#news
Умельцы не стоят на месте и в отместку микромягким на запрет исполнения макросов в документах, скачанных из интернета, придумали новый способ доставки ВПО.

Суть атаки заключается в использовании VSTO. Visual Studio Tools for Office представляет собой набор средств разработки надстроек для офисных документов (word,excel). Такие надстройки позволяют выполнять произвольный код при запуске документа. VSTO бывают локальные - хранящиеся непосредственно в директории документа, а также удалённые - загружаемые из удаленного хоста.


Исследователи из Deepinstinct сделали ресерч на эту тему, а также опубликовали PoC - потыкать можно здесь. И по традиции - на данный момент эксплоит, исользующий VSTO, не детектится большинством вендоров.

@SOCool

Митапы, OSINT-форум, доклады и авторские материалы по теме. Что все это объединяет? Коллектив OSINT Mindset!

Нам, как специалистам, всегда есть, что вам рассказать. Бесплатно, честно и с душой. Мы искренне любим OSINT, и уверены в том, что вы так же влюбитесь в наш контент, без пиджаков купюр, плохих курсов и вранья. Подписывайтесь, друзья, очень ждем с:

Мыслить как безопасник — канал специалиста, не первый год проработавшего в сфере профайлинга. OSINT, корпоративная и информационная безопасность вкупе с самообороной и толикой сурвайва - элегантный набор настоящего джентльмена

false alarm — коллекция гайдов, инструментов и кейсов в помощь для продуктивного OSINT :)

dukera — канал действующего специалиста и докладчика, открывающего другим новые взгляды на старые задачи и рассказывающего про магию OSINT

Информационная безопасность — канал практикующего ИБ-специалиста, собирающего лучшие материалы и создающего настоящее золото в сфере пентеста, SOC, OSINT и других важных направлений

OSINT for Pentest — автор канала, специалист по анализу защищенности, а также докладчик митапов и конференций, публикует инструменты и методы, которые будут актуальны для специалистов различных отраслей OSINT и ИБ

network worm notes — канал с материалами о крипто-расследованиях, цифровой криминалистике и сетях с добавлением капельки искусства

DEVIL MAY SPY – кладовая отборных материалов, разборов и заботливо прописанных гайдов от серого кардинала OSINT и просто отличного специалиста

OSINT CLUB — канал легендарного господина собаки, пионера среди других OSINT-каналов. Только честное мнение, мемы и актуальная информация.

SOCool — канал с полезными материалами о Threat Intelligence, Threat Hunting, а также с новостями и исследованиями в области информационной безопасности и IT

Pandora's box — канал специалиста по исследованию высокотехнологических преступлений, настоящего кибердетектива: Пандоры! Новости индустрии, кейсы, книги и материалы. Ну и авторская подача крутейшего специалиста, конечно! Коктейль получается даже интереснее, чем белый русский.

Dana Scully — канал Скалли, практикующей расследовательницы и независимой исследовательницы в области иб. Основные материалы: авторские доклады и обсуждения исследований. Если честно, мы не знаем, когда она успевает спать. Но точно знаем, что контент просто пушка.

😉👍 Подписывайтесь на @osint_mindset

Shodan запустил традиционную однодневную акцию на мэмбершип за 5$. Успей купить :)

CVE и Vulnerability Intelligence
__________________________
What: #channel
Where: #telegram
Who: Qwerty Bubble
When: since 04/05/2023
How: @fresh_vuln
__________________________

Привет!

Точно так же как вам не нужно защищаться от абсолютно всех угроз в мире, вам не нужно следить на всеми CVE в мире.
Сделал канал для проверки гипотезы насколько просто будет сделать уведомлялку о выходящих уязвимостях для конкретного набора продуктов вендоров. Количество вендоров (не продуктов!) для понимания масштаба проблемы

По итогу, концепт вроде получился, но ещё есть над чем работать. Например, добавить информацию о патчах. Наблюдения в процессе работы:
1️⃣ Очень много информации поступает, если подписываться на каждый статус CVE из четырёх и "быть в курсе всех обновлений". Звучит утопически.
2️⃣ В статусе Received/Awaiting Analysis мало полезного. Детальней про статусы есть в закрепе у бота. Не забываем, что предоставляемая информация должна генерировать новую информацию. Что может дать конкретный ID CVE без контекста и данных?
3️⃣ Фильтровать входящий поток можно:
— по списку вендоров и продуктов (редактирую и вношу исключения в список);
— по критичности (у меня выставлен скоринг High [7.0-8.9] и Critical [9.0-10.0]);
— по наличию эксплойта (публикуется вне зависимости от наличия)
— по статусу, присвоенному CVE (публикуется Analyzed)
4️⃣ Видел ситуацию, в которой на NVD эксплойт был опубликован, а на стороннем сайте, который проверяет их наличие для CVE, отсутствовала информация. Согласен, может быть просто не повезло с сайтом.

Ресурсы:
- cve.mitre.org
- cvetrends
- exploit-db
- nvd.nist
- xakep
- cvedetails
- 0day

Exploits:
- tweetfeed
- inthewild.io
- cxsecurity
- darkfeed.io
- attackerkb
- cisa

Хочется ещё отметить данный эфир AM Live с обсуждением непосредственно процесса Vulnerability Management.

Работа над алгоритмом ещё ведётся, буду сердечно благодарен за пожелания и комментарии 🤝