9379
Анализ защищённости, безопасное конфигурирование ИТ-систем, автоматизация связанных процессов ИБ и другие интересные штуки. Пишите в личку: @leonov_av
Не пора ли создать российский аналог CISA KEV? Я, конечно, не в курсе технических подробностей недавних инцидентов в крупных отечественных компаниях, но что-то подсказывает, что без эксплуатации известных критичных уязвимостей, незапатченных своевременно, там не обошлось.
Можно, конечно, говорить, что пострадавшие организации сами виноваты. Им дали базу уязвимостей, методику оценки критичности уязвимостей, руководство по построению VM-процесса. Могли бы делать, как написано, и эксплуатабельные уязвимости устранялись бы. Или, как минимум, могли бы обращать внимание на трендовые уязвимости от PT. Но, похоже, организации не тянут это без директивной стимуляции. 🤷♂️
Как CISA ставит федеральным агентствам США чёткие дедлайны по устранению конкретных особо критичных уязвимостей, эксплуатация которых была подтверждена, так и наши регуляторы могли бы ставить аналогичные дедлайны. Хотя бы для организаций, на которые распространяется 117-й приказ и для КИИ.
@avleonovrus #PИЭУ #CISAKEV #КИИ
На Хабре вышел мой отчёт по трендовым уязвимостям первой половины 2025 года. С начала 2025 года до 30 июня мы отнесли к трендовым 37 уязвимостей. А за весь 2024 год - 74 уязвимости. Похоже, что в этом году к трендовым будет отнесено примерно столько же уязвимостей, что и в прошлом году. 🤔 А судя по затишью в прошлом и этом месяце, может, и поменьше.
🔻 Для 30 уязвимостей есть зафиксированные признаки эксплуатации в атаках, для 7 - публичные эксплоиты (но пока нет признаков эксплуатации).
🔻 По типам уязвимостей большая часть - это выполнение произвольного кода (15), и повышение привилегий (13).
🔻 22 трендовые уязвимости касаются продуктов Microsoft (59 %). Остальные вендоры: 7-Zip, MDaemon, Zimbra, CommuniGate, Roundcube, Erlang, Fortinet, Palo Alto Networks, Apache, Kubernetes, VMware.
🗒 Полный отчёт Vulristics
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Windows #7Zip #MDaemon #Zimbra #CommuniGate #Roundcube #Erlang #ErlangOTP #Fortinet #PaloAlto #Apache #Kubernetes #VMware
Сколько тратить на ИБ? После каждого громкого ИБ-инцидента - будь то прекращение работы сети вино-водочных магазинов или остановка авиарейсов - общественность вопрошает: кто виноват и что делать?
Как по мне, ответы очевидны:
🔹 Виноват всегда гендир. Такая у него должность. 🙂
🔹 Компаниям следует начать тратить на ИБ ГОРАЗДО БОЛЬШЕ денег, чем раньше. 💰 В первую очередь на кибергигиену (включая VM), Zero Trust и резервные "бумажные" процессы работы на случай, когда (а не если) вся IT ляжет.
И сколько же тратить? Однажды о. Дмитрий Смирнов на вопрос телезрительницы "какую часть зарплаты нужно жертвовать на храм" в эпатажной манере ответил, что "всю зарплату". 🤯😱🤔 А уже потом перешёл к "доброхотности даяния". Мне кажется, метод стоит перенять и начинать с тезиса, что организации должны тратить на ИБ все имеющиеся средства (и будет мало!). А уж затем оценивать стоимость недопустимых событий и простоя...
В любом случае, на ИБ следует тратить не меньше, чем на IT. 😉
@avleonovrus #budgeting #incidents
Отключил реакции в своих каналах и другим авторам советую. 😉 Давным-давно Павел Дуров презентовал технические ограничения Телеграм-каналов как специально задуманную фичу:
Каналы - это чистая односторонняя коммуникация!
Никакого ненужного шума от лайков и комментов. Только вы, ваши сообщения и читатели, которые на вас подписаны... 😇
Но потом появились и реакции, и комментарии, и даже сторисы... 🙄
Теперь сообщения практически во всех каналах обрамлены "облаком общественного одобрения и неодобрения", которое стало частью сообщения.
