Инфразитор (часть 1). Выкладываю рассказ 2022 года. Посвящается памяти Владимира Безмалого.
Штурм замка Барона фон Вагнера войсками Епископа Оснабрюкского длился уже третий час. Под градом стрел крестьяне Епископа засыпали участок защитного рва перед подвесным мостом. Таран со скрипом подъехал к воротам замка и с десятого удара разбил их. Рыцари Епископа хлынули внутрь и ввязались в схватку с булавоносцами и лучниками Барона. Ряды защитников замка редели, им пришлось отойти в каменную башню. Лучник третьего отряда Брайен Гофман вбежал в башню предпоследним. Кованые двери башни захлопнулись, и их тотчас заперли на тяжёлые засовы. Брайен бегом поднялся к бойницам пятого этажа. Враги приближались. Он без остановки заряжал лук, наскоро целился и отпускал тетиву. Брайен стрелял метко, но усталость накапливалась, а стрелы заканчивались. До подхода подкрепления паре десятков бойцов нужно было продержаться ещё полчаса.
Внезапно яркая вспышка ослепила Брайена. Когда зрение восстановилось, он обнаружил себя сидящим в металлическом кресле в комнате со светящимися белыми стенами. Напротив Брайена сидел мужчина в чёрной робе с медальоном на груди. Рядом с ним в воздухе парило странное существо. Существо представляло собой четыре горящих колеса, вращающихся в различных направлениях вокруг единого центра. Колёса были покрыты глазами, которые смотрели на Брайена.
- Что происходит?! Кто вы?!
Ответа не последовало. Брайен попытался встать. Неудачно. Металлические пластины крепко фиксировали его руки и ноги.
- Компьютер, выход в главное меню! Компьютер, аварийный выход! - прокричал Брайен.
- Добрый день, мистер Гофман, - произнёс мужчина в чёрном. - Пожалуйста, успокойтесь. Вы уже не в игре. И нам придётся побеседовать. Меня зовут Максимилиан Дерайсон. Я представляю корпорацию TEMPLA. А это, - он указал на летающее существо, - мой коллега. Курувим, объясните, пожалуйста, мистеру Гофману суть дела.
- 29 января в 01:35 GMT с Гипернет адресов, закреплённых за устройствами мистера Гофмана была осуществлена сетевая атака на инфраструктуру LifeBank, - проговорило существо нейтральным, скорее женским голосом. - Было выполнено полное сканирование портов на 50 хостах, 237 попыток аутентификации со стандартными учётными записями, 45 попыток применения эксплоитов для известных уязвимостей, рассылки писем 73 сотрудникам LifeBank с вредоносным содержимым. Все письма были обнаружены и отозваны до прочтения.
- Это всё какой-то бред, - произнёс Брайен растерянно. - Я не имею к этому никакого отношения! Я требую адвоката!
Дерайсон улыбнулся.
- Ну что вы, какой адвокат. Вы же не на допросе. А имеете ли вы отношение к атаке мы сейчас проверим.
На стене появились изображения с камер видеонаблюдения в квартире Брайена Гофмана. В одной из комнат стояло рабочее кресло, в котором находилось тело Брайена в VR-шлеме. Дверь в квартиру открылась и в неё въехали 4 робота. У каждого было по 6 рук-манипуляторов и по несколько камер на головах. Роботы разъехались по комнатам и стали производить осмотр и разбор вещей.
- У вас есть ордер на обыск? Вы не имеете права! Это какой-то произвол! - не унимался Брайен.
- Разве это обыск? Это инвентаризация, - усмехнулся Максимилиан. - Все активные хосты мы можем проверить, подключившись к внутренней сети вашей квартиры. И мы это уже сделали. Но нас также интересует и то, что может быть выключено или может подключаться к сети периодически.
Роботы фиксировали все электронные устройства с поддержкой Гипернет, подключались и копировали с них данные. Домашний сервер, ноутбуки, смартфоны, камеры, бытовая техника. Через 15 минут они закончили и покинули квартиру Брайена.
- Инвентаризация и анализ завершён, - произнёс Курувим. - Внутренняя сеть содержит следы компрометации. Точка входа - необновлённые камеры наблюдения доступные через Гипернет. Получив доступ к камерам, злоумышленники смогли попасть в сеть квартиры, скомпрометировали необновлённый домашний сервер, а затем использовали его в атаках на LifeBank.
Часть 2
@avleonovrus #fiction #infrazitor
Штурм замка Барона фон Вагнера войсками Епископа Оснабрюкского длился уже третий час. Под градом стрел крестьяне Епископа засыпали участок защитного рва перед подвесным мостом. Таран со скрипом подъехал к воротам замка и с десятого удара разбил их. Рыцари Епископа хлынули внутрь и ввязались в схватку с булавоносцами и лучниками Барона. Ряды защитников замка редели, им пришлось отойти в каменную башню. Лучник третьего отряда Брайен Гофман вбежал в башню предпоследним. Кованые двери башни захлопнулись, и их тотчас заперли на тяжёлые засовы. Брайен бегом поднялся к бойницам пятого этажа. Враги приближались. Он без остановки заряжал лук, наскоро целился и отпускал тетиву. Брайен стрелял метко, но усталость накапливалась, а стрелы заканчивались. До подхода подкрепления паре десятков бойцов нужно было продержаться ещё полчаса.
Внезапно яркая вспышка ослепила Брайена. Когда зрение восстановилось, он обнаружил себя сидящим в металлическом кресле в комнате со светящимися белыми стенами. Напротив Брайена сидел мужчина в чёрной робе с медальоном на груди. Рядом с ним в воздухе парило странное существо. Существо представляло собой четыре горящих колеса, вращающихся в различных направлениях вокруг единого центра. Колёса были покрыты глазами, которые смотрели на Брайена.
- Что происходит?! Кто вы?!
Ответа не последовало. Брайен попытался встать. Неудачно. Металлические пластины крепко фиксировали его руки и ноги.
- Компьютер, выход в главное меню! Компьютер, аварийный выход! - прокричал Брайен.
