Про уязвимость Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144). Уязвимость из августовского Microsoft Patch Tuesday. Уязвимость в обзорах не выделяли. О ней было известно только то, что локальный атакующий может получить привилегии SYSTEM.
Через три с половиной месяца, 27 ноября, вышел write-up с кодом эксплоита от SSD Secure Disclosure. Оказалось, что эксплуатация этой уязвимости была представлена на конкурсе TyphoonPWN 2024 в конце мая. Исследователь получил за неё приз $ 70000.
Во write-up-е SSD отмечают, что коммуникация с Microsoft была непростой и "на момент проверки на последней версии Windows 11 уязвимость все еще эксплуатировалась". Непонятно, когда именно был этот момент проверки: до августовского MSPT или перед выходом write-up-а в конце ноября. 🤔 Если второе, то получается уязвимость может быть ещё не исправлена, т.е. 0day. 🤷♂️
Про эксплуатацию уязвимости в реальных атаках пока не слышно.
@avleonovrus #ksthunk #Windows #SSD
Через три с половиной месяца, 27 ноября, вышел write-up с кодом эксплоита от SSD Secure Disclosure. Оказалось, что эксплуатация этой уязвимости была представлена на конкурсе TyphoonPWN 2024 в конце мая. Исследователь получил за неё приз $ 70000.
Во write-up-е SSD отмечают, что коммуникация с Microsoft была непростой и "на момент проверки на последней версии Windows 11 уязвимость все еще эксплуатировалась". Непонятно, когда именно был этот момент проверки: до августовского MSPT или перед выходом write-up-а в конце ноября. 🤔 Если второе, то получается уязвимость может быть ещё не исправлена, т.е. 0day. 🤷♂️
Про эксплуатацию уязвимости в реальных атаках пока не слышно.
@avleonovrus #ksthunk #Windows #SSD
Что стало известно об уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138) из декабрьского Microsoft Patch Tuesday за прошедший месяц? Да практически ничего. 🙄 Уязвимость в стандартном компоненте Windows, доступном во всех версиях, начиная с Windows Server 2003 R2. Описание у неё типично для EoP в Windows: в случае успешной эксплуатации локальный злоумышленник может получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow.
Microsoft сразу выставили признак эксплуатации вживую, однако не предоставили информации о том, где эксплуатировалась уязвимость и насколько масштабными были атаки.
Уязвимость зарепортила команда Advanced Research Team компании CrowdStrike. Но ни от них, ни от других исследователей пока нет технических подробностей. 🤷♂️ Тем более эксплоитов.
Так что устанавливаем декабрьские обновления безопасности Microsoft и ждём новостей! 😉
Update
@avleonovrus #CLFS #Windows #CrowdStrike
Microsoft сразу выставили признак эксплуатации вживую, однако не предоставили информации о том, где эксплуатировалась уязвимость и насколько масштабными были атаки.
Уязвимость зарепортила команда Advanced Research Team компании CrowdStrike. Но ни от них, ни от других исследователей пока нет технических подробностей. 🤷♂️ Тем более эксплоитов.
Так что устанавливаем декабрьские обновления безопасности Microsoft и ждём новостей! 😉
Update
@avleonovrus #CLFS #Windows #CrowdStrike
Январский Microsoft Patch Tuesday. 170 CVE, из которых 10 были добавлены с декабрьского MSPT. 3 уязвимости с признаками эксплуатации вживую:
🔻 EoP - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Подробностей пока нет.
Уязвимостей с публичными эксплоитами нет, есть 5 с приватными:
🔸 Security Feature Bypass - Microsoft Update Catalog (CVE-2024-49147), MapUrlToZone (CVE-2025-21268, CVE-2025-21189)
🔸 EoP - Windows Installer (CVE-2025-21287)
🔸 Auth. Bypass - Azure (CVE-2025-21380)
Среди остальных можно выделить:
🔹 RCE - Windows OLE (CVE-2025-21298), Windows RMCAST (CVE-2025-21307), Microsoft Office (CVE-2025-21365), Windows Remote Desktop Services (CVE-2025-21297, CVE-2025-21309), NEGOEX (CVE-2025-21295)
🔹 EoP - Windows NTLM V1 (CVE-2025-21311), Windows Search Service (CVE-2025-21292), Windows App Package Installer (CVE-2025-21275)
🔹 Spoofing - Windows Themes (CVE-2025-21308)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
🔻 EoP - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Подробностей пока нет.
