9379
Анализ защищённости, безопасное конфигурирование ИТ-систем, автоматизация связанных процессов ИБ и другие интересные штуки. Пишите в личку: @leonov_av
🔍 Vulners Lookup - дополненная CVE-реальность.
Вчера разработчики из компании VulnCheck показали прототип плагина для Chrome/Chromium, который подсвечивает CVE-идентификаторы на сайте и при наведении на них показывает окошко с информацией по уязвимости. Наиболее важная информация - входит ли уязвимость в VulnCheck KEV (расширенный аналог CISA KEV). ⚡️
Ребята из Vulners увидели эту новость, идея им понравилась и они буквально за день реализовали свой аналог. 👨💻 Также подсвечиваются CVE-шки и при наведении отображаются актуальные параметры: описание, наличие признаков эксплуатации вживую и публичных эксплоитов. По клику можно перейти на сайт Vulners, чтобы изучить эти эксплоиты и признаки эксплуатации. 😉🚀
Wow-эффект присутствует! 🤯🙂👍 Новости, бюллетени регуляторов, ТОП-ы уязвимостей, блоги начинают играть новыми красками. 🎨 Очень прикольно! 😎 И бесплатно! 🆓
📦 Пока Vulners Lookup на модерации в магазине плагинов Google, его можно скачать и установить из архива.
@avleonovrus #Vulners #VulnersLookup
MaxPatrol Carbon - средство эффективной приоритизации уязвимостей. Продолжу предыдущий пост примером конкретного решения. 😉
➡️ На вход Carbon берёт данные по уязвимостям (в расширенном смысле, "экспозиции": CVE/BDU, мисконфиги, подобранные учётки и т.п.) и сетевой связности из MaxPatrol VM. ❗️Отсюда важность полноты VM-сканирования❗️ Пользователь также задаёт точки проникновения, и целевые системы.
⬅️ На выходе Carbon даёт набор потенциальных путей атаки (тысячи их!), завязанных на эксплуатацию обнаруженных уязвимостей ("экспозиций"). Причём это не условные маршруты на основе сетевой достижимости. Нет! Там полноценные сценарии с эксплуатацией RCE-уязвимостей, захватом учёток, повышением привилегий, учётом возможности подключения по легитимному протоколу и прочим. 👨🔬
⚖️ Пути атаки оцениваются с учётом сложности эксплуатации, длительности и количества шагов...
И только здесь начинается полноценная приоритизация уязвимостей! 😉
@avleonovrus #PositiveTechnologies #Carbon #MaxPatrol #Prioritization
Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program). 👎 В рамках программы вендоры получают ранний доступ к информации об уязвимостях, которые будут исправлены в Microsoft Patch Tuesday. Иногда MS предоставляют даже PoC-и эксплоитов. 🛠
Эта информация нужна ИБ-вендорам для оперативной разработки правил детектирования и блокирования эксплуатации уязвимостей.
❓ Есть мнение, что Microsoft так наказывает китайские компании за слив информации об уязвимости SharePoint ToolShell. Но подтверждений этому нет. 🤷♂️
Помнится, MS зачищали MAPP от российских компаний примерно так же бездоказательно. 🌝
➡️ Если Microsoft считает российских и китайских ИБ-вендоров неблагонадежными, зачем исследователи, работающие в этих вендорах, продолжают репортить уязвимости в Microsoft? 🤔 Как по мне, эту "игру в одни ворота" 🥅 давно пора пересмотреть в сторону централизованного репортинга уязвимостей. 😉
@avleonovrus #dewesternization #research #Microsoft #MAPP
🔥 Лайв-канал: самые свежие VM-ные новости. Вы могли заметить, что количество постов в @avleonovlive значительно возросло за последние несколько дней (было от 8 до 19 постов в день). Скорость реагирования на VM-ные новости (уязвимости, ресёрчи, дискуссии, фичи вендоров) и полнота их освещения также возросла. Уже похоже на полноценный новостной ИБ-канал а-ля Секатор. 😇
Собираюсь продолжать в том же духе. Естественно, чтобы справляться с такими объёмами, я буду пользоваться обработкой текста нейросеточками (как и другие авторы ИБ-каналов 😅🤷♂️🤫). Но нейросеточки уже достаточно хорошо переводят и делают выжимки, чтобы выкладывать результат можно было практически as is. Я стараюсь отлавливать ошибки и неточности при вычитке. Но если заметите - пишите в комментарии @avleonovlive или личку.