🔹 Читатели подспудно соотносят своё восприятие сообщения с чужими реакциями.
🔹 Для автора реакции становятся источником дешёвого дофамина ("Ура, ИМ понравилось! 🤩 Я молодец! Нужно ещё похожего написать, чтобы ещё полайкали! 😊") или расстройств, когда минусуют.
И всё это от пары десятков анонимных кликов по эмоджи! Которые элементарно накручиваются. Ну, бред же! Бреед! 🤪
Теперь с обратной связью прошу в комменты live-канала или личку. 😉
@avleonovrus #Telegram #reactions
Иногда общение стоит минимизировать. Главная проблема в работе с уязвимостями - это НЕ сами уязвимости. Это необходимость постоянно общаться с людьми, которые этого общения не хотят и которым ты не нравишься. Это актуально и при пушинге устранения уязвимостей в инфраструктуре, и при сдаче-приёмке уязвимостей, найденных в ходе багбаунти.
Поэтому я сторонник того, чтобы неприятное общение максимально сокращать и формализовывать. Игры в "докажи-покажи" отнимают массу сил и времени, а когда общение неизбежно заходит в тупик, обе стороны всё равно начинают действовать формально. 🤷♂️ Так почему бы не поступать так с самого начала? 😏
➡️ В качестве примера рекомендую ознакомиться с эпичной историей, как Игорь Агиевич сдавал уязвимость в блокчейне Hyperledger Fabric (CVE-2024-45244). Имхо, вместо общения в такой ситуации было бы достаточно скинуть вендору ресёрч и PoC, выждать 3 месяца, зарегать CVE и, без особых рефлексией, сделать full disclosure. 🤷♂️😈
@avleonovrus #VMprocess #bugbounty #disclosure
Нетрадиционное использование комплаенс-сканирования. Как правило, комплаенс-сканирование в организации преследует две цели:
🔹 Удостовериться, что настройки сетевых хостов удовлетворяют регуляторным требованиям.
🔹 Проверить хосты на соответствие требованиям практической безопасности (харденинга), чтобы максимально усложнить эксплуатацию уязвимостей на этих хостах.
Иногда эти цели совпадают, иногда не особо. 😉 Но есть и третья цель:
🔻 Удостовериться, что настройки хостов позволяют средствам защиты информации работать адекватно.
В качестве примера можно привести статью моего коллеги по PT ESC, Романа Чернова, о настройке аудита на Linux-хостах таким образом, чтобы данных было достаточно для надёжного детектирования инцидентов SIEM-ом.
Как можно видеть на схеме, отслеживать корректность настроек логирования в Linux не так-то просто. 😱 Но эту задачу можно решать автоматизированно с помощью комплаенс-сканов MaxPatrol HCC. 😉
@avleonovrus #PositiveTechnologies #MaxPatrolVM #HCC
Интригующие статьи про CVSS от Kaspersky. Ссылки на вполне годные статьи на днях опубликовали в канале Kaspersky B2B:
🔹 В первой рассматривают историю развития стандарта и общие принципы оценки уязвимостей с помощью CVSS.
🔹 Во второй описывают основные проблемы при работе с CVSS. Проблемы сводятся к тому, что CVSS - это субъективная оценка критичности самой уязвимости, а не оценка риска эксплуатации этой уязвимости в инфраструктуре. Нельзя по одному CVSS сделать вывод, какую уязвимость следует устранять в первую очередь. Уязвимость со средним CVSS, но на критичных хостах, вполне может привести к компрометации всей инфраструктуры организации.