Уязвимостей с публичными эксплоитами нет, есть 5 с приватными:
🔸 Security Feature Bypass - Microsoft Update Catalog (CVE-2024-49147), MapUrlToZone (CVE-2025-21268, CVE-2025-21189)
🔸 EoP - Windows Installer (CVE-2025-21287)
🔸 Auth. Bypass - Azure (CVE-2025-21380)
Среди остальных можно выделить:
🔹 RCE - Windows OLE (CVE-2025-21298), Windows RMCAST (CVE-2025-21307), Microsoft Office (CVE-2025-21365), Windows Remote Desktop Services (CVE-2025-21297, CVE-2025-21309), NEGOEX (CVE-2025-21295)
🔹 EoP - Windows NTLM V1 (CVE-2025-21311), Windows Search Service (CVE-2025-21292), Windows App Package Installer (CVE-2025-21275)
🔹 Spoofing - Windows Themes (CVE-2025-21308)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
Повысилась критичность уязвимости Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138). Только я написал, что ничего не было слышно про эту уязвимость в течение месяца с момента публикации в декабрьском Microsoft Patch Tuesday, как 15 января для неё появился публичный эксплойт от Alessandro Iandoli из HN Security. 🙂 На GitHub-е доступен исходный код и видео с демонстрацией работы эксплоита: локальный атакующий запускает exe-файл в PowerShell и через секунду становится "nt authority/system". Исследователь протестировал работоспособность эксплоита на Windows 11 23h2. Он также обещает опубликовать блог-пост с подробным анализом уязвимости.
@avleonovrus #CLFS #Windows #HNSecurity
@avleonovrus #CLFS #Windows #HNSecurity
Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies. В прошедшем году к трендовым отнесли 74 уязвимости (для сравнения масштабов - всего в NVD за 2024 год добавили чуть более 40000).
Все трендовые уязвимости в западных коммерческих продуктах и open source проектах. Уязвимости отечественных продуктов в список трендовых не попали.
Для 55 из всех трендовых на текущий момент есть зафиксированные признаки эксплуатации в атаках, для 17 есть публичные эксплоиты (но нет признаков эксплуатации) и для 2 оставшихся есть только вероятность будущей эксплуатации.
При этом часто уязвимости добавлялись в трендовые и до появления признаков эксплуатации в реальных атаках. Так, например, уязвимость выполнения произвольного кода в VMware vCenter (CVE-2024-38812) была добавлена в список трендовых 20 сентября, через 3 дня после появления бюллетеня безопасности вендора. Для этой уязвимости не было признаков эксплуатации в реальных атаках и публичного эксплоита. Признаки эксплуатации появились только через 2 месяца, 18 ноября.
В списке трендовых больше всего уязвимостей выполнения произвольного кода и команд (24), а также повышения привилегий (21).
4 уязвимости в Barracuda Email Security Gateway (CVE-2023-2868), MOVEit Transfer (CVE-2023-34362), papercut (CVE-2023-27350) и SugarCRM (CVE-2023-22952) были добавлены в начале января 2024 года. Они активно эксплуатировались на Западе в 2023 году, но атаки с использованием этих уязвимостей могли по касательной задеть и те отечественные организации, где эти продукты ещё не были выведены из эксплуатации. Остальные уязвимости стали трендовыми именно в 2024 году.
34 трендовых уязвимостей касаются продуктов Microsoft (45 %).
🔹 Из них 17 - это уязвимости повышения привилегий в ядре Windows и стандартных компонентах.
🔹 1 уязвимость выполнения произвольного кода в Windows Remote Desktop Licensing Service (CVE-2024-38077).
2 трендовые уязвимости касаются повышения привилегий в Linux: одна в nftables (CVE-2024-1086), а вторая в needrestart (CVE-2024-48990).
Другие группы уязвимостей
🔻 Фишинговые атаки: 19 (компоненты Windows, Outlook, Exchange, Ghostscript, Roundcube)
🔻 Сетевая безопасность и точки проникновения: 13 (Palo Alto, Fortinet, Juniper, Ivanti, Check Point, Zyxel)
🔻 Виртуальная инфраструктура и бэкапы: 7 (VMware, Veeam, Acronis)
🔻 Разработка ПО: 6 (GitLab, TeamCity, Jenkins, PHP, Fluent Bit, Apache Struts)
🔻 Инструменты совместной работы: 3 (Atlassian Confluence, XWiki)
🔻 Плагины CMS WordPress: 3 (LiteSpeed Cache, The Events Calendar, Hunk Companion)
🗒️ Полный отчёт Vulristics
🟥 Статья на официальном сайте "Уязвимое ПО и «железо» vs исследователи безопасности"
@avleonovrus #TrendVulns #PositiveTechnologies #Barracuda #MOVEitTransfer #papercut #SugarCRM #Microsoft #Windows #RDLS #Linux #nftables #needrestart #Windows #Ghostscript #Outlook #Exchange #Roundcube #PaloAlto #Fortinet #Juniper #Ivanti #CheckPoint #Zyxel #VMware #Veeam #Acronis #GitLab #TeamCity #Jenkins #PHP #FluentBit #Struts #Atlassian #Confluence #XWiki #WordPress #LiteSpeedCache #TheEventsCalendar #HunkCompanion
Все трендовые уязвимости в западных коммерческих продуктах и open source проектах. Уязвимости отечественных продуктов в список трендовых не попали.