Основной канал @avleonovrus остаётся для низкочастотного постинга "ручного" контента, зачастую по материалам, выложенным ранее в @avleonovlive.
➡️ Приглашаю заценить @avleonovlive и подписаться. 😉
@avleonovrus #Telegram
Мои друзья из КОД ИБ приглашают 11-14 сентября на Код ИБ ПРОФИ в Сочи (Роза Хутор). По формату это сочетание кэмпа и конференции по кибербезопасности. Программа рассчитана на 4 дня:
🔹 Два дня будут мастер-классы с ИБ-экспертами (всего 12 экспертов), киберучения в штабе и на киберполигоне. "На Киберполигоне в составе команды CSIRT вы пройдете весь цикл реагирования на инцидент [...] Учебный киберполигон смоделирует атаки на типовую ИТ-инфраструктуру — с действующими актуальными средствами защиты, скомпрометированными узлами и продвинутым виртуальным злоумышленником."
🔹 Два дня будет развлекательная программа. Джип-тур Легенды Псахо: Водопады, Каньоны и Святыни, сплав по реке Мзымта на рафтах, досуг на море, барбекю-пати и прочее. 🙂
📃 Выдаётся диплом о ДПО в объёме 16 академических часов.
🎁 Для подписчиков канала действует скидка 5% на участие. При регистрации укажите промокод "Управление уязвимостями". 😉
@avleonovrus #CodeIB #CodeIBsochi2025 #ИБнужныПРОФИ
Подглядывает ли за вами мессенджер MAX? Сейчас по телеге понесли вброс, что мессенджер MAX под Windows раз в 5-10 минут делает фотографии с вебки. Дескать на это ругается домашний антивирус Kaspersky. 🤬 Оказалось, что в конце прошлого года пользователи Kaspersky уже жаловались на ошибочные нотификации "<Приложение> использует камеру". Похоже, это всё тот же баг. Я верю разработчикам MAX, что сами они камеру не включают. 🙏
Но вопрос шире: можно ли гарантировать, что на вашем десктопе (ноутбуке, планшете, телефоне) ни одно приложение, включая саму ОС, не активирует камеру в фоне? Имхо, нет. 🙂 Есть множество программных способов это делать. Даже обходя светодиодик. А уж вендоры устройств и ОС вообще ничем не ограничены. Особенно, если государство это санкционировало. 😉
Если в подключенном к Интернет устройстве есть камера, следует исходить из того, что она всё пишет в фоне и куда-то сливает. 📹 Если вас это не устраивает, заклеивайте камеру.
@avleonovrus #MAXmessenger #Kaspersky #Camera #Privacy #paranoia
Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT. 🎉
🔹 Organisation of Islamic Cooperation (OIC) является самой крупной и наиболее влиятельной официальной правительственной мусульманской международной организацией. В настоящее время объединяет 57 стран с населением около 2 млрд человек. Россия тоже входит в OIC в качестве наблюдателя.
🔹 OIC-CERT - группа реагирования на компьютерные инциденты, являющаяся дочерней организацией OIC. В неё входят национальные CERT-ы 27 стран, а также 8 коммерческих организаций, среди которых Positive Technologies.
➡️ Собственно в разделе, посвящённом результатам работы Positive Technologies, и была опубликована подготовленная мной статистика по трендовым уязвимостям за 2024 год (отчёт на 67,49M, стр 229).