А где интрига? В том, что решение проблем CVSS они видят в продуктах типа RBVM ("Risk-Based" VM). Ещё одна аббревиатура. 😉 Такого продукта в портфеле Kaspersky сейчас нет, но ходили слухи, что они над ним активно работают. Похоже на маркетинговый "прогрев" перед скорым релизом. 🤔
Лично я уже прогрелся и с нетерпением жду. 🙂🔥
@avleonovrus #Kaspersky #CVSS #RBVM
Посмотрел отчёт "The Forrester Wave: Unified Vulnerability Management Solutions, Q3 2025". Только я поиронизировал сегодня, что для VM-а существует множество странных синонимов, как вот вам ещё один: "Unified" VM от Forrester. 🙃
🔹 UVM-решения должны "консолидировать детектирование уязвимостей и устранение уязвимостей". Но сами детектировать уязвимости не обязаны, могут использовать third-party источники.
🔹 Наибольший вес в сравнении Forrester отдают Vision, Innovation и Roadmap. 😅 А качество детектирования практически никак не учитывается. 🤷♂️
🔹 В лидерах вендоры, которые, судя по описанию, не имеют своих детектов: Armis и ServiceNow. 😏 Ну и ещё Tenable.
🔹 Для каждого из 10 вендоров приводятся описание, стратегия, возможности, фидбэк от пользователей и мнение Forrester. Полезность так себе, но почитать можно.
➡️ Репринт на сайте Tenable (в анкету можно вводить мусор)
@avleonovrus #Forrester #UVM #Armis #ServiceNow #Tenable #Rapid7 #Qualys #Nucleus #Microsoft #CrowdStrike #Brinqa #Balbix
Забавная вакансия SOC-овода и VM-щика в одном лице от Медиа Бизнес Солюшенс. Это сервисная компания, которая оказывает услуги бэк-офиса для активов Национальной Медиа Группы.
🔹 Так-то понятно, что здесь произошло. Сотрудник, которому поручили составить и выложить вакансию на сайт, не в теме. Как ему послышалось, так он и выложил. Не вычитав итоговый текст с техническим специалистом или CISO. 🙂
🔹 А с другой стороны, сейчас так много аббревиатур (CTEM, VMDR, VOC, ASM), обозначающих то же самое Управление Уязвимостями, но с некоторыми акцентами и нюансами, что начинаешь подозревать: это ошибка или какое-то новомодное название, которое тебе раньше не попадалось? 🤔 "Vulnerability Information and Event Management"? Или "Vulnerability Intelligence and Exposure Management"? Или ещё какая-нибудь комбинация. 😏 С консалтеров типа Gartner, IDC и Forrester станется придумать ещё одну "нишу". Красиво же: SOC и VOC, в которых используется SIEM и VIEM. 😅
@avleonovrus #VIEM #fun #МБС #vacancy
Про уязвимость Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770). SharePoint - это веб-приложение от Microsoft, предназначенное для развертывания корпоративных интранет-порталов, управления документами и совместной работы. Ошибка в механизме десериализации в развёрнутом on-premises SharePoint Server позволяет удалённому неаутентифицированному злоумышленнику выполнить произвольный код.
👾 18 июля эксперты компании Eye Security сообщили о массовой эксплуатации этой уязвимости совместно с уязвимостью спуфинга CVE-2025-53771. Уязвимости CVE-2025-53770 и CVE-2025-53771 - эволюция уязвимостей CVE-2025-49704 и CVE-2025-49706 из июльского MSPT.
🔻 На следующий день, 19 июля, Microsoft выпустили обновления для SharePoint Server 2016, 2019 и SharePoint Subscription Edition. Также MS рекомендовали настроить интеграцию с Antimalware Scan Interface.
🔨 Публичные эксплоиты доступны на GitHub с 21 июля.
@avleonovrus #SharePoint #Microsoft #EyeSecurity #ToolShell
Снова в ТОПе телеграм-каналов Сачка. 🎉 Приятненько. 🙂 Спасибо коллегам, проголосовавшим за канал! 🤝
@avleonovlive
Обновлённая методика оценки критичности уязвимостей ФСТЭК от 30.06.2025. Документ выложили вчера. Большая новость для всех VM-щиков России. Думаю мы будем ещё долго обсуждать тонкости новой версии методики. 🙂 Но начнём с главного - кардинального снижения зависимости от CVSS! 🎉👏
🔹 Больше не требуется использовать временную и контекстную метрику CVSS. 👋 Для расчёта потребуется только CVSS Base score, который можно брать из NVD/Mitre, от вендора или ресёрчера.
