Управление Уязвимостями и прочее

Судя по новостям, объявляется неделя безопасности VMware. Особенно VMware vSphere. 😏 Что там было в конкретном курьерском кейсе, надеюсь, узнаем из результатов расследования. В любом случае появился неплохой повод проверить как обстоят дела с VMware в вашей организации: 🔻 Точно никакие управляющие интерфейсы не торчат в Интернет? 🔻 Точно всё, что нужно покрыто регулярными сканами уязвимостей и сканер уязвимостей детектирует их адекватно? 🔻 Точно есть регламент по регулярной установке обновлений безопасности (независящий от сканов на уязвимости)? 🔻 Точно в моменте нет незакрытых уязвимостей высокого уровня критичности? 🔻 Точно выполняли харденинг и есть регулярный контроль настроек? 🔻 Точно есть мониторинг событий безопасности и реагирование на них? 🔻 Точно есть планы по импортозамещению продуктов VMware? Хороший повод их форсировать. @avleonovrus #VMware #vSphere #CourierCase2024 #checklist

Также распишу более подробно про эксплуатирующуюся вживую уязвимость Elevation of Privilege - Windows DWM Core Library (CVE-2024-30051) из майского Microsoft Patch Tuesday. 💻 DWM (Desktop Window Manager) - это композитный оконный менеджер в Microsoft Windows, начиная с Windows Vista, который позволяет использовать аппаратное ускорение для визуализации графического пользовательского интерфейса Windows.. 🦹‍♂️ Злоумышленник, получив первоначальный доступ к уязвимому Windows хосту, может проэксплуатировать данную уязвимость DWM, чтобы поднять свои привилегии до уровня SYSTEM. Это позволит ему закрепиться на хосте и продолжить развитие атаки. 👾 Исследователи из Лаборатории Касперского делятся в своём блоге интересной историей о том, как они нашли информацию об этой уязвимости в таинственном документе на ломаном английском, загруженном на VirusTotal 1 апреля 2024 года. VirusTotal - это бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. В ходе исследования эксперты ЛК подтвердили наличие уязвимости, описанной в документе, сообщили о ней в Microsoft, и, начиная с середины апреля, фиксировали эксплуатацию этой уязвимости банковским трояном QakBot и другими зловредами. Таким образом атаки начали фиксироваться где-то за месяц до выхода патчей Microsoft. 🛡 База уязвимостей БДУ ФСТЭК сообщает о наличии эксплоита в паблике, однако в сплоит-паках и на GitHub он пока не находится. 🟥 Positive Technologies относит уязвимость к трендовым, @avleonovrus #DWM #Microsoft #Kaspersky #QakBot #BDU #FSTEC #PositiveTechnologies

Распишу подробнее про эксплуатирующуюся вживую уязвимость Security Feature Bypass (фактически RCE) - Windows MSHTML Platform (CVE-2024-30040) из майского Microsoft Patch Tuesday. Согласно описанию на сайте Microsoft, уязвимость представляет собой обход некоторых функций безопасности OLE в продуктах Microsoft 365 и Microsoft Office, в результате чего злоумышленник может выполнить произвольный код в контексте пользователя. Однако, несмотря на упоминание Microsoft 365 / Microsoft Office, это уязвимость не в этих продуктах, а именно в компоненте Windows. Что такое OLE? Object Linking and Embedding - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии - открытие таблицы Excel в документе Word. Какие именно функции безопасности OLE обходятся не очень понятно. Известно только то, что они "защищают пользователей от уязвимых элементов управления COM/OLE". Однако, судя по названию уязвимости, они как-то связаны с MSHTML - браузерным движком для Microsoft Internet Explorer. Microsoft давно отказались от браузера Internet Explorer, но MSHTML ещё используется в Windows как программный компонент. Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office / Microsoft 365, на уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер. А что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости? В описании Microsoft есть противоречие. В одно месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: "проманипулировать со специально созданным файлом, но не обязательно кликать или открывать вредоносный файл". Видимо такая неоднозначность результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически. Пока нет публичного PoC-а, независимого исследования данной уязвимости или сообщений о конкретных атаках, сказать что-то более определенное сложно. Поэтому ждём подробности и не забываем обновляться, т.к. по данным Microsoft, уязвимость активно эксплуатируется вживую. 🟥 Positive Technologies относит уязвимость к трендовым, @avleonovrus #Microsoft #OLE #Microsoft365 #MicrosoftOffice #MSHTML #PositiveTechnologies