Весьма рад, что получилось внести небольшой вклад в повышение осведомленности о PT ESC и Positive Technologies среди национальных CERT-ов и важных decision maker-ов! 😉
@avleonovrus #TrendVulns #PositiveTechnologies #PTESC
Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025. R-Vision отметили 3 уязвимости:
🔹 RCE - Microsoft SharePoint Server (CVE-2025-53770). Наиболее критичная уязвимость июля. У нас тоже в дайджесте была. ✅
🔹 RCE - WinRAR (CVE-2025-6218). Эта уязвимость у нас тоже в трендовых, но пойдёт уже в сентябрьский дайжест вместе с CVE-2025-8088. ✅
🔹 SFB - Chromium (CVE-2025-6558). Тут расхождение. Мы браузерные уязвимости Chromium к трендовым не относим, т.к. все они должны (по идее) закрываться настройками автообновления браузера. ❌
❓ Уязвимость EoP - Windows Update Service (CVE-2025-48799) попала к нам в дайджест и не попала в дайджест R-Vision. Эксплоит есть - пора трендить и патчить до начала массовых атак. 😉
Дайджест добротный, хорошо структурированный. Содержит вектор атаки, пруфы вендора, описание уязвимости, статус эксплуатации, сценарии атаки, рекомендации по устранению. 👍
@avleonovrus #RVision #ВфокусеRVD #SharePoint #WinRAR #Chromium #PositiveTechnologies #втрендеVM #TrendVulns
Августовский Microsoft Patch Tuesday. Всего 132 уязвимости, на 20 меньше, чем в июле. Из них 25 уязвимостей были добавлены между июньским и июльским MSPT. Есть три уязвимости с признаком эксплуатации вживую. Две из них относятся к трендовой уязвимости SharePoint "ToolShell", эксплуатирующейся вживую с 17 июля:
🔻 RCE - Microsoft SharePoint Server (CVE-2025-53770)
🔻 Spoofing - Microsoft SharePoint Server (CVE-2025-53771)
Ещё одна эксплуатируемая уязвимость касается Chromium:
🔻SFB - Chromium (CVE-2025-6558)
Из остальных уязвимостей без публичных эксплоитов и признаков эксплуатации можно выделить:
🔹 RCE - SharePoint (CVE-2025-49712), GDI+ (CVE-2025-53766), Windows Graphics Component (CVE-2025-50165), DirectX Graphics Kernel (CVE-2025-50176), Microsoft Office (CVE-2025-53731, CVE-2025-53740), MSMQ (CVE-2025-53144, CVE-2025-53145, CVE-2025-50177)
🔹 EoP - Kerberos (CVE-2025-53779), NTLM (CVE-2025-53778)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows #SharePoint
Киберклад следует сдавать государству. Продолжу накидывать аргументы за централизацию репортинга уязвимостей через государственного регулятора. Ранее я сравнивал знание об уязвимости с оружием. Теперь рассмотрим уязвимости как ценность.
💰 А ценность действительно есть. Недаром Microsoft выплатили за год $17 млн bounty (max за уязвимость $200.000). А на ирландском Pwn2Own обещают выплатить $1 млн за эксплойт для "зелёного мессенджера".
Если человек нашёл клад, сокрытый в земле (стене, пещере и т.п.), волен ли он им распоряжаться по своему усмотрению?
🔹 Нет. Клад нужно сдать в полицию для оценки. По ГК РФ 233 в зависимости от обстоятельств можно будет получить либо сам клад, либо 50% его стоимости (клад с культурно-исторической ценностью перейдёт государству).
🔹 За сокрытие клада грозит до 5–10 лет (192, 164 УК РФ ).
Так почему сейчас считается нормальным сдавать уязвимости ("киберклады") третьим лицам из недружественных стран без уведомления государства? 🤔
@avleonovrus #dewesternization #research #ИНД
Про уязвимость Remote Code Execution - WinRAR (CVE-2025-6218). Специально сформированный путь к файлу внутри архива может привести к переходу процесса разархивирования в непредусмотренные каталоги (включая, например, каталоги Startup 😈), в результате чего распаковка архива приведёт к выполнению зловредного кода в контексте текущего пользователя.
🔻 Уязвимость зарепортили вендору 5 июня. Уязвимость была исправлена 25 июня в версии 7.12. Но обновиться следует до 7.13, т.к. в ней была исправлена ещё одна уязвимость с тем же описанием (без CVE, пока обозначу как CVE-2025-6218-2).
🛠 Публичный эксплойт доступен на GitHub с 27 июня.