🔹 Бесполезного перехода на CVSS v4 не случилось. 👍🔥 Закреплена версия CVSS 3.1. Но в случае отсутствия оценки по 3.1 допускается использовать другую версию CVSS.
Фактически реализовано то, что я предлагал в ОСОКА: фиксируем базовые метрики CVSS v3(.1), а вместо временных и контекстных метрик CVSS вводим свои простые и автоматизируемые. 😉
Новые компоненты:
🔻 Iat - наличие эксплоитов и фактов эксплуатации вживую
🔻 Iimp - "последствия эксплуатации" (= тип уязвимости)
Я очень доволен. 😇
@avleonovrus #ФСТЭК #FSTEC #CVSS #МОК3006
Давайте уже обратим на это внимание. Наблюдаю очередной "вой на болотах" по поводу официального признания MAX-а национальным мессенджером. Как по мне, это изначально были синонимы и какой-то новости в этом нет.
Интересно другое: как мы докатились до того, что буквально ЛЮБАЯ инициатива, исходящая от государства, принимается в штыки большинством "говорящих голов" из российской IT/ИБ-тусовочки, подвергается осмеянию и неадекватной критике? Вплоть до прямых призывов саботировать государственные инициативы. И их мнению практически нет альтернативы в публичном пространстве. 😑 Этот непрерывный поток негатива - серьёзная проблема российского IT/ИБ.
Без здорового IT-лоялизма, без конструктивной позиции по отношению к государственным инициативам, без желания служить (!) и помогать, избавление от западного бигтеха у нас не случится. 🤷♂️
А ведь сильная Россия с суверенной IT/ИБ индустрией - эта наша общая цель. Так ведь? Или у кого-то цели иные? 😏
@avleonovrus #dewesternization #ITloyalism #MAXmessenger
Уязвимости подрядчиков - это ваши уязвимости. Есть масса публичных кейсов, когда подрядчика ломали и получали доступ к данным компаний-клиентов. А то и доступ непосредственно в их инфраструктуры! И что с этим делать? 🤔
Даже только по VM-ной части. Вы, как минимум теоретически, можете выстроить В СВОЕЙ КОМПАНИИ красивый и эффективный VM-процесс для 100% инфраструктуры. Но вы же не будете сами выстраивать VM-процесс у всех ваших подрядчиков? 🙂
Получается гарантировать безопасность подрядчиков следует как-то иначе: через выставление требований по ИБ к подрядчикам и контроль их выполнения (анкетирование, контроль периметра, внутренний аудит и т.п.).
🎞 У Алексея Лукацкого недавно был хороший вебинар про безопасность подрядчиков. Там ещё в раздатке были категории подрядчиков для компаний из разных отраслей: банки, IT-компании, ритейл, сельхоз, нефтянка. 👍
➡️ А завтра в 12:00 (МСК) об этом будут говорить в Код ИБ "Безопасная Среда". Собираюсь посмотреть. 👀
@avleonovrus #Contractor #PositiveTechnologies #CodeIB
Централизация репортинга уязвимостей. Раз уж последний пост на эту тему набрал много реакции (хоть и отрицательных 😅) и даже породил дискуссию, я расписал как бы мог работать гипотетический государственный регулятор "Инициатива Нулевого Дня" ("ИНД"; отсылка к ZDI 🙂), контролирующий репортинг уязвимостей в продуктах вендоров из недружественных стран.
Исследователь, обнаруживший уязвимость в продукте вендора из недружественной страны, передаёт результаты ресёрча в ИНД. Эксперты ИНД проводят анализ и выносят решение:
🔹 Если уязвимость представляет интерес с точки зрения национальной безопасности, исследователь подписывает соглашение о неразглашении и ему выплачивается вознаграждение от ИНД. Вендор не уведомляется. Также как NSA годами использовали EternalBlue и не сообщали MS. 😉
🔹 Если уязвимость не представляет интереса, ИНД либо сообщает о ней вендору, либо даёт разрешение исследователю сообщить вендору самостоятельно. Уязвимость заводится в БДУ.