Для 55 из всех трендовых на текущий момент есть зафиксированные признаки эксплуатации в атаках, для 17 есть публичные эксплоиты (но нет признаков эксплуатации) и для 2 оставшихся есть только вероятность будущей эксплуатации.
При этом часто уязвимости добавлялись в трендовые и до появления признаков эксплуатации в реальных атаках. Так, например, уязвимость выполнения произвольного кода в VMware vCenter (CVE-2024-38812) была добавлена в список трендовых 20 сентября, через 3 дня после появления бюллетеня безопасности вендора. Для этой уязвимости не было признаков эксплуатации в реальных атаках и публичного эксплоита. Признаки эксплуатации появились только через 2 месяца, 18 ноября.
В списке трендовых больше всего уязвимостей выполнения произвольного кода и команд (24), а также повышения привилегий (21).
4 уязвимости в Barracuda Email Security Gateway (CVE-2023-2868), MOVEit Transfer (CVE-2023-34362), papercut (CVE-2023-27350) и SugarCRM (CVE-2023-22952) были добавлены в начале января 2024 года. Они активно эксплуатировались на Западе в 2023 году, но атаки с использованием этих уязвимостей могли по касательной задеть и те отечественные организации, где эти продукты ещё не были выведены из эксплуатации. Остальные уязвимости стали трендовыми именно в 2024 году.
34 трендовых уязвимостей касаются продуктов Microsoft (45 %).
🔹 Из них 17 - это уязвимости повышения привилегий в ядре Windows и стандартных компонентах.
🔹 1 уязвимость выполнения произвольного кода в Windows Remote Desktop Licensing Service (CVE-2024-38077).
2 трендовые уязвимости касаются повышения привилегий в Linux: одна в nftables (CVE-2024-1086), а вторая в needrestart (CVE-2024-48990).
Другие группы уязвимостей
🔻 Фишинговые атаки: 19 (компоненты Windows, Outlook, Exchange, Ghostscript, Roundcube)
🔻 Сетевая безопасность и точки проникновения: 13 (Palo Alto, Fortinet, Juniper, Ivanti, Check Point, Zyxel)
🔻 Виртуальная инфраструктура и бэкапы: 7 (VMware, Veeam, Acronis)
🔻 Разработка ПО: 6 (GitLab, TeamCity, Jenkins, PHP, Fluent Bit, Apache Struts)
🔻 Инструменты совместной работы: 3 (Atlassian Confluence, XWiki)
🔻 Плагины CMS WordPress: 3 (LiteSpeed Cache, The Events Calendar, Hunk Companion)
🗒️ Полный отчёт Vulristics
🟥 Статья на официальном сайте "Уязвимое ПО и «железо» vs исследователи безопасности"
@avleonovrus #TrendVulns #PositiveTechnologies #Barracuda #MOVEitTransfer #papercut #SugarCRM #Microsoft #Windows #RDLS #Linux #nftables #needrestart #Windows #Ghostscript #Outlook #Exchange #Roundcube #PaloAlto #Fortinet #Juniper #Ivanti #CheckPoint #Zyxel #VMware #Veeam #Acronis #GitLab #TeamCity #Jenkins #PHP #FluentBit #Struts #Atlassian #Confluence #XWiki #WordPress #LiteSpeedCache #TheEventsCalendar #HunkCompanion
Нужно ли ИБшнику учиться в ВУЗе? Моё мнение: да, нужно. Хотя к программе обучения во всех российских ВУЗах есть вопросики. 🤷♂️ Но есть 2 циничных аргумента:
1. Ок, весь полезный обучающий контент можно найти в паблике. Но где взять мотивацию, чтобы регулярно и методично самообучаться? Потребуется стальная воля. 🦸♂️🔩 Это будет гораздо сложнее, чем учиться в ВУЗе. Точно не забьёте и не убежите в кодеры, эникеи и ручные тестеры за быстрой денежкой? 😏
2. "Корочки" важны. Их отсутствие значительно усложнит вам трудоустройство, особенно на старте карьеры. Конечно, когда у вас будет большой релевантный опыт, это будет не так критично. Но вполне вероятно, что вам всё равно придётся получить вышку по ИБ или пройти переподготовку уже после 40. Иначе упрётесь в формальные ограничения. Так почему бы не закрыть вопрос сразу после школы? 🙂
🟢 Есть ещё аргумент про отсрочку от армии и военные кафедры. Для меня он был основным. 😅 Но тем, кто думает обойтись без вышки, видимо, это неактуально. 🙂
@avleonovrus #Education
1. Ок, весь полезный обучающий контент можно найти в паблике. Но где взять мотивацию, чтобы регулярно и методично самообучаться? Потребуется стальная воля. 🦸♂️🔩 Это будет гораздо сложнее, чем учиться в ВУЗе. Точно не забьёте и не убежите в кодеры, эникеи и ручные тестеры за быстрой денежкой? 😏
2. "Корочки" важны. Их отсутствие значительно усложнит вам трудоустройство, особенно на старте карьеры. Конечно, когда у вас будет большой релевантный опыт, это будет не так критично. Но вполне вероятно, что вам всё равно придётся получить вышку по ИБ или пройти переподготовку уже после 40. Иначе упрётесь в формальные ограничения. Так почему бы не закрыть вопрос сразу после школы? 🙂
🟢 Есть ещё аргумент про отсрочку от армии и военные кафедры. Для меня он был основным. 😅 Но тем, кто думает обойтись без вышки, видимо, это неактуально. 🙂
@avleonovrus #Education
Январский Linux Patch Wednesday. Всего 424 уязвимостей. Из них 271 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет. Но есть 9 уязвимостей с публичными эксплоитами.