👾 8 августа BiZone сообщили, что они наблюдали фишинговые атаки на российские организации с эксплуатацией CVE-2025-6218 и CVE-2025-6218-2 с начала июля. Атаки связывают с группировкой Paper Werewolf (GOFFEE). ESET также фиксировали атаки с эксплуатацией этих уязвимостей для установки бэкдоров группировки RomCom.
@avleonovrus #WinRAR #BiZone #ESET #RomCom #PaperWerewolf #GOFFEE
U.S. Cyber Force - будущий отдельный род войск США? 4 августа think tank Center for Strategic and International Studies и "двухпартийный межправительственный орган" Cyberspace Solarium Commission 2.0 учредили комиссию по созданию Киберсил.
В комиссию вошли 17 человек - бывшие высокопоставленные руководители Пентагона, NSA, House Armed Services Committee, а также "бывшие руководители по кибервойне ("cyber warfare chiefs") из всех родов войск, эксперты из промышленности и академических кругов".
А зачем нужен отдельный род войск, есть же Киберкомандование? 🤔
The Record пишут: "На Капитолийском холме выросло двухпартийное разочарование из-за хронической неспособности существующих родов войск обеспечить U.S. Cyber Command персоналом, готовым сражаться с иностранными противниками в Интернете ("who are ready to battle foreign adversaries online"), такими как Китай". И, разумеется, Россия. В апреле главу U.S. Cyber Command сняли, нового всё ещё не назначили. 🤷♂️
@avleonovrus #cyberwarfare #USCyberForce
Кирилл Ермаков, основатель и CEO vulners.com, поделился историей провала своего стартапа 4Hackers. Идея была в том, чтобы сделать чат-бот на опенсурсных LLM-ках, у которого не было бы проблем с решением пентестерских задач: написание эксплоитов, составление шаблонов писем для фишинга, разработка сценариев атаки и т.п. То есть c "чувствительными" темами, на которые мейнстримные чатботы общаться не любят. 😉 Кроме того, к 4Hackers были прикручены скрапперы для решения задач OSINT-а. 🕵️♂️
В итоге за год проект съел $200 000 из кармана Кирилла и не взлетел. 🗿 4Hackers проработает ещё несколько недель и потом шнур выдернут. 💀
Кирилл подробно перечисляет причины провала, но суммировать их можно так:
💬 Оценка востребованности не проводилась, в итоге был разработан продукт для несуществующих пользователей.
📊 Так как сервис платный и даже без триала, то пользователи не росли и вирусного эффекта не было.
💸 Хостить такой сервис on-prem оказалось супер-дорого. 🤷♂️
@avleonovrus #4Hackers #Vulners #ChatGPT #AI #LLM
Qualys представили решение Agentic AI для автономного управления киберрисками. В рамках решения Qualys предоставляет готовых агентов по киберрискам ("Cyber Risk Agents"), которые работают автономно и выступают в роли дополнительной квалифицированной цифровой рабочей силы ("skilled digital workforce"). Agentic AI не только выявляет проблемы и предоставляет аналитические данные, но и самостоятельно определяет критические риски, расставляет приоритеты и запускает целевые процессы устранения рисков.
Доступные агенты на маркетплейсе:
🔹 Выявление и приоритизация рисков, связанных с внешними атаками
🔹 Адаптивная оценка рисков облаков
🔹 Оценка готовности к аудиту и составление отчётов
🔹 Приоритизация рисков на основе угроз
🔹 Автономный цикл "Microsoft Patch Tuesday"
🔹 Self-Healing агент для управления уязвимостями
Также представили Cyber Risk Assistant - интерфейс с подсказками для преобразования данных о рисках в контекстно-зависимые действия с автономным выполнением.
@avleonovrus #Qualys #AgenticAI #AI
Вызывает большие вопросы то, как освещают взломы российских организаций в российских же ИБ-каналах. С каким злорадным упоением смакуют там все "детали" произошедшего. А фактически пересказывают любые выдумки умовного Миколи з Івано-Франківська. И ради чего? Ради красного словца, репостов, реакций, подписчиков (любых) и рекламной копеечки. Отвратительно. 😑
Как по мне, этичное освещение таких инцидентов должно исходить из следующего:
🔹 Безусловная ненависть к state-sponsored киберпреступникам это совершившим. Все их заявления должны восприниматься как ложь и зловредная пропаганда.