- Добрый день, мистер Гофман, - произнёс мужчина в чёрном. - Пожалуйста, успокойтесь. Вы уже не в игре. И нам придётся побеседовать. Меня зовут Максимилиан Дерайсон. Я представляю корпорацию TEMPLA. А это, - он указал на летающее существо, - мой коллега. Курувим, объясните, пожалуйста, мистеру Гофману суть дела.
- 29 января в 01:35 GMT с Гипернет адресов, закреплённых за устройствами мистера Гофмана была осуществлена сетевая атака на инфраструктуру LifeBank, - проговорило существо нейтральным, скорее женским голосом. - Было выполнено полное сканирование портов на 50 хостах, 237 попыток аутентификации со стандартными учётными записями, 45 попыток применения эксплоитов для известных уязвимостей, рассылки писем 73 сотрудникам LifeBank с вредоносным содержимым. Все письма были обнаружены и отозваны до прочтения.
- Это всё какой-то бред, - произнёс Брайен растерянно. - Я не имею к этому никакого отношения! Я требую адвоката!
Дерайсон улыбнулся.
- Ну что вы, какой адвокат. Вы же не на допросе. А имеете ли вы отношение к атаке мы сейчас проверим.
На стене появились изображения с камер видеонаблюдения в квартире Брайена Гофмана. В одной из комнат стояло рабочее кресло, в котором находилось тело Брайена в VR-шлеме. Дверь в квартиру открылась и в неё въехали 4 робота. У каждого было по 6 рук-манипуляторов и по несколько камер на головах. Роботы разъехались по комнатам и стали производить осмотр и разбор вещей.
- У вас есть ордер на обыск? Вы не имеете права! Это какой-то произвол! - не унимался Брайен.
- Разве это обыск? Это инвентаризация, - усмехнулся Максимилиан. - Все активные хосты мы можем проверить, подключившись к внутренней сети вашей квартиры. И мы это уже сделали. Но нас также интересует и то, что может быть выключено или может подключаться к сети периодически.
Роботы фиксировали все электронные устройства с поддержкой Гипернет, подключались и копировали с них данные. Домашний сервер, ноутбуки, смартфоны, камеры, бытовая техника. Через 15 минут они закончили и покинули квартиру Брайена.
- Инвентаризация и анализ завершён, - произнёс Курувим. - Внутренняя сеть содержит следы компрометации. Точка входа - необновлённые камеры наблюдения доступные через Гипернет. Получив доступ к камерам, злоумышленники смогли попасть в сеть квартиры, скомпрометировали необновлённый домашний сервер, а затем использовали его в атаках на LifeBank.
Часть 2
@avleonovrus #fiction #infrazitor
Инфразитор (часть 2). Начало рассказа.
Максимилиан Дерайсон в упор смотрел на Брайена.
- Мистер Гофман, чем вы можете объяснить такое состояние вашей домашней инфраструктуры?
- Я не знал. Я не специалист. Я не разбираюсь в этом.
- Владение устройствами накладывает ответственность, - произнёс Максимилиан назидательно. - Не выполняя элементарные правила цифровой гигиены, вы поставили под угрозу собственную безопасность, а также безопасность других людей и организаций. И, как видите, стали соучастником преступления. Если вы не хотели или не могли следить за состоянием своих устройств сами, что мешало вам обратиться к тем, кто мог бы оказать вам такую услугу. Ничто, кроме вашей собственной беспечности.
Брайен молчал. Максимилиан продолжил.
- Итак, ваша вина вполне очевидна. Дальше возможны следующие варианты. Первый: вы признаёте власть корпорации TEMPLA в решении вопроса, признаёте свою вину в ненадлежащем контроле инфраструктуры, принимаете наказание и возложенные на вас обязательства. Второй вариант: вы не признаёте власть корпорации TEMPLA в решении вопроса, и мы передаём все материалы в государственные органы. И в этом случае, вероятнее всего, вас признают соучастником атаки на критическую инфраструктуру. Возможно, даже организатором атаки. Решение за вами.
Брайен вздохнул.
- Видимо, вариантов у меня не много. Признаю власть TEMPLA и свою вину.
Максимилиан улыбнулся.
- Разумный выбор. Брайен Гофман, вы признаётесь виновным в ненадлежащем контроле принадлежащей вам инфраструктуры. Мы принимаем в расчёт, что для вас это первое выявленное нарушение подобного рода, а атака на LifeBank не привела к значительному ущербу. Вам назначается штраф 5000 конвертируемых коинов. Ваши устройства, которые могут быть обновлены, будут обновлены до последней версии. Там где возможно, будет включён режим принудительного обновления. Скомпрометированные устройства будут очищены. Устройства, которые больше не поддерживаются вендором, будут реквизированы и утилизированы. Вы должны в течение недели заключить договор сервисного обслуживания с авторизованным центром, включающий постоянную инвентаризацию принадлежащий вам инфраструктуры и её обновление. Мы информируем вас, что в случае повторного нарушения последствия будут гораздо более серьёзными. Вы всё поняли, мистер Гофман?
Брайен кивнул.
- Хорошо. Настоятельно рекомендуем вам не забывать о возложенных на вас обязательствах. А теперь прощайте!
В тот же момент кресло с Брайеном опустело. На стене продолжали выводиться изображения с камер наблюдения, установленных в квартире. Было видно, что Брайен очнулся в своей комнате и снял VR-шлем.
- Чрезмерно мягко, - произнёс Курувим.
- Милосердная эра, - Максимилиан улыбнулся. - На костёр всегда успеется, а так, может, он и извлечёт из этого урок. Ну да ладно. Выдёргивай сюда следующего.
@avleonovrus #fiction #infrazitor
Максимилиан Дерайсон в упор смотрел на Брайена.
- Мистер Гофман, чем вы можете объяснить такое состояние вашей домашней инфраструктуры?
- Я не знал. Я не специалист. Я не разбираюсь в этом.
