Резко повысилась критичность относительно старой уязвимости Privilege Escalation - Microsoft Windows Print Spooler (CVE-2022-38028). Уязвимость была исправлена в рамках Microsoft Patch Tuesday в октябре 2022 года. CVSS 7.8. Никто эту уязвимость особо не выделял. Единственная примечательная подробность была в том, что информация об уязвимости пришла от американского NSA (National Security Agency). Это случается достаточно редко. В таком состоянии уязвимость пребывала до 22 апреля 2024 г.
🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾
🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.
🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷♂️
🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.
🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎
🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.
➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.
@avleonovrus #Microsoft #Windows #PrintSpooler #GooseEgg #NSA
🔻 22 апреля Microsoft выпустили блог-пост про эксплуатацию этой уязвимости с помощью хакерской утилиты, которую они назвали GooseEgg (ГусиноеЯйцо). 👾
🔻 Утилита используется для повышения привилегий до уровня SYSTEM и кражи учёток. Это помогает злоумышленникам развивать атаку: реализовывать удаленное выполнение кода, устанавливать бэкдор, выполнять горизонтальное перемещение через скомпрометированные сети и т.д.
🔻 Утилита используется как минимум с июня 2020 года, а возможно, и с апреля 2019 года. То есть уже 4-5 лет, а известно это стало только сейчас. 🤷♂️
🔻 Пост Microsoft содержит подробности по работе утилиты GooseEgg, индикаторы компрометации и рекомендации по снижению рисков эксплуатации уязвимости CVE-2022-38028, главная из которых это, безусловно, установка обновлений безопасности.
🔻 К сожалению, пост Microsoft также содержит многочисленные голословные утверждения, что случаи эксплуатации CVE-2022-38028 с использованием утилиты GooseEgg якобы как-то связаны с работой определенных российских спецслужб. Естественно, я с такими утверждениями Microsoft не согласен и решительно их осуждаю. 👎
🔻 CISA добавили уязвимость CVE-2022-38028 в Known Exploited Vulnerabilities каталог 23 апреля. Федеральное агентства США должны исправить эту уязвимость до 14 мая.
➡️ Этот кейс в очередной раз подтверждает старую истину, что уязвимости, которые не выглядят эксплуатабельными, на самом деле могут активно эксплуатироваться уже сейчас, просто об этом мало кому известно. А значит необходимо стремиться своевременно исправлять все уязвимости, которые детектируются в инфраструктуре.
@avleonovrus #Microsoft #Windows #PrintSpooler #GooseEgg #NSA
Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Курс шёл 3 недели в апреле. Занятия проводил генеральный директор АО «Эшелон Технологии» Александр Дорофеев, CISSP, CISA, CISM.
Как по мне, получился неплохой курс для начинающих. Демонстрация детектирования уязвимостей там, конечно, на Сканер-ВС 6, но по большей части контент курса можно считать вендерно-нейтральным и он будет полезен всем начинающим VM-специалистам.
Список занятий:
1. Методика тестирования защищенности
2. Интернет-разведка (OSINT)
3. Поиск уязвимостей
4. Эксплуатация уязвимостей
5. Отчет по тестированию
защищенности
6. Организационные аспекты управления уязвимостями
Видеозаписи занятий выкладываются в плейлисты учебного центра «Эшелон» на YouTube, RuTube и ВКонтакте. На данный момент доступны записи первых четырёх занятий.
Слайды я по согласованию перезалил в свой канал из канала @EchelonEyes, чтобы всё было в одном месте. Это крутой канал с новостями по ИБ, сам подписан и вас приглашаю подписаться.
Обращаю внимание, что не весь контент курса отражён на слайдах! Например, на слайдах по эксплуатации описан только брутфорс паролей, а на видео ещё разбирается эксплуатация уязвимости с помощью метасплоита. Так что лучше смотрите видео.
Больше курсов по Vulnerability Management-у хороших и разных!
@avleonovrus #Echelon #ScannerVS #ScannerVS6 #OSINT #VMprocess #Metasploit
Как по мне, получился неплохой курс для начинающих. Демонстрация детектирования уязвимостей там, конечно, на Сканер-ВС 6, но по большей части контент курса можно считать вендерно-нейтральным и он будет полезен всем начинающим VM-специалистам.
Список занятий:
1. Методика тестирования защищенности
2. Интернет-разведка (OSINT)
3. Поиск уязвимостей
4. Эксплуатация уязвимостей
5. Отчет по тестированию
защищенности
6. Организационные аспекты управления уязвимостями
Видеозаписи занятий выкладываются в плейлисты учебного центра «Эшелон» на YouTube, RuTube и ВКонтакте. На данный момент доступны записи первых четырёх занятий.
Слайды я по согласованию перезалил в свой канал из канала @EchelonEyes, чтобы всё было в одном месте. Это крутой канал с новостями по ИБ, сам подписан и вас приглашаю подписаться.