🔹 Безусловная поддержка пострадавшей российской организации. Неважно насколько плохо у них было с ИБ и почему. Они наши, им следует помочь сделать их инфраструктуру безопаснее.
🔹 Критикуешь - предлагай и продвигай системные решения проблемы. Тебе ж страна ИБшное образование дала не для того, чтобы над вражескими мемасиками зубоскалить. Сделай уже хоть что-то полезное. Ну или хотя бы не вреди.
@avleonovrus #ITloyalism #incidents
ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300). Отдельно радует, что ТАСС указали компанию, должность, имя-фамилию (а не "киберэксперт Леонов" 😅). Суть уязвимости тоже верно передали. 👍
По уязвимости появились подробности, что она вызвана ошибкой "в реализации кода для JPEG Lossless Decompression внутри модуля RawCamera.bundle, который обрабатывает файлы DNG (Digital Negative) от Adobe".
Почему опасно:
🔓 Эксплуатируется без клика и нотификаций: файлы DNG могут автоматически обрабатываться iOS при получении через iMessage или другие мессенджеры. 📱 Ваш телефон не спросит разрешения - он просто отрендерит превью и выполнит код. 😈
🌍 Широкий вектор атаки: DNG - это открытый формат raw изображения, активно используемый фотографами 📸.
🎯 Доп. возможности после эксплуатации: harshanki.thakker/what-is-blastdoor-and-why-apple-included-it-in-the-ios-14-update-c18de856c881">Apple BlastDoor разрешает права file-map-executable для RawCamera.bundle.
👾⚒️ Эксплуатируется вживую и есть PoC эксплоита на GitHub
@avleonovrus #Apple #ImageIO #DNG #PositiveTechnologies
Протестировал GigaIDE от Сбера для разработки на Python. Эта IDE построена на основе IDEA и PyCharm Community и содержит встроенный AI-ассистент GigaCode для вайб-кодинга. 🙂
🖥 Установка и запуск как в PyCharm. Интерфейс, видимо, как в IntelliJ IDEA (я не джавист, не пользовался). 🤷♂️ Не прямо 1 в 1, как в PyCharm, но очень похоже. Я быстро освоился. 👍
🤖 Чтобы заработал GigaCode, нужно нажать внизу экрана на Account и залогиниться на сайте. Я зашёл по Сбер ID, который использую для доступа к GigaChat, Zvuk и Okko. После этого токен автоматически прописывается в IDE и всё начинает работать: код в чатике по запросу генерится, умные дополнения предлагаются. ✨ И физикам это (пока?) бесплатно. 😇
Для тестов игрался со сравнением листов MAPP компаний по данным из Internet Archive. Чтобы понимать, когда какие компании добавляли и исключали. 😉
В общем, вполне доволен, буду пользоваться. Надеюсь, что продукт будет развиваться. 🙏 Хотя отсутствие сборок в 2025 году тревожит. 🙄
@avleonovrus #GigaIDE #GigaCode #Sber
Детектировать нужно все уязвимости! Частенько натыкаюсь на мнение, что основательный подход к построению VM процесса, например по БОСПУУ, приведёт к тому, что продетектированных в организации уязвимостей будет слишком много, "IT с такими объёмами не справится". А раз так, то не стоит и начинать. 🫠
Мой ответ на это:
🔻 Прежде всего следует поставить вопрос, почему устранять уязвимости (~обновлять системы) является настолько мучительной задачей для IT. Скорее всего, это свидетельство архитектурных проблем, препятствующих внедрению базовых процессов кибергигиены. Невозможность устранять уязвимости - только следствие. 🌝
🔻 Выявлять нужно все уязвимости, но устранять их следует приоритизированно. В первую очередь следует устранять уязвимости, эксплуатация которых наиболее проста и выгодна злоумышленникам. А как это понять? Для этого, по-хорошему, необходимо формировать потенциальные пути атак (attack paths), производить их оценку и приоритизацию. И для этого есть решения. 😉
@avleonovrus #VMprocess #Detection
Для MAX вышел официальный клиент под Linux. 👍 Доступен в виде deb пакета и AppImage.