- Владение устройствами накладывает ответственность, - произнёс Максимилиан назидательно. - Не выполняя элементарные правила цифровой гигиены, вы поставили под угрозу собственную безопасность, а также безопасность других людей и организаций. И, как видите, стали соучастником преступления. Если вы не хотели или не могли следить за состоянием своих устройств сами, что мешало вам обратиться к тем, кто мог бы оказать вам такую услугу. Ничто, кроме вашей собственной беспечности.
Брайен молчал. Максимилиан продолжил.
- Итак, ваша вина вполне очевидна. Дальше возможны следующие варианты. Первый: вы признаёте власть корпорации TEMPLA в решении вопроса, признаёте свою вину в ненадлежащем контроле инфраструктуры, принимаете наказание и возложенные на вас обязательства. Второй вариант: вы не признаёте власть корпорации TEMPLA в решении вопроса, и мы передаём все материалы в государственные органы. И в этом случае, вероятнее всего, вас признают соучастником атаки на критическую инфраструктуру. Возможно, даже организатором атаки. Решение за вами.
Брайен вздохнул.
- Видимо, вариантов у меня не много. Признаю власть TEMPLA и свою вину.
Максимилиан улыбнулся.
- Разумный выбор. Брайен Гофман, вы признаётесь виновным в ненадлежащем контроле принадлежащей вам инфраструктуры. Мы принимаем в расчёт, что для вас это первое выявленное нарушение подобного рода, а атака на LifeBank не привела к значительному ущербу. Вам назначается штраф 5000 конвертируемых коинов. Ваши устройства, которые могут быть обновлены, будут обновлены до последней версии. Там где возможно, будет включён режим принудительного обновления. Скомпрометированные устройства будут очищены. Устройства, которые больше не поддерживаются вендором, будут реквизированы и утилизированы. Вы должны в течение недели заключить договор сервисного обслуживания с авторизованным центром, включающий постоянную инвентаризацию принадлежащий вам инфраструктуры и её обновление. Мы информируем вас, что в случае повторного нарушения последствия будут гораздо более серьёзными. Вы всё поняли, мистер Гофман?
Брайен кивнул.
- Хорошо. Настоятельно рекомендуем вам не забывать о возложенных на вас обязательствах. А теперь прощайте!
В тот же момент кресло с Брайеном опустело. На стене продолжали выводиться изображения с камер наблюдения, установленных в квартире. Было видно, что Брайен очнулся в своей комнате и снял VR-шлем.
- Чрезмерно мягко, - произнёс Курувим.
- Милосердная эра, - Максимилиан улыбнулся. - На костёр всегда успеется, а так, может, он и извлечёт из этого урок. Ну да ладно. Выдёргивай сюда следующего.
@avleonovrus #fiction #infrazitor
Про уязвимость Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112). Уязвимость из декабрьского Microsoft Patch Tuesday. Через три недели, 1 января, исследователи из компании SafeBreach выпустили write-up по этой уязвимости, обозначенной ими как LDAPNightmare, а также PoC эксплоита.
Эксплойт вызывает принудительную перезагрузку уязвимых Windows-серверов. Необходимое условие - DNS-сервер контроллера домена-жертвы должен иметь доступ к Интернет.
Атака начинается с отправки DCE/RPC запроса на сервер жертвы, вызывающего сбой LSASS (Local Security Authority Subsystem Service) и принудительную перезагрузку сервера, когда злоумышленник отправляет специальный реферальный пакет ответа CLDAP (Connectionless Lightweight Directory Access Protocol).
Но это же DoS, а где RCE? 🤔 Исследователи отмечают, что RCE можно добиться модификацией CLDAP пакета.
@avleonorus #Windows #LDAP #LDAPNightmare
Эксплойт вызывает принудительную перезагрузку уязвимых Windows-серверов. Необходимое условие - DNS-сервер контроллера домена-жертвы должен иметь доступ к Интернет.
Атака начинается с отправки DCE/RPC запроса на сервер жертвы, вызывающего сбой LSASS (Local Security Authority Subsystem Service) и принудительную перезагрузку сервера, когда злоумышленник отправляет специальный реферальный пакет ответа CLDAP (Connectionless Lightweight Directory Access Protocol).
Но это же DoS, а где RCE? 🤔 Исследователи отмечают, что RCE можно добиться модификацией CLDAP пакета.
@avleonorus #Windows #LDAP #LDAPNightmare
Про уязвимость Remote Code Execution - Apache Struts (CVE-2024-53677). Apache Struts - это открытая программная платформа для создания веб-приложений на языке Java. Она позволяет разработчикам разделять бизнес-логику приложения от пользовательского интерфейса. Благодаря масштабируемости и гибкости, Apache Struts часто используется в крупных корпоративных проектах.
Бюллетень безопасности с описанием уязвимости вышел 14 декабря. Ошибка в логике загрузки файлов позволяет неаутентифицированному злоумышленнику выполнить Path Traversal, загрузить зловредный файл и, при определенных условиях, выполнить Remote Code Execution. 20 декабря для уязвимости появился публичный эксплойт. Есть сообщения о попытках эксплуатации, но информации об успешных атаках пока нет.
Вендор рекомендует обновиться до версии 6.4.0 или выше и мигрировать приложения на новый безопасный механизм File Upload.
@avleonovrus #Apache #Struts
Бюллетень безопасности с описанием уязвимости вышел 14 декабря. Ошибка в логике загрузки файлов позволяет неаутентифицированному злоумышленнику выполнить Path Traversal, загрузить зловредный файл и, при определенных условиях, выполнить Remote Code Execution. 20 декабря для уязвимости появился публичный эксплойт. Есть сообщения о попытках эксплуатации, но информации об успешных атаках пока нет.
Вендор рекомендует обновиться до версии 6.4.0 или выше и мигрировать приложения на новый безопасный механизм File Upload.