🔸 RCE - Apache Tomcat (CVE-2024-56337). Судя по описанию, уязвимости должны быть подвержены "case-insensitive file systems", т.е. Windows или MacOS. При этом в Debian считают, что эта уязвимость присутствует в пакетах tomcat9 и tomcat10. Либо имеют ввиду странный case-insensitive Linux, то ли описание уязвимости неверное. 🤷♂️
🔸 RCE - Chromium (CVE-2025-0291). По данным БДУ ФСТЭК публичный эксплоит существует.
🔸 RCE - 7-Zip (CVE-2024-11477). В паблике скорее не эксплоит, а write-up.
🔸 Memory Corruption - Theora (CVE-2024-56431). Пока непонятно как это эксплуатировать. 🤷♂️
🔸 Memory Corruption - Telegram (CVE-2021-31320, CVE-2021-31319, CVE-2021-31315, CVE-2021-31318, CVE-2021-31322). Ubuntu исправили эти уязвимости в пакете библиотеки rlottie.
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
🔸 RCE - Apache Tomcat (CVE-2024-56337). Судя по описанию, уязвимости должны быть подвержены "case-insensitive file systems", т.е. Windows или MacOS. При этом в Debian считают, что эта уязвимость присутствует в пакетах tomcat9 и tomcat10. Либо имеют ввиду странный case-insensitive Linux, то ли описание уязвимости неверное. 🤷♂️
🔸 RCE - Chromium (CVE-2025-0291). По данным БДУ ФСТЭК публичный эксплоит существует.
🔸 RCE - 7-Zip (CVE-2024-11477). В паблике скорее не эксплоит, а write-up.
🔸 Memory Corruption - Theora (CVE-2024-56431). Пока непонятно как это эксплуатировать. 🤷♂️
🔸 Memory Corruption - Telegram (CVE-2021-31320, CVE-2021-31319, CVE-2021-31315, CVE-2021-31318, CVE-2021-31322). Ubuntu исправили эти уязвимости в пакете библиотеки rlottie.
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux
Умение пройти мимо. Частенько в домовом чатике пишут, что кто-то нашёл на улице или в лифте смартфон и отнёс консьержке. А другие доброхоты пишут, что нужно ещё обязательно вынуть из смартфона симку, вставить в свой телефон, найти в симке контакт "мама" и через неё связаться с владельцем.
Сам бы я поднимать чужие вещи, выглядящие как что-то хоть сколько-нибудь ценное, не стал бы. И вам не советую.
🔹 Разница между "украл" и "нашёл" довольно размытая. Как и между вынул симку, "чтобы связаться с владельцем" и "чтобы затруднить поиски телефона / получить доступ к ЛК в банке или на госуслугах". Пойманные злоумышленники тоже оправдываются, что просто нашли и хотели как лучше. 😏
🔹 Для найденных денег есть классическая разводка "кошелёк потерялся", где вас также обвинят в краже.
🔹 Хлопающие в руках вещи-ловушки (booby trap) - кейс довольно редкий, но не невозможный.
В общем, даже если перед вашими ногами миллион долларов - лучше пройдите мимо.
@avleonovrus #offtopic #passby
Сам бы я поднимать чужие вещи, выглядящие как что-то хоть сколько-нибудь ценное, не стал бы. И вам не советую.
🔹 Разница между "украл" и "нашёл" довольно размытая. Как и между вынул симку, "чтобы связаться с владельцем" и "чтобы затруднить поиски телефона / получить доступ к ЛК в банке или на госуслугах". Пойманные злоумышленники тоже оправдываются, что просто нашли и хотели как лучше. 😏
🔹 Для найденных денег есть классическая разводка "кошелёк потерялся", где вас также обвинят в краже.
🔹 Хлопающие в руках вещи-ловушки (booby trap) - кейс довольно редкий, но не невозможный.
В общем, даже если перед вашими ногами миллион долларов - лучше пройдите мимо.
@avleonovrus #offtopic #passby
Про персональный акустический комфорт. Если вас всё раздражает, вы не можете сфокусироваться на работе, не слышите собственные мысли, а рука сама тянется надеть наушники и врубить музыку, то возможно вы находитесь в неблагоприятной акустической среде. 🙉 Но как сделать среду благоприятной, если закрыться в тихой комнате не вариант? 🤔
Мой выбор последних лет - пассивные наушники. Как у строителей, заводских рабочих, работников аэропортов. 🙂 Пластиковые чашки и акустический поролон.