@avleonovrus #dewesternization #research #ИНД #BDU #FSTEC
На сайте Positive Technologies вышла новость о внедрении MaxPatrol VM на предприятии и "Уральская сталь" (Оренбургская область). Работы проводил системный интегратор Wone IT. Крутой у них нейминг, yep. 🔥😅
В новости самое интересное - это описание этапов внедрения VM-продукта:
🔹 Инсталляция MPVM, конфигурация компонентов, первоначальная настройка, разработка типовых документов и технического задания.
🔹 Аудит и категоризация имеющихся IT-активов. "Создана база данных и автоматизирован импорт информации из различных ресурсов, включая внешние каталоги и другие ИБ-решения".
🔹 Редактирование встроенных правил и политик управления выявленными уязвимостями, фильтрация незащищённых активов, разработка пользовательских виджитов и дашбордов.
🔹 Разработка документации с пояснениями, регламентами и руководствами для администраторов и операторов системы.
🔹 Опытно-тестовая эксплуатация.
@avleonovrus #PositiveTechnologies #УральскаяСталь #WoneIT
Про уравнивание бюджетов IT и ИБ. В ответ на мой вчерашний пост прилетел комментарий, что уравнивать бюджеты IT и ИБ - это как ежегодно страховать автомобиль за его полную стоимость - не имеет смысла. В чём проблема такой аналогии?
Автомобиль обладает ценностью сам по себе, которую "защищают" страхованием. Но, защищая IT-активы, мы имеем в виду НЕ сами железные сервера или виртуалки. Сам сервер и его настройка "чтоб работало" имеет небольшую ценность. Основная же ценность - это информация, которая на нём хранится и обрабатывается. А обеспечивать её безопасность (конфиденциальность, целостность и доступность 😉) требуется от всего спектра угроз.
Автомобиль, перевозящий что-то супердорогое (бриллианты?), запросто может страховаться дороже своей стоимости. И не каждый страховщик компенсирует ущерб с учётом содержимого при таргетированной атаке. 😉
Безопасность - это дорого! Если ИБ хронически недофинансируется даже по сравнению с IT, последствия будут... Сами видите, какие. 🤷♂️
@avleonovrus #budgeting #cars
Июльский Linux Patch Wednesday. В этот раз 470 уязвимостей, чуть меньше, чем в июне. Из них 291 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):
🔻 SFB - Chromium (CVE-2025-6554)
Ещё для 36 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Из них можно выделить:
🔸 RCE - Redis (CVE-2025-32023), pgAdmin (CVE-2024-3116), Git (CVE-2025-48384)
🔸 EoP - Sudo (CVE-2025-32462, CVE-2025-32463)
🔸 PathTrav - Tar (CVE-2025-45582)
🔸 XSS - jQuery (CVE-2012-6708)
🔸 SFB - PHP (CVE-2025-1220)
🔸 DoS - LuaJIT (CVE-2024-25177), Linux Kernel (CVE-2025-38089)
🔸 MemCor - DjVuLibre (CVE-2025-53367)
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Chromium #CISAKEV #Redis #pgAdmin #Git #Sudo #jQuery #PHP #LuaJIT #LinuxKernel #DjVuLibre #Tar
Вы точно знаете своих удалёнщиков? Как хитрые товарищи из одной изолированной страны зарабатывают сотни млн. $ и усиливают кибероперации, используя западную расслабленность и любовь к удалённой работе? 💸😏
🔹 Они натаскивают своих ІТ-шников.
🔹 Перевозят их в нейтральные страны с быстрым интернетом.
🔹 Трудоустраивают в западные компании, преимущественно в американские.
🔹 ІТ-шники (тысячи их!) усердно работают работу, перечисляя большую часть своих западных зарплат в пользу Родины. Параллельно сливают данные и дают доступ к инфраструктуре работодателей. Двойной профит! 🤑
А требования в вакансиях к наличию гражданства и работе только из США? 🥸 Легко обходятся! 😏 На днях американку приговорили к 8,5 годам за поддержание фермы из 90 ноутбуков для имитации работы из США.