@avleonovrus #Apache #Struts
Агрегаторы обсуждаемых уязвимостей. Александр Редчиц обновил свою подборку CVE-шных ТОПов и залил её с описаниями на телетайп. Теперь их 11:
1. Intruder's Top CVE Trends & Expert Vulnerability Insights
2. Cytidel Top Trending
3. CVE Crowd
4. Feedly Trending Vulnerabilities
5. CVEShield
6. CVE Radar (блочат РФ)
7. Vulners "Discussed in social networks"
8. Vulmon Vulnerability Trends
9. SecurityVulnerability Trends
10. CVESky
11. Vulnerability-lookup
Разнообразие радует. 👍 Но по большей части эти ТОП-ы не про реальные атаки и эксплуатабельность, а про желание ИБ-комьюнити обсуждать какие-то уязвимости. Не всегда то, что обсуждают, будет для вас важно. Да и концентрация внимания у ИБ-комьюнити как у золотой рыбки: разобрали уязвимость/инцидент, экспертность продемонстрировали и сразу забыли. 🤷♂️😏
Смотреть эти ТОП-ы увлекательно, но руководствоваться ими при приоритизации уязвимостей в VM-процессе - идея так себе. Лучше ориентироваться на трендовые уязвимости от PT. 😉😇
@avleonovrus #CVETop #TrendVulns
1. Intruder's Top CVE Trends & Expert Vulnerability Insights
2. Cytidel Top Trending
3. CVE Crowd
4. Feedly Trending Vulnerabilities
5. CVEShield
6. CVE Radar (блочат РФ)
7. Vulners "Discussed in social networks"
8. Vulmon Vulnerability Trends
9. SecurityVulnerability Trends
10. CVESky
11. Vulnerability-lookup
Разнообразие радует. 👍 Но по большей части эти ТОП-ы не про реальные атаки и эксплуатабельность, а про желание ИБ-комьюнити обсуждать какие-то уязвимости. Не всегда то, что обсуждают, будет для вас важно. Да и концентрация внимания у ИБ-комьюнити как у золотой рыбки: разобрали уязвимость/инцидент, экспертность продемонстрировали и сразу забыли. 🤷♂️😏
Смотреть эти ТОП-ы увлекательно, но руководствоваться ими при приоритизации уязвимостей в VM-процессе - идея так себе. Лучше ориентироваться на трендовые уязвимости от PT. 😉😇
@avleonovrus #CVETop #TrendVulns
Сканер уязвимостей Security Vision в формате коробочного решения для SMB появился в интернет-магазине Softline. Лицензии от 100 до 500 IP-адресов, стоимость от 500 000 р. до 1 500 000 р. соответственно. В поставку входят модули Asset Management, Vulnerability Scanner и Vulnerability Management (включающий интеграцию с Service Desk и автопатчинг).
У коробки есть некоторые ограничения:
"В коробочном решении пользователям доступна полная функциональность за исключением возможностей, актуальных для крупных компаний со сложной ИТ-инфраструктурой, таких как конструкторы платформы и отказоустойчивый режим функционирования."
Сертификаты ФСТЭК, ФСБ, ОАЦ есть.
@avleonovrus #SecurityVision #SecurityVisionVM #Softline
У коробки есть некоторые ограничения:
"В коробочном решении пользователям доступна полная функциональность за исключением возможностей, актуальных для крупных компаний со сложной ИТ-инфраструктурой, таких как конструкторы платформы и отказоустойчивый режим функционирования."
Сертификаты ФСТЭК, ФСБ, ОАЦ есть.
@avleonovrus #SecurityVision #SecurityVisionVM #Softline
Про уязвимость Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972). Компания ThemeHunk разрабатывает коммерческие темы для WordPress CMS. А плагин Hunk Companion предназначен для дополнения и расширения функциональности этих тем. У плагина более 10 000 установок.
10 декабря вышел бюллетень от WPScan с описанием уязвимости в версиях Hunk Companion plugin < 1.9.0. Уязвимость позволяет неаутентифицированному атакующему устанавливать и активировать на сайте произвольные плагины из репозитория WordPressOrg. Эксплойт доступен на GitHub с 28 декабря.
Несанкционированная установка плагинов опасна тем, что устанавливаемые плагины могут содержать свои уязвимости. 👾 Так в инциденте, зафиксированном WPScan, злоумышленники установили на сайте плагин WP Query Console с RCE уязвимостью CVE‑2024‑50498 и проэксплуатировали её для установки бэкдора.
Если вы используете WordPress, старайтесь минимизировать количество плагинов и регулярно их обновляйте!
@avleonovrus #WPScan #HunkCompanion #WordPress
10 декабря вышел бюллетень от WPScan с описанием уязвимости в версиях Hunk Companion plugin < 1.9.0. Уязвимость позволяет неаутентифицированному атакующему устанавливать и активировать на сайте произвольные плагины из репозитория WordPressOrg. Эксплойт доступен на GitHub с 28 декабря.
Несанкционированная установка плагинов опасна тем, что устанавливаемые плагины могут содержать свои уязвимости. 👾 Так в инциденте, зафиксированном WPScan, злоумышленники установили на сайте плагин WP Query Console с RCE уязвимостью CVE‑2024‑50498 и проэксплуатировали её для установки бэкдора.
Если вы используете WordPress, старайтесь минимизировать количество плагинов и регулярно их обновляйте!
@avleonovrus #WPScan #HunkCompanion #WordPress
Про уязвимость Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144). Уязвимость из августовского Microsoft Patch Tuesday. Уязвимость в обзорах не выделяли. О ней было известно только то, что локальный атакующий может получить привилегии SYSTEM.
Через три с половиной месяца, 27 ноября, вышел write-up с кодом эксплоита от SSD Secure Disclosure. Оказалось, что эксплуатация этой уязвимости была представлена на конкурсе TyphoonPWN 2024 в конце мая. Исследователь получил за неё приз $ 70000.
Во write-up-е SSD отмечают, что коммуникация с Microsoft была непростой и "на момент проверки на последней версии Windows 11 уязвимость все еще эксплуатировалась". Непонятно, когда именно был этот момент проверки: до августовского MSPT или перед выходом write-up-а в конце ноября. 🤔 Если второе, то получается уязвимость может быть ещё не исправлена, т.е. 0day. 🤷♂️
Про эксплуатацию уязвимости в реальных атаках пока не слышно.