Как и предполагалось, пока это не нативное Linux-приложение, а PWA-шка. 😔🙄🙂 Поэтому выглядит ровно как веб-версия, но в отдельном окошке. В списке сессий отображается как "Max WEB". Работает шустро. Но функционально этот Linux/Web-клиент несколько ограничен: например, некоторые старые сообщения я смог удалить только в Android-приложении. 🤷♂️
🔐 На днях разработчики MAX-а дали комментарии КиберСачку по поводу "неприватности". Я уже высказывался месяц назад, что это чушь и дешёвые вбросы. Нагоняют жути ради хайпа и копеечки. MAX ничем в плане разрешений не отличается от других мессенджеров:
"Мессенджер запрашивает не больше, чем любые другие. Цифры показывают наглядно: WhatsApp просит 85 разрешений, Telegram — 71, а MAX — 63".
А то, что код обфусцирован, так никто облегчать жизнь ресёрчерам не обещал. Особенно тем, у кого умыслы злые. 😈 Eсли есть чего, несите на Bug Bounty. 😉
@avleonovrus #MAXmessenger #Privacy #Linux
Ну надо же, оказывается, EPSS это так себе оракул. Кто бы мог подумать. 😏
"Термин «прогнозирование» — один из самых обманчивых в кибербезопасности. 🔮
Возьмём в качестве примера недавнюю уязвимость Microsoft SharePoint. Я составил график оценки EPSS (системы прогнозирования эксплойтов) с момента её обнаружения. Несмотря на то, что уязвимость широко эксплуатировалась сразу после её обнаружения: более 20 независимых источников публично подтвердили её использование, и теперь доступно более 30 публичных эксплойтов, оценка EPSS выросла только после того, как появились неопровержимые доказательства.
Подобных примеров бесчисленное множество, и важно понимать, что, хотя EPSS может быть полезным сигналом, в основном она является лишь косвенным индикатором эксплойтов/эксплуатации."
@avleonovlive
Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV. На это можно возразить: ну допустим, сроки устранения будут определены, как сделать так, чтобы в эти сроки укладывались? 🤔
Американцы решили эту проблему для инфраструктуры федеральных агентств с помощью системы, описанной в директиве CISA BOD 23-01. Я разбирал её года 1,5 назад. Она предусматривает
🔹 еженедельное обнаружение активов в инфраструктуре;
🔹 циклические двухнедельные сканы активов на уязвимости;
🔹 оперативную передачу информации об активах, уязвимостях и процессе сканирования регулятору.
Это позволяет регулятору отслеживать актуальное состояние инфраструктуры органа/организации и оперативно проводить необходимые стимуляции. 🥕
Имхо, перенимать можно практически 1 в 1. 😉
@avleonovrus #ГМИ #PИЭУ #CISAKEV #КИИ
Проект "национальный мессенджер MAX" - образцовый пример эффективного решения IT-задач в масштабах государства. Если посмотреть в некоторой ретроспективе:
🖥️ Без волокиты был выбран частный подрядчик, который в кратчайшие сроки смог реализовать функциональный продукт под огромную нагрузку.
⚖️ В кратчайшие сроки была создана и принята адекватная законодательная база для интеграции мессенджера с госсистемами.