🔸 Почему не наушники с активным шумоподавлением? Это дополнительная нагрузка на слух и не многим лучше, чем глушить себя музыкой.
🔸 Почему не беруши? Вытаскивать и вставлять их обратно неудобно. 🤷♂️ Но в сочетании с наушниками - идеальная тишина. 👍😇
Сейчас пользуюсь:
🔹 3M Peltor X5A - лучшее шумоподавление, но тяжеловатые и выглядят потешно. 😅
🔹 3M Peltor Optime 95 - лёгкие, симпатичные, но не глушат посторонние звуки полностью, скорее приглушают до приемлемого неразборчивого уровня.
@avleonovrus #offtopic #earmuff
Мой выбор последних лет - пассивные наушники. Как у строителей, заводских рабочих, работников аэропортов. 🙂 Пластиковые чашки и акустический поролон.
🔸 Почему не наушники с активным шумоподавлением? Это дополнительная нагрузка на слух и не многим лучше, чем глушить себя музыкой.
🔸 Почему не беруши? Вытаскивать и вставлять их обратно неудобно. 🤷♂️ Но в сочетании с наушниками - идеальная тишина. 👍😇
Сейчас пользуюсь:
🔹 3M Peltor X5A - лучшее шумоподавление, но тяжеловатые и выглядят потешно. 😅
🔹 3M Peltor Optime 95 - лёгкие, симпатичные, но не глушат посторонние звуки полностью, скорее приглушают до приемлемого неразборчивого уровня.
@avleonovrus #offtopic #earmuff
Про кейс OpenText. 16 января Генпрокуратура объявила OpenText Corporation нежелательной организацией в России. Интересно это тем, что OpenText-ам принадлежит вендор Micro Focus и SIEM-решение ArcSight (сейчас ряд продуктов под брендом OpenText).
Теперь покупку продуктов OpenText можно расценивать как "предоставление средств заведомо предназначенных для обеспечения деятельности нежелательной организации" (УК РФ 284.1 п.2). Срок до 5 лет + ограничение на должности/деятельность до 10 лет. Ещё до 4 лет за "участие в деятельности", но с этим сложнее.
А почему OpenText? Из текста новости:
🔻 сотрудничали с силовыми структурами США
🔻 участвовали в пропаганде против РФ
🔻 являются подрядчиком минобороны США и Пентагона
🔻 занимаются киберзащитой страны-противника
"OpenText" там можно заменить на практически любого западного вендора, начиная с Microsoft. 🤷♂️
Выглядит как тестирование механизма стимуляции импортозамещения во всех организациях страны, не только государственных и КИИ. 🤔
@avleonovrus #OpenText
Теперь покупку продуктов OpenText можно расценивать как "предоставление средств заведомо предназначенных для обеспечения деятельности нежелательной организации" (УК РФ 284.1 п.2). Срок до 5 лет + ограничение на должности/деятельность до 10 лет. Ещё до 4 лет за "участие в деятельности", но с этим сложнее.
А почему OpenText? Из текста новости:
🔻 сотрудничали с силовыми структурами США
🔻 участвовали в пропаганде против РФ
🔻 являются подрядчиком минобороны США и Пентагона
🔻 занимаются киберзащитой страны-противника
"OpenText" там можно заменить на практически любого западного вендора, начиная с Microsoft. 🤷♂️
Выглядит как тестирование механизма стимуляции импортозамещения во всех организациях страны, не только государственных и КИИ. 🤔
@avleonovrus #OpenText
Про блокировку TikTok в США. Из-за запрета Верховного суда сервис днём не работал. Но Трамп заявил, что отложит блокировку, и к вечеру TikTok снова заработал. 🤷♂️ Трамп написал сегодня в Truth Social:
"Я хотел бы, чтобы Соединенные Штаты имели 50%-ную долю собственности в совместном предприятии. Сделав это, мы спасем TikTok, сохраним его в надежных руках и позволим ему заявить о себе. Без одобрения США TikTok не существует. С нашим одобрением он стоит сотни миллиардов долларов — может быть, триллионы.
Поэтому моя первоначальная идея - совместное предприятие между нынешними владельцами и/или новыми владельцами, в котором США получает 50% акций в совместном предприятии, созданном между США и любой другой компанией, которую мы выберем."
Т.е. продолжают отжимать TikTok? Похоже. 🤔 Фактически говорят: "У вас, ребята, классный продукт. Но он слишком популярен у наших граждан, а мы вас не контролируем. Это риски. Продавайтесь или сворачивайтесь."
Best practice суверенной медиа-политики. 😉
@avleonovrus #TikTok
"Я хотел бы, чтобы Соединенные Штаты имели 50%-ную долю собственности в совместном предприятии. Сделав это, мы спасем TikTok, сохраним его в надежных руках и позволим ему заявить о себе. Без одобрения США TikTok не существует. С нашим одобрением он стоит сотни миллиардов долларов — может быть, триллионы.