@avleonovrus #ksthunk #Windows #SSD
Через три с половиной месяца, 27 ноября, вышел write-up с кодом эксплоита от SSD Secure Disclosure. Оказалось, что эксплуатация этой уязвимости была представлена на конкурсе TyphoonPWN 2024 в конце мая. Исследователь получил за неё приз $ 70000.
Во write-up-е SSD отмечают, что коммуникация с Microsoft была непростой и "на момент проверки на последней версии Windows 11 уязвимость все еще эксплуатировалась". Непонятно, когда именно был этот момент проверки: до августовского MSPT или перед выходом write-up-а в конце ноября. 🤔 Если второе, то получается уязвимость может быть ещё не исправлена, т.е. 0day. 🤷♂️
Про эксплуатацию уязвимости в реальных атаках пока не слышно.
@avleonovrus #ksthunk #Windows #SSD
Что стало известно об уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138) из декабрьского Microsoft Patch Tuesday за прошедший месяц? Да практически ничего. 🙄 Уязвимость в стандартном компоненте Windows, доступном во всех версиях, начиная с Windows Server 2003 R2. Описание у неё типично для EoP в Windows: в случае успешной эксплуатации локальный злоумышленник может получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow.
Microsoft сразу выставили признак эксплуатации вживую, однако не предоставили информации о том, где эксплуатировалась уязвимость и насколько масштабными были атаки.
Уязвимость зарепортила команда Advanced Research Team компании CrowdStrike. Но ни от них, ни от других исследователей пока нет технических подробностей. 🤷♂️ Тем более эксплоитов.
Так что устанавливаем декабрьские обновления безопасности Microsoft и ждём новостей! 😉
Update
@avleonovrus #CLFS #Windows #CrowdStrike
Microsoft сразу выставили признак эксплуатации вживую, однако не предоставили информации о том, где эксплуатировалась уязвимость и насколько масштабными были атаки.
Уязвимость зарепортила команда Advanced Research Team компании CrowdStrike. Но ни от них, ни от других исследователей пока нет технических подробностей. 🤷♂️ Тем более эксплоитов.
Так что устанавливаем декабрьские обновления безопасности Microsoft и ждём новостей! 😉
Update
@avleonovrus #CLFS #Windows #CrowdStrike
Январский Microsoft Patch Tuesday. 170 CVE, из которых 10 были добавлены с декабрьского MSPT. 3 уязвимости с признаками эксплуатации вживую:
🔻 EoP - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Подробностей пока нет.
Уязвимостей с публичными эксплоитами нет, есть 5 с приватными:
🔸 Security Feature Bypass - Microsoft Update Catalog (CVE-2024-49147), MapUrlToZone (CVE-2025-21268, CVE-2025-21189)
🔸 EoP - Windows Installer (CVE-2025-21287)
🔸 Auth. Bypass - Azure (CVE-2025-21380)
Среди остальных можно выделить:
🔹 RCE - Windows OLE (CVE-2025-21298), Windows RMCAST (CVE-2025-21307), Microsoft Office (CVE-2025-21365), Windows Remote Desktop Services (CVE-2025-21297, CVE-2025-21309), NEGOEX (CVE-2025-21295)
🔹 EoP - Windows NTLM V1 (CVE-2025-21311), Windows Search Service (CVE-2025-21292), Windows App Package Installer (CVE-2025-21275)
🔹 Spoofing - Windows Themes (CVE-2025-21308)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 EoP - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Подробностей пока нет.
Уязвимостей с публичными эксплоитами нет, есть 5 с приватными:
🔸 Security Feature Bypass - Microsoft Update Catalog (CVE-2024-49147), MapUrlToZone (CVE-2025-21268, CVE-2025-21189)
🔸 EoP - Windows Installer (CVE-2025-21287)
🔸 Auth. Bypass - Azure (CVE-2025-21380)
Среди остальных можно выделить:
🔹 RCE - Windows OLE (CVE-2025-21298), Windows RMCAST (CVE-2025-21307), Microsoft Office (CVE-2025-21365), Windows Remote Desktop Services (CVE-2025-21297, CVE-2025-21309), NEGOEX (CVE-2025-21295)
🔹 EoP - Windows NTLM V1 (CVE-2025-21311), Windows Search Service (CVE-2025-21292), Windows App Package Installer (CVE-2025-21275)
🔹 Spoofing - Windows Themes (CVE-2025-21308)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Повысилась критичность уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138). Только я написал, что ничего не было слышно про эту уязвимость в течение месяца с момента публикации в декабрьском Microsoft Patch Tuesday, как 15 января для неё появился публичный эксплойт от Alessandro Iandoli из HN Security. 🙂 На GitHub-е доступен исходный код и видео с демонстрацией работы эксплоита: локальный атакующий запускает exe-файл в PowerShell и через секунду становится "nt authority/system". Исследователь протестировал работоспособность эксплоита на Windows 11 23h2. Он также обещает опубликовать блог-пост с подробным анализом уязвимости.
@avleonovrus #CLFS #Windows #HNSecurity
@avleonovrus #CLFS #Windows #HNSecurity
Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies. В прошедшем году к трендовым отнесли 74 уязвимости (для сравнения масштабов - всего в NVD за 2024 год добавили чуть более 40000).
Все трендовые уязвимости в западных коммерческих продуктах и open source проектах. Уязвимости отечественных продуктов в список трендовых не попали.
Для 55 из всех трендовых на текущий момент есть зафиксированные признаки эксплуатации в атаках, для 17 есть публичные эксплоиты (но нет признаков эксплуатации) и для 2 оставшихся есть только вероятность будущей эксплуатации.
При этом часто уязвимости добавлялись в трендовые и до появления признаков эксплуатации в реальных атаках. Так, например, уязвимость выполнения произвольного кода в VMware vCenter (CVE-2024-38812) была добавлена в список трендовых 20 сентября, через 3 дня после появления бюллетеня безопасности вендора. Для этой уязвимости не было признаков эксплуатации в реальных атаках и публичного эксплоита. Признаки эксплуатации появились только через 2 месяца, 18 ноября.
В списке трендовых больше всего уязвимостей выполнения произвольного кода и команд (24), а также повышения привилегий (21).