📯 Запустили супер-вирусную нарочито топорную рекламу "ловит на парковке". Все тогда офигели (и я тоже) от выбора рекламного сообщения, ведь голосовая связь и у западных конкурентов норм. 🤔
🚧 Через месяц под благовидным предлогом очень эффективно и одномоментно понизили качество голосовой связи у западных конкурентов до полной неюзабельности. Тадааам! Пазл рекламного сообщения MAX-а сложился. 😇 Бесплатные звонки теперь только в российских мессенджерах. 😉
Поразительный уровень продуманности и координации между различными компаниями, госорганами и ведомствами! Браво! 👏
@avleonovrus #MAXmessenger
R-Vision тоже стали выпускать ежемесячные дайджесты трендовых уязвимостей. И да, они тоже используют словосочетание "трендовые уязвимости", как и Positive Technologies. Хотя мы, видимо, понимаем под этим несколько разные вещи и здесь стоило бы сверить определения. 😉 Дайджесты R-Vision называются не "В тренде VM", а "В фокусе RVD" (R-Vision Vulnerability Database). 🙂
Имхо, чем больше VM-вендоров будут выпускать материалы по критичным уязвимостям, на которые стоит обращать внимание, тем лучше. 👍 Пользователи смогут смотреть разные дайджесты и задаваться вопросом, почему у одного вендора одни уязвимости в дайджест попали, а у другого вендора не попали. Вендоры тоже могут делать свои выводы. Ну и в целом экспертиза будет расти, awareness усиливаться, и, будем надеяться, что ситуация с уязвимостями в российских организациях будет улучшаться от этого. Win-win-win! 😉
@avleonovrus #RVision #ВфокусеRVD #PositiveTechnologies #втрендеVM #TrendVulns
Августовский "В тренде VM": уязвимости в Microsoft Windows и SharePoint. Традиционная ежемесячная подборка. В этот раз экстремально короткая.
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего две трендовые уязвимости:
🔻 Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770). Уязвимость массово эксплуатируется, возможно злоумышленники могли добраться даже до американских ядерных секретов. Уязвимость актуальна и для России.
🔻 Elevation of Privilege - Windows Update Service (CVE-2025-48799). Уязвимость затрагивает версии Windows 10/11 с как минимум двумя жёсткими дисками.
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #SharePoint #EyeSecurity #ToolShell #CyberOK #BiZone #wuauserv #StorageSense
Коллеги из Inseca перезапускают курс по Управлению Уязвимостями. Старт 23 августа. Я тестировал этот курс в конце 2023 года, впечатления были весьма приятные. 🙂 Добротный практический курс для "вкатывания" в VM: "проводят за ручку" по всем основным шагам. 👍
Со времени моего прохождения курс значительно расширили и улучшили (в том числе и по моим рекомендациям 😇):
🔹 Процессы. Добавили урок по приоритизации устранения уязвимостей с учётом контекста инфраструктуры организации и риск ориентированным подходом, а также практическую работу "Приоритизация и построение плана устранения уязвимостей [...] в типовой организации". Про подходы и инструменты приоритизации расскажет сам Александр Редчиц! 🔥👍
🔹 Продукты. Добавили урок по работе с Faraday. Для работы с Vulners.com будет доступна Ed-лицензия.
🔹 Практика. Добавили задание по поиску поддоменов, анализу DVWA и эксплуатации EoP в Windows (CVE-2017-0213).
@avleonovrus #Inseca #Education #VMprocess #FaradaySec #DVWA #Vulristics #Windows #Vulners
Нужно ли в России выделить Кибервойска в отдельный род войск? Решать это, конечно, должны военные специалисты. Но я бы такой шаг приветствовал. И дело тут не в самой оргструктуре и не в отстройке от США, а в практических возможностях для страны и для людей:
🔹 Было бы здорово, чтобы молодые люди могли получать навыки практической кибербезопасности (и offensive, и defensive) в ходе своей срочной службы. И чтобы отбор в такие кибер-части вёлся не по физической подготовке (которая у скилловых ребят, как правило, не очень 🙂), а прежде всего по профильным знаниям и способностям. Тут за образец можно взять подразделение 8200 ЦАХАЛ.
🔹 Было бы здорово, чтобы на военных кафедрах ВУЗов студентам ИБ-шникам преподавали только профильную ВУС и отправляли на сборы в соответствующие части.
Что наблюдаю сейчас:
🔻 Научные роты. Понятие гораздо более широкое, но они могут стать базой для Кибервойск.
🔻 Войска информационных операций. В паблике минимум инфы, и, вероятно, так сейчас и надо. 🤫
@avleonovrus #КибервойскаРФ
Про уязвимость Elevation of Privilege - Windows Update Service (CVE-2025-48799). Уязвимость из июльского Microsoft Patch Tuesday. Неправильное разрешение ссылок перед доступом к файлу ('link following') в Windows Update Service позволяет авторизованному атакующему повысить привилегии до "NT AUTHORITY\SYSTEM".