Бороться с этим возможно только отменой удалёнки и значительным усилением background checks. Но компании вряд ли на это пойдут. И не стоит забывать про проблему многочисленных подрядчиков. 😉
@avleonovrus #recruting #insiders #thoseamericans
Не может быть, оказывается MAX не pivacy-driven messenger! 😱😆 Раньше про MAX набрасывали, что он небезопасный. После объявления багбаунти перестали. 🙂🤷♂️ Теперь разгоняют, что MAX "неприватный". Для пруфов ковыряют Android-клиент и скринят текст EULA. 😏
Моё мнение такое:
🔹 Собирает ли MAX информацию о пользователях? Безусловно. Как и любое приложение "фонарик" на вашем устройстве. Зачем? В основном, чтобы показывать вам релевантную рекламу в сервисах VK. По сравнению с тем, что собирают операционные системы и веб-браузеры это крохи и ни о чём.
🔹 Сообщит ли MAX о ваших тёмных делишках в правоохранительные органы? 🌚 Если от этих органов придёт запрос, то сообщит. Как и любой другой мессенджер и веб-сервис. 🤷♂️
🔹 Мог бы MAX быть privacy-driven? Как условный Signal? Или An0m? 😉 В принципе да. Но задача создать инструмент, которым могли бы безбоязненно пользоваться всякого рода злодеи и не ставилась. 😏 Наоборот, злодеям в нём должно быть МАКСимально некомфортно. 😈
@avleonovrus #MAXmessenger #Privacy
Кибероружие следует сдавать государству. Продолжу накидывать аргументы за централизацию репортинга уязвимостей через государственного регулятора. Давайте проведём аналогию между уязвимостями и оружием. Идея не нова, термин "cyberweapon" употребляется десятки лет.
Если человек идёт по дороге и видит, допустим, пистолет, что он вправе с ним легально сделать? Может ли он его использовать по своему усмотрению? Может ли он его продать? Может ли он его вывезти за пределы страны?
Ну ведь, нет же, правда? 🙂 Единственное, что он вправе сделать - это сообщить о нём в полицию или отнести его в полицию самостоятельно. Т.е. передать государственной службе, которая примет решение, что да, это действительно оружие, и распорядится им правильным образом.
Тогда почему сейчас считается нормальным передавать уязвимости ("кибероружие") разработчикам ПО из недружественных стран? Вместо использования этой важной информации во благо нашей страны? Как по мне, это следует изменить.
@avleonovrus #dewesternization #research #ИНД
Эксплуатация ToolShell (CVE-2025-53770) на серверах NNSA. Пока самая интересная жертва атак с эксплуатацией трендовой уязвимости SharePoint - Национальное управление по ядерной безопасности США (National Nuclear Security Administration, NNSA). Пресс-секретарь Министерства энергетики США (Department of Energy, DOE), в которое входит NNSA, заявил следующее:
"В пятницу, 18 июля, эксплуатация уязвимости нулевого дня Microsoft SharePoint начала затрагивать Министерство энергетики, включая NNSA. [...] Пострадало очень небольшое количество систем. Все затронутые системы DOE восстанавливаются. NNSA принимает необходимые меры для снижения риска и перехода на другие решения по мере необходимости."
NNSA управляет запасами ядерного оружия США, включая его тестирование и безопасную транспортировку, занимается ядерными силовыми установками, термоядерным синтезом и т.д.
Немерено секретной информации! И при этом SharePoint. 🤷♂️ И, видимо, где-то на периметре. 🤡🤦♂️
@avleonovrus #ToolShell #SharePoint #thoseamericans
У компании Алтэкс-Софт вышла новая версия сканера уязвимости RedCheck 2.11. Что там нового?
🔹 Мультитенантность. Теперь можно ограничивать доступ пользователей к хостам и задачам сканирования. Это важный шаг для реализации своего "облачного VM-а" (а-ля Qualys и TenableVM) или решения для MSSP. Хоть я и не уверен, что Алтэкс-Софт туда идут. 🙂
🔹 Возможность добавлять свои Lua-скрипты для пентест-проверок. Nmap-совместимые. 😉
🔹 Возможность добавлять свои YARA-правила. В первую очередь для детектирования малварей, но и возможности YARA этим не ограничиваются.