Обращаю внимание, что не весь контент курса отражён на слайдах! Например, на слайдах по эксплуатации описан только брутфорс паролей, а на видео ещё разбирается эксплуатация уязвимости с помощью метасплоита. Так что лучше смотрите видео.
Больше курсов по Vulnerability Management-у хороших и разных!
@avleonovrus #Echelon #ScannerVS #ScannerVS6 #OSINT #VMprocess #Metasploit
В продолжение темы ханипотов, посмотрел свежее интервью с Александром Щетининым, сооснователем и генеральным директором deception-вендора Xello. Мы с Александром долгое время работали в отделе инфраструктурной безопасности Тинькофф. 💛 В 2018 году он ушёл строить свой бизнес, который удачно стрельнул.
В 2019 Xello выпустили первую версию deception-платформы (управление хостами-приманками в инфраструктуре). На 2022 год достигли ~115 млн. р. выручки и ~20 человек в команде. Сейчас оцениваются на 1-2 млрд. р.
В интервью есть и то, что обычно мотивирует уйти из найма в свой стартап (как сделать продукт и начать зарабатывать на нём 😎), и то, что обычно демотивирует:
🔻 С начала работы до момента, как они стали нормально зарабатывать прошло 2-3 года.
🔻 Чтобы успешно реализовать хотя бы одну продажу, необходимо провести критическую массу пилотов (минимум пять).
🔻 Текущая работа Александра состоит из встреч, звонков и разбора почты. 🤷♂️
В общем, очень интересно и без пафоса. 🔥👍
@avleonovrus #Xello #honeypot
В 2019 Xello выпустили первую версию deception-платформы (управление хостами-приманками в инфраструктуре). На 2022 год достигли ~115 млн. р. выручки и ~20 человек в команде. Сейчас оцениваются на 1-2 млрд. р.
В интервью есть и то, что обычно мотивирует уйти из найма в свой стартап (как сделать продукт и начать зарабатывать на нём 😎), и то, что обычно демотивирует:
🔻 С начала работы до момента, как они стали нормально зарабатывать прошло 2-3 года.
🔻 Чтобы успешно реализовать хотя бы одну продажу, необходимо провести критическую массу пилотов (минимум пять).
🔻 Текущая работа Александра состоит из встреч, звонков и разбора почты. 🤷♂️
В общем, очень интересно и без пафоса. 🔥👍
@avleonovrus #Xello #honeypot
Что известно про уязвимость Security Feature Bypass - SmartScreen Prompt (CVE-2024-29988)? Основная причина, почему её можно выделить в апрельском Microsoft Patch Tuesday - упоминание в блоге ZDI (Zero Day Initiative). ZDI считают, что эта уязвимость эксплуатируется в реальных атаках. При том, что Microsoft в настоящее время так НЕ считают. Такая вот странная ситуация. 🤷♂️
Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.
Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024-29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Также Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412), которая попала в список трендовых уязвимостей в феврале.
@avleonovrus #SmartScreen #MicrosoftDefender #ZDI #MotW #WaterHydra #DarkCasino #DarkGate #TrendVulns
Уязвимость позволяет обходить функцию безопасности Mark of the Web (MotW). Эта функция помогает защищать устройства пользователей от потенциально вредоносных файлов, загруженных из сети, путём их маркирования. Такая маркировка позволяет приложениям открывать файлы в защищённом режиме или выводить предупреждения о потенциальной опасности. Как сообщают ZDI, злоумышленники посылают эксплоиты в zip-файлах, чтобы избежать детектирования системами EDR/NDR, а затем используют эту уязвимость (и подобные ей) для обхода Mark of the Web и запуска вредоносного ПО на целевых системах.
Исследователь угроз ZDI Питер Гирнус написал в микроблогинговой платформе, что патчи Microsoft для CVE-2024-29988 это вторая часть исправления найденной им ошибки обхода SmartScreen, которая эксплуатируется вживую в кампаниях Water Hydra (DarkCasino) и DarkGate. Также Гирнус утверждает, что уязвимость CVE-2024-29988 тесно связана с Security Feature Bypass - Internet Shortcut Files (CVE-2024-21412), которая попала в список трендовых уязвимостей в феврале.
@avleonovrus #SmartScreen #MicrosoftDefender #ZDI #MotW #WaterHydra #DarkCasino #DarkGate #TrendVulns
Провели эту неделю в Костроме. Красиво, вкусно, по московским меркам дёшево. Много всяких активностей для детей. Если бы ещё берёза не пылила, то совсем было бы хорошо. 😅 Из Москвы ходит комфортная Ласточка.
Занимательный исторический факт из поездки.
Пётр III Фёдорович
Жена Павла I - Мария Фёдоровна
Жена Николая I - Александра Фёдоровна
Жена Александра III - Мария Фёдоровна
Жена Николая II - Александра Фёдоровна
При том, что батюшек их совсем не Фёдорами звали. Почему так? Отчество давали при переходе в православие в честь Феодоровской иконы Божией Матери XII века, которая сейчас хранится в воссозданном Богоявленском соборе Костромского кремля.