🛠 Эксплойт для уязвимости был опубликован исследователем Filip Dragović (Wh04m1001) 8 июля, в день MSPT. В описании эксплоита он сообщает, что уязвимость затрагивает версии Windows 10/11 с как минимум двумя жёсткими дисками. Если место установки новых приложений изменено на вторичный диск (с помощью Storage Sense), то при установке нового приложения служба wuauserv будет произвольно удалять папки без проверки на символические ссылки, что приводит к LPE.
🎞 В демонстрационном видео Filip Dragović запускает exe файл эксплоита и получает консоль администратора.
👾 Признаков эксплуатации в реальных атаках пока нет.
@avleonovrus #Microsoft #Windows #wuauserv #StorageSense
Автономные AI-агенты - будущее Vulnerability Management-а. В прошлом году у меня был пост про то, как мог бы выглядеть полезный AI для VM-а. Идея на поверхности. После того как VM-решения развились в достаточной мере, что с их помощью действительно стало возможным выполнять детектирование, приоритизацию, заведение и отслеживание задач на устранение уязвимостей (а иногда и само устранение уязвимостей), у клиента возникает запрос:
"Я столько всего МОГУ делать, но что мне СЛЕДУЕТ делать здесь и сейчас для того, чтобы обеспечить наилучшую безопасность организации? Дайте совет! А ещё лучше, проведите работы, по возможности, за меня. 😏"
Можно возразить, что автономные агенты, если дать им волю, порушат инфраструктуру организации. Так же, как и бездумное использование автопатчинга. Но в этом и состоит задача VM-вендора - реализовать защитные меры таким образом, чтобы нивелировать возможные риски.
📅 Посмотрим, как автономные AI-агенты будут работать у Qualys. 😉
@avleonovrus #Qualys #AgentAI #VMGPT #AI
R-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного портала.
📰 В "Релизах базы уязвимостей" описываются обновления базы уязвимостей с 1 июля 2024 года (выходят 2 раза в месяц). Для уязвимостей, детектируемых в pentest-режиме, приводятся CVE-идентификаторы.
👁 Текущее состояние базы детектов уязвимостей (мисконфигураций) в ОС, стороннем ПО, СУБД и сетевом оборудовании отображается в контексте профилей сканирования:
🔸 Поиск уязвимостей. Параметры: Наименование, Версия, Рекомендации [по устранению уязвимостей], EoL [поддерживается ли версия продукта вендором], Комментарии [об ограничениях детектирования].
🔸 Тестирование на проникновение. Параметры: Наименование, Обнаружение продукта, Поиск уязвимостей по версии, Сбор дополнительной информации, Подбор учётных данных, Эксплуатационное тестирование.
🔸 Проверка стандартов. Параметры: Наименование и Версия.
Здорово, что эта информация теперь в паблике! 👍👏🙂
@avleonovrus #RVision #RVisionVM #detection #VDDBinfo
"Сегодня мы опубликовали отчёт VulnCheck за первое полугодие 2025 года, в котором мы более подробно рассмотрим атрибуцию источников угроз и страны, с которыми они связаны. Хотя часто ведутся споры о том, какие государства представляют наибольшую киберугрозу, наш последний анализ даёт ценную информацию о том, какие субъекты могут спонсировать масштабные киберугрозы.
Обычные подозреваемые 🇨🇳 🇷🇺 🇰🇵 🇮🇷 продолжают доминировать в рейтингах! 👋"
Западные ИБ-шники никогда не будут замечать (про)западные nation-sponsored (или просто government) группировки и продолжат необоснованно обвинять геополитических противников во всех грехах. 🤷♂️ И это вполне ожидаемое поведение с их стороны.
А вот неадекватно ведут себя некоторые представители российского ИБ-комьюнити, продолжающие в 2025 году транслировать нарративы про "мир-дружба-жвачка". 🤦♂️ Заокеанские ребята, несмотря на то что они занимаются +- теми же вещами, что и мы, нам не бро, они наши противники. Нам не нужно им ни в чём помогать.
@avleonovlive