4 уязвимости в Barracuda Email Security Gateway (CVE-2023-2868), MOVEit Transfer (CVE-2023-34362), papercut (CVE-2023-27350) и SugarCRM (CVE-2023-22952) были добавлены в начале января 2024 года. Они активно эксплуатировались на Западе в 2023 году, но атаки с использованием этих уязвимостей могли по касательной задеть и те отечественные организации, где эти продукты ещё не были выведены из эксплуатации. Остальные уязвимости стали трендовыми именно в 2024 году.
34 трендовых уязвимостей касаются продуктов Microsoft (45 %).
🔹 Из них 17 - это уязвимости повышения привилегий в ядре Windows и стандартных компонентах.
🔹 1 уязвимость выполнения произвольного кода в Windows Remote Desktop Licensing Service (CVE-2024-38077).
2 трендовые уязвимости касаются повышения привилегий в Linux: одна в nftables (CVE-2024-1086), а вторая в needrestart (CVE-2024-48990).
Другие группы уязвимостей
🔻 Фишинговые атаки: 19 (компоненты Windows, Outlook, Exchange, Ghostscript, Roundcube)
🔻 Сетевая безопасность и точки проникновения: 13 (Palo Alto, Fortinet, Juniper, Ivanti, Check Point, Zyxel)
🔻 Виртуальная инфраструктура и бэкапы: 7 (VMware, Veeam, Acronis)
🔻 Разработка ПО: 6 (GitLab, TeamCity, Jenkins, PHP, Fluent Bit, Apache Struts)
🔻 Инструменты совместной работы: 3 (Atlassian Confluence, XWiki)
🔻 Плагины CMS WordPress: 3 (LiteSpeed Cache, The Events Calendar, Hunk Companion)
🗒️ Полный отчёт Vulristics
🟥 Статья на официальном сайте "Уязвимое ПО и «железо» vs исследователи безопасности"
@avleonovrus #TrendVulns #PositiveTechnologies #Barracuda #MOVEitTransfer #papercut #SugarCRM #Microsoft #Windows #RDLS #Linux #nftables #needrestart #Windows #Ghostscript #Outlook #Exchange #Roundcube #PaloAlto #Fortinet #Juniper #Ivanti #CheckPoint #Zyxel #VMware #Veeam #Acronis #GitLab #TeamCity #Jenkins #PHP #FluentBit #Struts #Atlassian #Confluence #XWiki #WordPress #LiteSpeedCache #TheEventsCalendar #HunkCompanion
Все трендовые уязвимости в западных коммерческих продуктах и open source проектах. Уязвимости отечественных продуктов в список трендовых не попали.
Для 55 из всех трендовых на текущий момент есть зафиксированные признаки эксплуатации в атаках, для 17 есть публичные эксплоиты (но нет признаков эксплуатации) и для 2 оставшихся есть только вероятность будущей эксплуатации.
При этом часто уязвимости добавлялись в трендовые и до появления признаков эксплуатации в реальных атаках. Так, например, уязвимость выполнения произвольного кода в VMware vCenter (CVE-2024-38812) была добавлена в список трендовых 20 сентября, через 3 дня после появления бюллетеня безопасности вендора. Для этой уязвимости не было признаков эксплуатации в реальных атаках и публичного эксплоита. Признаки эксплуатации появились только через 2 месяца, 18 ноября.
В списке трендовых больше всего уязвимостей выполнения произвольного кода и команд (24), а также повышения привилегий (21).
4 уязвимости в Barracuda Email Security Gateway (CVE-2023-2868), MOVEit Transfer (CVE-2023-34362), papercut (CVE-2023-27350) и SugarCRM (CVE-2023-22952) были добавлены в начале января 2024 года. Они активно эксплуатировались на Западе в 2023 году, но атаки с использованием этих уязвимостей могли по касательной задеть и те отечественные организации, где эти продукты ещё не были выведены из эксплуатации. Остальные уязвимости стали трендовыми именно в 2024 году.
34 трендовых уязвимостей касаются продуктов Microsoft (45 %).
🔹 Из них 17 - это уязвимости повышения привилегий в ядре Windows и стандартных компонентах.
🔹 1 уязвимость выполнения произвольного кода в Windows Remote Desktop Licensing Service (CVE-2024-38077).
2 трендовые уязвимости касаются повышения привилегий в Linux: одна в nftables (CVE-2024-1086), а вторая в needrestart (CVE-2024-48990).