Поэтому моя первоначальная идея - совместное предприятие между нынешними владельцами и/или новыми владельцами, в котором США получает 50% акций в совместном предприятии, созданном между США и любой другой компанией, которую мы выберем."
Т.е. продолжают отжимать TikTok? Похоже. 🤔 Фактически говорят: "У вас, ребята, классный продукт. Но он слишком популярен у наших граждан, а мы вас не контролируем. Это риски. Продавайтесь или сворачивайтесь."
Best practice суверенной медиа-политики. 😉
@avleonovrus #TikTok
Собираюсь принять участие в форуме "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ" 3 апреля. Как и в прошлом году, основная фишка мероприятия 4 тематических трека-конференции на целый день: про бизнес, облака, безопасность подрядчиков и... Анализ защищённости. 😇 В работе этого трека я и приму участие.
🔻 Технологическая панель. А ты точно умеешь это детектировать? Правила детекта уязвимостей. Будем обсуждать "запретную тему" - качество детектирования. 😇 Здесь буду спикером.
🔻 Круглый стол. Управление уязвимостями изнутри. Будем обсуждать тонкости организации VM-процесса в организациях. Здесь буду модератором.
❗️ Состав участников согласовывается, если у кого есть желание поучаствовать, пишите в личку. 😉
Также в "PRO анализ защищённости" будут обсуждать пентесты, багбаунти, кибериспытания, OSINT, киберразведку и антифишинг.
📍 Hyatt Regency Moscow Petrovsky Park
🤝 Только оффлайн и без записи!
➡️ Регистрация на сайте
ТГ-канал @avleonovrus в информационных партнёрах. 😉
@avleonovrus #tb2025 #event
🔻 Технологическая панель. А ты точно умеешь это детектировать? Правила детекта уязвимостей. Будем обсуждать "запретную тему" - качество детектирования. 😇 Здесь буду спикером.
🔻 Круглый стол. Управление уязвимостями изнутри. Будем обсуждать тонкости организации VM-процесса в организациях. Здесь буду модератором.
❗️ Состав участников согласовывается, если у кого есть желание поучаствовать, пишите в личку. 😉
Также в "PRO анализ защищённости" будут обсуждать пентесты, багбаунти, кибериспытания, OSINT, киберразведку и антифишинг.
📍 Hyatt Regency Moscow Petrovsky Park
🤝 Только оффлайн и без записи!
➡️ Регистрация на сайте
ТГ-канал @avleonovrus в информационных партнёрах. 😉
@avleonovrus #tb2025 #event
Про уязвимость Remote Code Execution - Windows OLE (CVE-2025-21298). Уязвимость из январского Microsoft Patch Tuesday. OLE (Object Linking and Embedding) - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Наглядный пример использования этой технологии - открытие таблицы Excel в документе Word.
В чём суть этой уязвимости? Код злоумышленника выполняется на хосте жертвы при открытии специального RTF-документа или при открытии специального email-сообщения в почтовом клиенте Microsoft Outlook (в том числе и в preview-режиме). Во втором случае от жертвы не требуется никаких действий кроме клика по сообщению. 🤷♂️ Microsoft рекомендуют настроить просмотр сообщений в Outlook только в plain text.
20 января на GitHub появился PoC эксплоита, демонстрирующий Memory Corruption при открытии RTF-документа. Теперь ждём и RCE-эксплойт для Outlook. 😉
Сообщений об атаках пока не было.
Устраните уязвимость в приоритетном порядке!
@avleonovrus #Microsoft #OLE #Outlook
В чём суть этой уязвимости? Код злоумышленника выполняется на хосте жертвы при открытии специального RTF-документа или при открытии специального email-сообщения в почтовом клиенте Microsoft Outlook (в том числе и в preview-режиме). Во втором случае от жертвы не требуется никаких действий кроме клика по сообщению. 🤷♂️ Microsoft рекомендуют настроить просмотр сообщений в Outlook только в plain text.
20 января на GitHub появился PoC эксплоита, демонстрирующий Memory Corruption при открытии RTF-документа. Теперь ждём и RCE-эксплойт для Outlook. 😉
Сообщений об атаках пока не было.
Устраните уязвимость в приоритетном порядке!
@avleonovrus #Microsoft #OLE #Outlook
Должен ли VM-щик быть в курсе происходящего в даркнете? Безусловно. Хотя бы в общих чертах. Иначе можно самому увериться в классическом "да кому мы нужны, чтобы нас атаковать". 😏
А реальность такова, что постоянно атакуют вообще всех. Это похоже на промысловый лов рыбы траулерами. Всё, что попало в сети, будет разобрано, оценено и выставлено на продажу. 🐟 В современном мире киберпреступности доступы в инфраструктуру организаций - это товар. 🏪 Такая же ситуация с уязвимостями, эксплоитами и готовыми малварями.