Чудесный пример рекламы IT-шных курсов из телеграм-канала женщины-астролога. 🔮 Странно, что так зазывают на курсы аналитика данных (без программирования, лол), а не на белого хакера. 😅 Но тут хотя бы намекают, что какая-то база всё-таки должна быть (экономическое образование, например), а не так что вообще все смогут гарантированно вкатиться. Но так-то веселого мало. Ничего святого у продавцов IT-шных курсов не осталось. Готовы впаривать самым беззащитным. Вот до женщин в трудных жизненных ситуациях добрались. Дальше что? Пожилые? Стань аналитиком данных и получи гарантированную прибавку к пенсии? Жесть. 😔 @avleonovrus #education #fun

Чудесный пример рекламы IT-шных курсов из телеграм-канала женщины-астролога. 🔮 Странно, что так зазывают на курсы аналитика данных (без программирования, лол), а не на белого хакера. 😅 Но тут хотя бы намекают, что какая-то база всё-таки должна быть (экономическое образование, например), а не так что вообще все смогут гарантированно вкатиться. Но так-то веселого мало. Ничего святого у продавцов IT-шных курсов не осталось. Готовы впаривать самым беззащитным. Вот до женщин в трудных жизненных ситуациях добрались. Дальше что? Пожилые? Стань аналитиком данных и получи гарантированную прибавку к пенсии? Жесть. 😔 @avleonovrus #education #fun

Сгенерил в Suno трек про PHDays 2 - Позитивные Дни. 🙂 Футажи взял из трансляций и выложенных роликов в youtube-канале Positive Events. Никогда не думал, что буду готов Выступать перед зрителями на арене Лужников. И я не про спорт или музыку, вовсе нет: Мы вещаем со сцены ИБэшный контент. Второй кибер-фестиваль зажигает огни... Это PHDays 2, позитивные дни! Позитивные дни! Позитивные дни! То самое место, где мы не одни. Это PHDays 2, позитивные дни! Позитивные дни! Позитивные дни! Мы снова здесь все вместе без деления на нации Излучаем в пространство позитивные вибрации. Мы здесь всем миром развиваем ИБ культуру, Чтоб не было жестоко к нам Mirabile Futurum Второй кибер-фестиваль зажигает огни... Это PHDays 2, позитивные дни! Позитивные дни! Позитивные дни! То самое место, где мы не одни. Конец мая, Москва, позитивные дни! Позитивные дни! Позитивные дни! 🔹 Позитивные вибрации - отсылка к "Positive Vibration" Боб Мали и The Wailers, которая когда-то давно была практически неофициальным гимном PT. 😅 🔹 Mirabile Futurum - отсылка к каверу "Прекрасное далёко" на латыни. @avleonovrus #phd2024 #phd2 #phdays #event #fun #music #поёмCVE

Впечатления от вчерашнего выступления на PHDays 2. Было круто, мне понравилось. 🙂 Причём эмоций от моей первой модерации дискуссии даже больше, чем от собственного выступления. 😅 На выступлении ты сам контролируешь ситуацию за исключением технических моментов. В дискуссии же есть значительная доля неопределенности. Несмотря на заготовленные вопросы, прописанный сценарий, предварительное обсуждение и прочее. Здесь огромная благодарность всем участникам! Особенно, конечно, Виталию Сергеевичу Лютикову, за терпение к высказанным критическим моментам и интересные комментарии. Также отдельно хотелось бы поблагодарить Алексея Викторовича Лукацкого за идею проведения дискуссии, большую помощь в организации и возможность попробовать себя в новой роли модератора. Запись трансляции ищется на Youtube по "Государство 24 мая Positive Hack Days Fest 2". Чуть позже перезалью ролики на свой канал и перемонтирую выступление, чтобы слайды было лучше видно. @avleonovrus #phd2024 #phd2 #phdays #БДУ #ФСТЭК #NVD #event

Выступать будем здесь. Можно будет с чистой совестью говорить, что "выступал в Лужниках" (непосредственно). А с учётом того, что сцена частично на игровом поле, то получается "выступал на поле Лужников". 😅⚽ @avleonovrus #phd2024 #phd2 #phdays #NVD #event #Лужники #fun