🔹 Новые сборки RedCheck теперь выходят только под Linux. Поддерживается установка на отечественные ОС и Debian.
🔹 Остальные фичи - это улучшение работы SCAP-движка, массовых операций, отчётов, расписаний, расширение контента (+ Alpine, >30 наименований 3rdParty Linux ПО, новые Docker-образы).
Видяшка по новым фичам пока не выходила. Ждём. 🙂
@avleonovrus #AltxSoft #RedCheck
Насколько уязвимость Remote Code Execution - Microsoft SharePoint Server "ToolShell" (CVE-2025-53770) актуальна для России? Похоже, что весьма актуальна. Хотя, казалось бы, спустя три года после начала известных событий и ухода Microsoft из России, можно было бы хотя бы корпоративные порталы заместить на что-то отечественное.
Но нет. Как сообщают коллеги из BiZone:
"По нашей оценке, этим уязвимостям подвержено до 10% российских enterprise-компаний [...]"
Более того, находятся уникумы, которые выставляют SharePoint в Интернет. Как сообщают коллеги из CyberOK:
"📡 СКИПА отслеживает ~1 800 экземпляров SharePoint в Рунете. По оценкам экспертов CyberOK, более 20% могут быть уязвимы для атак с использованием CVE‑2025‑53770."
Есть подозрение, что в компаниях, которые всё ещё не мигрировали с SharePoint, с обновлениями всё тоже обстоит не самым лучшим образом. Весьма вероятно, что некоторые из них подломят. Или уже подломили. 🤷♂️
@avleonovrus #SharePoint #Microsoft #ToolShell #CyberOK #BiZone #dewesternization
Июльский "В тренде VM": уязвимости в Microsoft Windows и Roundcube. Традиционная ежемесячная подборка. В этот раз очень короткая. 🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего три трендовые уязвимости:
🔻 Remote Code Execution - Internet Shortcut Files (CVE-2025-33053)
🔻 Elevation of Privilege - Windows SMB Client (CVE-2025-33073)
🔻 Remote Code Execution - Roundcube (CVE-2025-49113)
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #URLfile #CheckPoint #Microsoft #Windows #StealthFalcon #WebDAV #SMB #NTLMreflection #Kerberos #Synacktiv #RedTeamPentesting #Roundcube #FearsOff
Какие могут быть стимулы к централизованному репортингу уязвимостей в продуктах вендоров из недружественных стран через государственного регулятора?
🔻 Патриотизм. Противостояние в цифровой среде набирает обороты, и в нём есть свои и есть вражины. Американские бигтехи, отказавшиеся от обязательств в 2022 году, оказывающие поддержку враждебным государствам, распространяющие пасквили и являющиеся крупными подрядчиками DoD, нам явно НЕ СВОИ. Как и прочие "истинные финны". Зачем помогать противнику, если можно будет поднимать киберпотенциал своей страны?
🔻 Законность. Репортинг уязвимости "недружественному вендору" может подпадать под 275 УК РФ. Зачем "ходить под статьёй", если можно будет репортить уязвимости законно и безопасно?
🔻 Выгода. Компания, юрисдикция которой запрещает взаимодействие с физическими и юридическими лицами из России, вряд ли сможет нормально выплатить баунти. Так почему бы не получать выплату легально в России от заинтересованной стороны?
@avleonovrus #dewesternization #research #ИНД
Встречайте dbugs - портал по уязвимостям от Positive Technologies! 🎉 Этот проект демонстрирует, как в нашей компании происходит сбор и анализ данных по уязвимостям, в том числе и для определения трендовых уязвимостей.
