что в случае успешной эксплуатации, злоумышленник может получить привилегии SYSTEM. Согласно бюллетеню ZDI, уязвимость затрагивает реализацию NtQueryInformationToken и заключается в отсутствии правильной блокировки при выполнении операций над объектом.
24 июня, через 2 недели после июньского Patch Tuesday, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC-ом эксплоита. Также доступно видео с запуском утилиты для получения привилегий SYSTEM.
В последнее время EoP/LPE уязвимости Windows очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.
@avleonovrus #Microsoft #Windows #WindowsKernel #ZDI #NtQueryInformationToken
24 июня, через 2 недели после июньского Patch Tuesday, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC-ом эксплоита. Также доступно видео с запуском утилиты для получения привилегий SYSTEM.
В последнее время EoP/LPE уязвимости Windows очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.
@avleonovrus #Microsoft #Windows #WindowsKernel #ZDI #NtQueryInformationToken
Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Список уязвимостей:
🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)
@avleonovrus #втрендеVM #TrendVulns #SecLab #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication
YouTube
AirPods подслушивают / Трекеры убивают / Мир сходит с ума / 156
— Шпион в ушной раковине. Как AirPods предали миллионы пользователей.
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
— Polyfill.io внедряет вредоносное ПО. Покупка домена привела ко взлому более 100 тысяч сайтов.
— Фотобаттлы в сети. Участие в конкурсе может обернуться потерей аккаунта в WhatsApp.
…
По поводу массовых сбоев Windows хостов из-за обновления CrowdStrike Falcon Sensor.
🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.
🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.
🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.
Что сказать? Фейл эпичнейший.
🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.
🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.
@avleonovrus #CrowdStrike #BSODStrike #Microsoft #Windows
🔹 CrowdStrike Falcon - облачное endpoint security решение, объединяющее антивирус, EDR, threat hunting и прочее. Управление Уязвимостями там тоже есть - Falcon Spotlight. 😉 Данные льёт в облако легковесный агент Falcon Sensor.
🔹 Согласно ветке на Reddit, массовые BSOD-ы на Windows хостах начали фиксироваться со вчерашнего вечера (7/18/24 10:20PM PT). Есть workaround: загрузка в Safe Mode и удаление некоторых файлов.
🔹 Проблема затронула ТВ каналы, лондонскую фондовую биржу, аэропорты и авиакомпании, железные дороги.
Что сказать? Фейл эпичнейший.
🔸 Массовые автоматические обновления без тестирования - это опасно. Обновлениями нужно управлять: тестировать их и раскатывать постепенно.
🔸 Это отличная демонстрация: что будет, если Microsoft решит заблокировать работу Windows в России. Будет коллапс, но гораздо масштабнее. Нужно импортозамещать ОС. Особенно в КИИ.
@avleonovrus #CrowdStrike #BSODStrike #Microsoft #Windows
No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы...)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет...)
И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали...
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали...
(Пока что...)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка...
С таким не справится устаревший онпрем, для такого нужны облака...
А если серьёзно... В 22-ом CrowdStrike из России ушёл...
И, как по мне, это очень, очень, ну просто ооочень хорошо!
MP3 файл
@avleonovrus #fun #music #поёмCVE #CrowdStrike #BSODStrike #Microsoft #Windows #CloudAgent #SecurityContent #Detection #onprem
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы...)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет...)
И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали...
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали...
(Пока что...)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка...
С таким не справится устаревший онпрем, для такого нужны облака...
А если серьёзно... В 22-ом CrowdStrike из России ушёл...
И, как по мне, это очень, очень, ну просто ооочень хорошо!
MP3 файл
@avleonovrus #fun #music #поёмCVE #CrowdStrike #BSODStrike #Microsoft #Windows #CloudAgent #SecurityContent #Detection #onprem
YouTube
Трек про инцидент c CrowdStrike BSODStrike "No Boot - No Hacker!"
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike…
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike…
Про уязвимость Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077). Уязвимость исправили в июльском Patch Tuesday. Неаутентифицированный атакующий может вызвать RCE, посылая сообщения RDL. CVSS 9.8. Обновления доступны для Windows Server от 2008 до 2022.
Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷♂️
9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.
Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷♂️ В интранетах их должно быть без счёта.
❗️ Выглядит как долгоиграющая трендовая история.
Исследователи обещают нам ещё BadLicense и DeadLicense. 😉
@avleonovrus #Microsoft #Windows #MadLicense #RDP #RDL
Что за сервис RDL? По умолчанию Remote Desktop Services разрешают только два одновременных подключения по RDP к Windows серверу. Если нужно больше, то требуется докупать лицензии. Управление этими лицензиями осуществляет сервис RDL. Зачастую админы включают RDL и на серверах, где он не нужен. 🙄🤷♂️
9 августа на GitHub выложили write-up и PoC для Server 2025. Пока только псевдокод на Python без критичных частей, чисто для разработки правил детектирования.
Пишут, что 170000 хостов с RDL доступны из Интернет. 🤷♂️ В интранетах их должно быть без счёта.
❗️ Выглядит как долгоиграющая трендовая история.
Исследователи обещают нам ещё BadLicense и DeadLicense. 😉
@avleonovrus #Microsoft #Windows #MadLicense #RDP #RDL