Другие группы уязвимостей
🔻 Фишинговые атаки: 19 (компоненты Windows, Outlook, Exchange, Ghostscript, Roundcube)
🔻 Сетевая безопасность и точки проникновения: 13 (Palo Alto, Fortinet, Juniper, Ivanti, Check Point, Zyxel)
🔻 Виртуальная инфраструктура и бэкапы: 7 (VMware, Veeam, Acronis)
🔻 Разработка ПО: 6 (GitLab, TeamCity, Jenkins, PHP, Fluent Bit, Apache Struts)
🔻 Инструменты совместной работы: 3 (Atlassian Confluence, XWiki)
🔻 Плагины CMS WordPress: 3 (LiteSpeed Cache, The Events Calendar, Hunk Companion)
🗒️ Полный отчёт Vulristics
🟥 Статья на официальном сайте "Уязвимое ПО и «железо» vs исследователи безопасности"
@avleonovrus #TrendVulns #PositiveTechnologies #Barracuda #MOVEitTransfer #papercut #SugarCRM #Microsoft #Windows #RDLS #Linux #nftables #needrestart #Windows #Ghostscript #Outlook #Exchange #Roundcube #PaloAlto #Fortinet #Juniper #Ivanti #CheckPoint #Zyxel #VMware #Veeam #Acronis #GitLab #TeamCity #Jenkins #PHP #FluentBit #Struts #Atlassian #Confluence #XWiki #WordPress #LiteSpeedCache #TheEventsCalendar #HunkCompanion
Нужно ли ИБшнику учиться в ВУЗе? Моё мнение: да, нужно. Хотя к программе обучения во всех российских ВУЗах есть вопросики. 🤷♂️ Но есть 2 циничных аргумента:
1. Ок, весь полезный обучающий контент можно найти в паблике. Но где взять мотивацию, чтобы регулярно и методично самообучаться? Потребуется стальная воля. 🦸♂️🔩 Это будет гораздо сложнее, чем учиться в ВУЗе. Точно не забьёте и не убежите в кодеры, эникеи и ручные тестеры за быстрой денежкой? 😏
2. "Корочки" важны. Их отсутствие значительно усложнит вам трудоустройство, особенно на старте карьеры. Конечно, когда у вас будет большой релевантный опыт, это будет не так критично. Но вполне вероятно, что вам всё равно придётся получить вышку по ИБ или пройти переподготовку уже после 40. Иначе упрётесь в формальные ограничения. Так почему бы не закрыть вопрос сразу после школы? 🙂
🟢 Есть ещё аргумент про отсрочку от армии и военные кафедры. Для меня он был основным. 😅 Но тем, кто думает обойтись без вышки, видимо, это неактуально. 🙂
@avleonovrus #Education
1. Ок, весь полезный обучающий контент можно найти в паблике. Но где взять мотивацию, чтобы регулярно и методично самообучаться? Потребуется стальная воля. 🦸♂️🔩 Это будет гораздо сложнее, чем учиться в ВУЗе. Точно не забьёте и не убежите в кодеры, эникеи и ручные тестеры за быстрой денежкой? 😏
2. "Корочки" важны. Их отсутствие значительно усложнит вам трудоустройство, особенно на старте карьеры. Конечно, когда у вас будет большой релевантный опыт, это будет не так критично. Но вполне вероятно, что вам всё равно придётся получить вышку по ИБ или пройти переподготовку уже после 40. Иначе упрётесь в формальные ограничения. Так почему бы не закрыть вопрос сразу после школы? 🙂
🟢 Есть ещё аргумент про отсрочку от армии и военные кафедры. Для меня он был основным. 😅 Но тем, кто думает обойтись без вышки, видимо, это неактуально. 🙂
@avleonovrus #Education
Январский Linux Patch Wednesday. Всего 424 уязвимостей. Из них 271 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет. Но есть 9 уязвимостей с публичными эксплоитами.
🔸 RCE - Apache Tomcat (CVE-2024-56337). Судя по описанию, уязвимости должны быть подвержены "case-insensitive file systems", т.е. Windows или MacOS. При этом в Debian считают, что эта уязвимость присутствует в пакетах tomcat9 и tomcat10. Либо имеют ввиду странный case-insensitive Linux, то ли описание уязвимости неверное. 🤷♂️
🔸 RCE - Chromium (CVE-2025-0291). По данным БДУ ФСТЭК публичный эксплоит существует.
🔸 RCE - 7-Zip (CVE-2024-11477). В паблике скорее не эксплоит, а write-up.
🔸 Memory Corruption - Theora (CVE-2024-56431). Пока непонятно как это эксплуатировать. 🤷♂️
🔸 Memory Corruption - Telegram (CVE-2021-31320, CVE-2021-31319, CVE-2021-31315, CVE-2021-31318, CVE-2021-31322). Ubuntu исправили эти уязвимости в пакете библиотеки rlottie.
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
🔸 RCE - Apache Tomcat (CVE-2024-56337). Судя по описанию, уязвимости должны быть подвержены "case-insensitive file systems", т.е. Windows или MacOS. При этом в Debian считают, что эта уязвимость присутствует в пакетах tomcat9 и tomcat10. Либо имеют ввиду странный case-insensitive Linux, то ли описание уязвимости неверное. 🤷♂️
🔸 RCE - Chromium (CVE-2025-0291). По данным БДУ ФСТЭК публичный эксплоит существует.
🔸 RCE - 7-Zip (CVE-2024-11477). В паблике скорее не эксплоит, а write-up.
🔸 Memory Corruption - Theora (CVE-2024-56431). Пока непонятно как это эксплуатировать. 🤷♂️
🔸 Memory Corruption - Telegram (CVE-2021-31320, CVE-2021-31319, CVE-2021-31315, CVE-2021-31318, CVE-2021-31322). Ubuntu исправили эти уязвимости в пакете библиотеки rlottie.
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Умение пройти мимо. Частенько в домовом чатике пишут, что кто-то нашёл на улице или в лифте смартфон и отнёс консьержке. А другие доброхоты пишут, что нужно ещё обязательно вынуть из смартфона симку, вставить в свой телефон, найти в симке контакт "мама" и через неё связаться с владельцем.
Сам бы я поднимать чужие вещи, выглядящие как что-то хоть сколько-нибудь ценное, не стал бы. И вам не советую.
🔹 Разница между "украл" и "нашёл" довольно размытая. Как и между вынул симку, "чтобы связаться с владельцем" и "чтобы затруднить поиски телефона / получить доступ к ЛК в банке или на госуслугах". Пойманные злоумышленники тоже оправдываются, что просто нашли и хотели как лучше. 😏
🔹 Для найденных денег есть классическая разводка "кошелёк потерялся", где вас также обвинят в краже.
🔹 Хлопающие в руках вещи-ловушки (booby trap) - кейс довольно редкий, но не невозможный.
В общем, даже если перед вашими ногами миллион долларов - лучше пройдите мимо.
@avleonovrus #offtopic #passby
Сам бы я поднимать чужие вещи, выглядящие как что-то хоть сколько-нибудь ценное, не стал бы. И вам не советую.
🔹 Разница между "украл" и "нашёл" довольно размытая. Как и между вынул симку, "чтобы связаться с владельцем" и "чтобы затруднить поиски телефона / получить доступ к ЛК в банке или на госуслугах". Пойманные злоумышленники тоже оправдываются, что просто нашли и хотели как лучше. 😏
🔹 Для найденных денег есть классическая разводка "кошелёк потерялся", где вас также обвинят в краже.
🔹 Хлопающие в руках вещи-ловушки (booby trap) - кейс довольно редкий, но не невозможный.