Основные фишки:
🔹 Карточки уязвимостей со ссылками на источники (ссылки свои, а не из NVD и Mitre 😉!), возможность просматривать описание уязвимостей из разных источников (включая расширенное AI-ное описание от PT), автоматическое тегирование (наличие 👾 эксплоитов и фиксов, типы уязвимостей). Признака эксплуатации вживую пока нет, но обещают добавить. 🙏
🔹 AI Trends. Рейтинг уязвимостей по упоминаниям в микроблогах. Не путать с трендовыми уязвимостями, которые отображаются в MaxPatrol VM и о которых мы пишем в ежемесячных дайджестах.
🔹 Информация об исследователях и их рейтинг. Отталкиваясь от того, кто зарепортил уязвимость, можно прогнозировать реальную эксплуатабельность. Р - репутация. 🧐
И всё это доступно бесплатно! 🆓👍
@avleonovrus #PositiveTechnologies #DBugs #description #AI
Июльский Microsoft Patch Tuesday. Всего 152 уязвимостей, в два раза больше, чем в июне. Из них 15 уязвимостей были добавлены между июньским и июльским MSPT. Есть одна уязвимость с признаком эксплуатации вживую:
🔻 Memory Corruption - Chromium (CVE-2025-6554)
Для одной уязвимости есть эксплойт на GitHub:
🔸 EoP - Windows Update Service (CVE-2025-48799). Уязвимость эксплуатируется на Win11/Win10 хостах с двумя и более жёсткими дисками.
Из остальных можно выделить:
🔹 RCE - CDPService (CVE-2025-49724), KDC Proxy Service (CVE-2025-49735), SharePoint (CVE-2025-49704, CVE-2025-49701), Hyper-V DDA (CVE-2025-48822), MS Office (CVE-2025-49695), NEGOEX (CVE-2025-47981), MS SQL Server (CVE-2025-49717)
🔹 InfDisc - MS SQL Server (CVE-2025-49719)
🔹 EoP - MS VHD (CVE-2025-49689), TCP/IP Driver (CVE-2025-49686), Win32k (CVE-2025-49727, CVE-2025-49733, CVE-2025-49667), Graphics Component (CVE-2025-49732, CVE-2025-49744)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows
В национальном мессенджере MAX появились каналы! 🎉 Даже осени ждать не пришлось. Но создать свой канал пока не получится. Пока добавили только 50 каналов популярных блогеров и организаций. Полный список доступен на витрине. Вот, например, канал газеты Коммерсант.
Я посмотрел историю сообщений нескольких каналов, они были заведены во второй половине июня. Массового переноса старых сообщений из Telegram не делали (а жаль).
Выглядит пока, безусловно, страшнее, чем в телеграме. 🙂 Поле справа раза в два шире, что ужимает иллюстрации и вытягивает пост. Количество просмотров не показывается. Ссылки в постах работают нормально, но ссылки на хештеги не работают. Реакции есть. Обсуждений, ожидаемо, нет. Припиненных сообщений тоже нет.
Но это всё частности. Главное, что MAX-каналам быть! Будем ждать окончания тестирования и открытие общей регистрации каналов. 🙂
@avleonovrus #VK #MAXmessenger #Channels
Провели недельный отпуск в Санкт-Петербурге. В этот раз, стараниями жёнушки, программа получилась очень насыщенной: сходили на балет в Михайловский театр и в Мариинку, на оперный концерт в Капелле, посетили Эрмитаж, музей Фаберже, музей этнографии, Юсуповский, Шереметьевский и Строгановский дворцы, Михайловский замок, музей театрального искусства, музей-квартиру Пушкина и музей-квартиру актёров Самойловых. 🙂 Нагулялись по полной.
В части имперской красоты Питер, безусловно, не имеет равных. Периодически приезжать, чтобы приобщиться к нашему культурному наследию, очень здорово. 😍🔥
Но жить там постоянно я бы не хотел. 🙂 В основном, конечно, из-за погоды. Даже летом она там безумная: в течение одного дня то жарко, то холодно, то сдувает, то заливает. 🤯 А уж что творится осенью и зимой и подумать страшно. 🫣😅
В этот раз ездили на "Сапсане". 🚄 Супер-удобно. 👍 Расстояние совсем не ощущается, как будто в Тверь или Сергиев Посад доехал.
@avleonovrus #дыбр #offtopic #travel #spb