@avleonovrus #offtopic #кострома #travel #history
Занимательный исторический факт из поездки.
Пётр III Фёдорович
Жена Павла I - Мария Фёдоровна
Жена Николая I - Александра Фёдоровна
Жена Александра III - Мария Фёдоровна
Жена Николая II - Александра Фёдоровна
При том, что батюшек их совсем не Фёдорами звали. Почему так? Отчество давали при переходе в православие в честь Феодоровской иконы Божией Матери XII века, которая сейчас хранится в воссозданном Богоявленском соборе Костромского кремля.
@avleonovrus #offtopic #кострома #travel #history
Сделал трек для прошлогодней темы - концепту визуальной новеллы про Vulnerability Management. 🙂
"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.
На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."
Светлана Надеждина:
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.
То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.
Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.
А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.
Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!
@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #music #поёмCVE
"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.
На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."
Светлана Надеждина:
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.
То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.
Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.
А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.
Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!
@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #music #поёмCVE
YouTube
"С сетевым периметром всё как бы просто, но не совсем..." Руководитель IT и новый VM-щик.
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов…
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов…
Посмотрел интервью Дугина Карлсону. Интервью на 20 минут. Основная идея Дугина, в том, что современный западный (нео)либерализм сформировался в результате поступательного движения к всё более экстремальным формам индивидуализма путём поэтапного избавления от всех традиционных форм групповой идентичности: религии, имперского сознания, национального государства, семьи, ориентации, пола. Следующий шаг это переход от "gender optional" к "human optional" через трансгуманизм, роботизацию и сильный ИИ. А Россия представляет этому альтернативу.
И тут бы Карлсону подловить Дугина и спросить: значит ли это, что в России не будет сильного ИИ, роботизации и трансгуманизма (хотя бы в форме продвинутого протезирования)? 🙂 Но нет. 🤷♂️
Имхо, зря Дугин всё к технологиям сводит, т.к. и сильный ИИ, и роботы, и импланты, и прочая дополненная реальность в России, разумеется, будут ничуть не в меньшей степени, чем на Западе. И традиционализм технологическому развитию не мешает.
@avleonovrus #offtopic #Dugin #transhumanism
И тут бы Карлсону подловить Дугина и спросить: значит ли это, что в России не будет сильного ИИ, роботизации и трансгуманизма (хотя бы в форме продвинутого протезирования)? 🙂 Но нет. 🤷♂️
Имхо, зря Дугин всё к технологиям сводит, т.к. и сильный ИИ, и роботы, и импланты, и прочая дополненная реальность в России, разумеется, будут ничуть не в меньшей степени, чем на Западе. И традиционализм технологическому развитию не мешает.
@avleonovrus #offtopic #Dugin #transhumanism
Дугин луддит? Чтобы дополнить предыдущий пост посмотрел часть "Эмпатии Манучи" с Дугиным месячной давности. Там ему вопрос "в России не будет сильного ИИ, роботизации и трансгуманизма?" тоже не задали, но он подробно поясняет почему это плохо:
🔻 (цитирует Хайдеггера) "В технике как таковой заложен фундаментальный подвох: когда человек перестаёт трогать рукой дерево, воду, землю, хлеб, врага, ставит между ними определенный инструмент (самый простой), то он сам утрачивает в этот момент человечность". 👉🌳
🔻 "Техника как таковая есть абсолютное проклятие нашего рода, это чистое метафизическое зло". 🙄
🔻"Техника должна быть под контролем духа, иначе она превращается в зверя, дьявола, нового господина, нового субъекта". 👌
🔻 "Искусственный интеллект это рукотворный дьявол". 👨💻
Философы это вам не технари. 😅 В сухом остатке: будет у нас тоже самое, что и на Западе, но белое, пушистое и "закрепощённое". Нужно только "изгнать из Искусственного Интеллекта западного дьявола". 😉
@avleonovrus #offtopic #Dugin #ai
🔻 (цитирует Хайдеггера) "В технике как таковой заложен фундаментальный подвох: когда человек перестаёт трогать рукой дерево, воду, землю, хлеб, врага, ставит между ними определенный инструмент (самый простой), то он сам утрачивает в этот момент человечность". 👉🌳
🔻 "Техника как таковая есть абсолютное проклятие нашего рода, это чистое метафизическое зло". 🙄
🔻"Техника должна быть под контролем духа, иначе она превращается в зверя, дьявола, нового господина, нового субъекта". 👌
🔻 "Искусственный интеллект это рукотворный дьявол". 👨💻
Философы это вам не технари. 😅 В сухом остатке: будет у нас тоже самое, что и на Западе, но белое, пушистое и "закрепощённое". Нужно только "изгнать из Искусственного Интеллекта западного дьявола". 😉
@avleonovrus #offtopic #Dugin #ai