Группы злоумышленников специализируются:
🔻 одни исследуют уязвимости и пишут эксплоиты
🔻 другие встраивают их в малвари
🔻 третьи реализуют обход СЗИ
🔻 четвёртые получают первичные доступы
🔻 пятые доступы монетизируют 💰
🔻 шестые поддерживают работу торговых площадок
И насколько у всех этих ребят получится вынести вашу ООО "Ромашка", зависит от тебя, VM-щик. 😉
🟥 У PT на днях вышло большое исследование на эту тему и вебинар (доступна запись). 👍
@avleonovrus #DarkNet #PositiveTechnologies
А реальность такова, что постоянно атакуют вообще всех. Это похоже на промысловый лов рыбы траулерами. Всё, что попало в сети, будет разобрано, оценено и выставлено на продажу. 🐟 В современном мире киберпреступности доступы в инфраструктуру организаций - это товар. 🏪 Такая же ситуация с уязвимостями, эксплоитами и готовыми малварями.
Группы злоумышленников специализируются:
🔻 одни исследуют уязвимости и пишут эксплоиты
🔻 другие встраивают их в малвари
🔻 третьи реализуют обход СЗИ
🔻 четвёртые получают первичные доступы
🔻 пятые доступы монетизируют 💰
🔻 шестые поддерживают работу торговых площадок
И насколько у всех этих ребят получится вынести вашу ООО "Ромашка", зависит от тебя, VM-щик. 😉
🟥 У PT на днях вышло большое исследование на эту тему и вебинар (доступна запись). 👍
@avleonovrus #DarkNet #PositiveTechnologies
Про уязвимость Authentication Bypass - FortiOS (CVE-2024-55591). Уязвимость позволяет удаленному злоумышленнику получить привилегии суперадминистратора с помощью специальных запросов к модулю Node.js websocket. Уязвимости подвержены сетевые устройства Fortinet под управлением FortiOS (включая FortiGate NGFW), а также решения FortiProxy.
🔹 10 января Arctic Wolf сообщили об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. 👾 Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.
🔹 14 января вышел бюллетень вендора. Уязвимость добавили в CISA KEV.
🔹 С 21 января на GitHub доступен публичный эксплойт.
🔹 По состоянию на 26 января Shadow Server фиксируют около 45 000 уязвимых устройств, доступных из Интернет.
Вендор рекомендует обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).
@avleonovrus #Fortinet #FortiProxy #FortiOS #ArcticWolf #ShadowServer
🔹 10 января Arctic Wolf сообщили об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. 👾 Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.
🔹 14 января вышел бюллетень вендора. Уязвимость добавили в CISA KEV.
🔹 С 21 января на GitHub доступен публичный эксплойт.
🔹 По состоянию на 26 января Shadow Server фиксируют около 45 000 уязвимых устройств, доступных из Интернет.
Вендор рекомендует обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).
@avleonovrus #Fortinet #FortiProxy #FortiOS #ArcticWolf #ShadowServer
Отечественная инициатива по поиску уязвимостей в СПО для виртуализации. Тестирование проводили специалисты компании "Базис", ИСП РАН и испытательной лаборатории "Фобос-НТ" на стенде Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Студенты МГТУ им. Баумана и ЧГУ помогали с разметкой данных и настройкой целей для фаззинга.
Проверяли nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделяли libvirt.
Всего выявили 191 дефект:
🔹 178 нашли SAST-ом (больше всего в ActiveMQ Artemis и Apache Directory)
🔹 13 нашли фазингом (в Apache Directory LDAP API и libvirt)
Исправления интегрировали в основные ветки проектов.
Инициатива классная. 👍 Но было бы неплохо, конечно, узнать какие из этих детектов являются эксплуатабельными уязвимостями и проконтролировать, что фиксы уязвимых компонентов дошли до связанных сертифицированных продуктов в адекватные сроки. 😉
@avleonovrus #СПО #FSTEC #ФСТЭК #ИСПРАН
Проверяли nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделяли libvirt.
Всего выявили 191 дефект:
🔹 178 нашли SAST-ом (больше всего в ActiveMQ Artemis и Apache Directory)
🔹 13 нашли фазингом (в Apache Directory LDAP API и libvirt)
Исправления интегрировали в основные ветки проектов.
Инициатива классная. 👍 Но было бы неплохо, конечно, узнать какие из этих детектов являются эксплуатабельными уязвимостями и проконтролировать, что фиксы уязвимых компонентов дошли до связанных сертифицированных продуктов в адекватные сроки. 😉
@avleonovrus #СПО #FSTEC #ФСТЭК #ИСПРАН
Про уязвимость Remote Code Execution - 7-Zip (CVE-2025-0411). 7-Zip - популярный бесплатный архиватор с открытым исходным кодом. Он широко используется в организациях в качестве стандартного средства для работы с архивами.
Уязвимость заключается в обходе механизма Mark-of-the-Web.