В общем, даже если перед вашими ногами миллион долларов - лучше пройдите мимо.
@avleonovrus #offtopic #passby
Про персональный акустический комфорт. Если вас всё раздражает, вы не можете сфокусироваться на работе, не слышите собственные мысли, а рука сама тянется надеть наушники и врубить музыку, то возможно вы находитесь в неблагоприятной акустической среде. 🙉 Но как сделать среду благоприятной, если закрыться в тихой комнате не вариант? 🤔
Мой выбор последних лет - пассивные наушники. Как у строителей, заводских рабочих, работников аэропортов. 🙂 Пластиковые чашки и акустический поролон.
🔸 Почему не наушники с активным шумоподавлением? Это дополнительная нагрузка на слух и не многим лучше, чем глушить себя музыкой.
🔸 Почему не беруши? Вытаскивать и вставлять их обратно неудобно. 🤷♂️ Но в сочетании с наушниками - идеальная тишина. 👍😇
Сейчас пользуюсь:
🔹 3M Peltor X5A - лучшее шумоподавление, но тяжеловатые и выглядят потешно. 😅
🔹 3M Peltor Optime 95 - лёгкие, симпатичные, но не глушат посторонние звуки полностью, скорее приглушают до приемлемого неразборчивого уровня.
@avleonovrus #offtopic #earmuff
Мой выбор последних лет - пассивные наушники. Как у строителей, заводских рабочих, работников аэропортов. 🙂 Пластиковые чашки и акустический поролон.
🔸 Почему не наушники с активным шумоподавлением? Это дополнительная нагрузка на слух и не многим лучше, чем глушить себя музыкой.
🔸 Почему не беруши? Вытаскивать и вставлять их обратно неудобно. 🤷♂️ Но в сочетании с наушниками - идеальная тишина. 👍😇
Сейчас пользуюсь:
🔹 3M Peltor X5A - лучшее шумоподавление, но тяжеловатые и выглядят потешно. 😅
🔹 3M Peltor Optime 95 - лёгкие, симпатичные, но не глушат посторонние звуки полностью, скорее приглушают до приемлемого неразборчивого уровня.
@avleonovrus #offtopic #earmuff
Про кейс OpenText. 16 января Генпрокуратура объявила OpenText Corporation нежелательной организацией в России. Интересно это тем, что OpenText-ам принадлежит вендор Micro Focus и SIEM-решение ArcSight (сейчас ряд продуктов под брендом OpenText).
Теперь покупку продуктов OpenText можно расценивать как "предоставление средств заведомо предназначенных для обеспечения деятельности нежелательной организации" (УК РФ 284.1 п.2). Срок до 5 лет + ограничение на должности/деятельность до 10 лет. Ещё до 4 лет за "участие в деятельности", но с этим сложнее.
А почему OpenText? Из текста новости:
🔻 сотрудничали с силовыми структурами США
🔻 участвовали в пропаганде против РФ
🔻 являются подрядчиком минобороны США и Пентагона
🔻 занимаются киберзащитой страны-противника
"OpenText" там можно заменить на практически любого западного вендора, начиная с Microsoft. 🤷♂️
Выглядит как тестирование механизма стимуляции импортозамещения во всех организациях страны, не только государственных и КИИ. 🤔
@avleonovrus #OpenText
Теперь покупку продуктов OpenText можно расценивать как "предоставление средств заведомо предназначенных для обеспечения деятельности нежелательной организации" (УК РФ 284.1 п.2). Срок до 5 лет + ограничение на должности/деятельность до 10 лет. Ещё до 4 лет за "участие в деятельности", но с этим сложнее.
А почему OpenText? Из текста новости:
🔻 сотрудничали с силовыми структурами США
🔻 участвовали в пропаганде против РФ
🔻 являются подрядчиком минобороны США и Пентагона
🔻 занимаются киберзащитой страны-противника
"OpenText" там можно заменить на практически любого западного вендора, начиная с Microsoft. 🤷♂️
Выглядит как тестирование механизма стимуляции импортозамещения во всех организациях страны, не только государственных и КИИ. 🤔
@avleonovrus #OpenText
Про блокировку TikTok в США. Из-за запрета Верховного суда сервис днём не работал. Но Трамп заявил, что отложит блокировку, и к вечеру TikTok снова заработал. 🤷♂️ Трамп написал сегодня в Truth Social:
"Я хотел бы, чтобы Соединенные Штаты имели 50%-ную долю собственности в совместном предприятии. Сделав это, мы спасем TikTok, сохраним его в надежных руках и позволим ему заявить о себе. Без одобрения США TikTok не существует. С нашим одобрением он стоит сотни миллиардов долларов — может быть, триллионы.
Поэтому моя первоначальная идея - совместное предприятие между нынешними владельцами и/или новыми владельцами, в котором США получает 50% акций в совместном предприятии, созданном между США и любой другой компанией, которую мы выберем."
Т.е. продолжают отжимать TikTok? Похоже. 🤔 Фактически говорят: "У вас, ребята, классный продукт. Но он слишком популярен у наших граждан, а мы вас не контролируем. Это риски. Продавайтесь или сворачивайтесь."
Best practice суверенной медиа-политики. 😉
@avleonovrus #TikTok
"Я хотел бы, чтобы Соединенные Штаты имели 50%-ную долю собственности в совместном предприятии. Сделав это, мы спасем TikTok, сохраним его в надежных руках и позволим ему заявить о себе. Без одобрения США TikTok не существует. С нашим одобрением он стоит сотни миллиардов долларов — может быть, триллионы.
Поэтому моя первоначальная идея - совместное предприятие между нынешними владельцами и/или новыми владельцами, в котором США получает 50% акций в совместном предприятии, созданном между США и любой другой компанией, которую мы выберем."
Т.е. продолжают отжимать TikTok? Похоже. 🤔 Фактически говорят: "У вас, ребята, классный продукт. Но он слишком популярен у наших граждан, а мы вас не контролируем. Это риски. Продавайтесь или сворачивайтесь."
Best practice суверенной медиа-политики. 😉
@avleonovrus #TikTok