🔹 Если вы в Windows скачаете подозрительный исполняемый файл и запустите его, то функция SmartScreen Microsoft Defender-а отработает и заблокирует запуск файла из ненадёжного источника.
🔹 А если вы скачаете 7z архив, содержащий вложенный 7z архив со зловредом, то сможете в три дабл-клика запустить исполняемый файл и SmartScreen не сработает. 🤷♂️ Причина в том, что 7-Zip до версии 24.09, вышедшей 30 ноября 2024 года, некорректно проставлял метку Mark-of-the-Web на распакованные файлы. На GitHub есть пример эксплоита.
Признаков эксплуатации уязвимости вживую пока нет. Но, скорее всего, они появятся, так как это простой способ повысить эффективность фишинговых атак. Обновите 7-Zip!
@avleonovrus #7zip #MoTW #SmartScreen #Windows
Уязвимость заключается в обходе механизма Mark-of-the-Web.
🔹 Если вы в Windows скачаете подозрительный исполняемый файл и запустите его, то функция SmartScreen Microsoft Defender-а отработает и заблокирует запуск файла из ненадёжного источника.
🔹 А если вы скачаете 7z архив, содержащий вложенный 7z архив со зловредом, то сможете в три дабл-клика запустить исполняемый файл и SmartScreen не сработает. 🤷♂️ Причина в том, что 7-Zip до версии 24.09, вышедшей 30 ноября 2024 года, некорректно проставлял метку Mark-of-the-Web на распакованные файлы. На GitHub есть пример эксплоита.
Признаков эксплуатации уязвимости вживую пока нет. Но, скорее всего, они появятся, так как это простой способ повысить эффективность фишинговых атак. Обновите 7-Zip!
@avleonovrus #7zip #MoTW #SmartScreen #Windows
24 февраля приму участие в конференции "INFOSTART TEAMLEAD & CIO EVENT 2025". Кажется, впервые буду выступать на преимущественно неИБ-шном мероприятии. 🙂 Конференцию организует Инфостарт - компания, которая занимается автоматизацией на 1C и поддерживает сообщество 1С-специалистов, насчитывающее 1,5 млн участников. 🤯 Совершенно другой мир и другая аудитория. 🤩
Буду рассказывать про Базовую оценку состояния Управления Уязвимостями. В рамках подготовки доклада соберу все свои посты на тему БОСПУУ из канала в драфтовую версию руководства по БОСПУУ. 😉
Выступать буду в первый день конференции, 24 февраля, в 15:40. Площадка знакомая - ЦМТ. Но в Пресс-зале выступать мне пока не приходилось. 🙂
@avleonovrus #Event #INFOSTART #INFOSTART2025 #БОСПУУ
Буду рассказывать про Базовую оценку состояния Управления Уязвимостями. В рамках подготовки доклада соберу все свои посты на тему БОСПУУ из канала в драфтовую версию руководства по БОСПУУ. 😉
Выступать буду в первый день конференции, 24 февраля, в 15:40. Площадка знакомая - ЦМТ. Но в Пресс-зале выступать мне пока не приходилось. 🙂
@avleonovrus #Event #INFOSTART #INFOSTART2025 #БОСПУУ
Новый выпуск "В тренде VM": уязвимости, ставшие трендовыми в декабре, и итоги 2024 года по трендовым уязвимостям. Записал выпуск специально для подписчиков Телеграм-канала avleonovrus «Управление Уявзимостями и прочее». 😉
📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Содержание:
🔻 00:00 Приветствие
🔻 00:28 Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)
🔻 01:30 Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)
🔻 02:37 Remote Code Execution - Apache Struts (CVE-2024-53677)
🔻 03:31 Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)
🔻 04:44 Трендовые уязвимости 2024 года
👾 08:10 Маскот канала 😅
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #ksthunk #Windows #SSD #CLFS #HNSecurity #CrowdStrike #Apache #Struts #WPScan #HunkCompanion #WordPress
📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Содержание:
🔻 00:00 Приветствие
🔻 00:28 Elevation of Privilege - Windows Kernel Streaming WOW Thunk Service Driver (CVE-2024-38144)
🔻 01:30 Elevation of Privilege - Windows Common Log File System Driver (CVE-2024-49138)
🔻 02:37 Remote Code Execution - Apache Struts (CVE-2024-53677)
🔻 03:31 Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972)
🔻 04:44 Трендовые уязвимости 2024 года
👾 08:10 Маскот канала 😅
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #ksthunk #Windows #SSD #CLFS #HNSecurity #CrowdStrike #Apache #Struts #WPScan #HunkCompanion #WordPress
VK Видео
В тренде VM: топ узявимости декабря и ФИНАЛЬНЫЙ обзор трендовых уязвимостей 2024 года
В новом выпуске «В тренде VM» я рассказываю о 4 уязвимостях, ставших трендовыми в декабре, и подвожу итоги 2024 года по трендовым уязвимостям. Выпуск специально для Телеграм-канала avleonovrus «Управление Уязвимостями и прочее», приглашаю вас на него подписаться.…