ZeroNights 2021

Выложили записи и слайды с Zero Nights 2021. Самое интересное для этого канала находится в секции Defensive Track.

- О метриках с практической точки зрения - доклад про метрики (в частности про те, что были приведены в HP MagicNumbers), а также немного про OWASP SAMM и ASVS.
- Побег из контейнера: Kubernetes - доклад, где название говорит само за себя от автора @k8security. Доклад начинается с вводной части о работе k8s, после чего приводятся способы побега из контейнера через capabilities, маунты и CVE (есть очень много полезных ссылок).
- CVEhound: проверка исходников Linux на известные CVE - доклад про проблемы инструментов SCA и поиск CVE в Linux с помощью CVEhound.
- DevSecOps на Open Source: бурление в стакане - про построение классического процесса на базе gosec, trufflehog, defectdojo, semgrep и т.д. Автор также поделился пайплайнами gitlab в public.
- Атаки на микросервисные приложения: методы и и практические советы - доклад про то, на что надо обращать внимание с точки зрения безопасности, когда речь заходит о микросервисах (как проверять безопасность аутентификации, авторизации, какими инструментами, где брать чеклисты).
- Лезем невидимой рукой аппсека в релизные сборки - доклад про поиск уязвимостей в мобилках и написание своей тулы CheckKarlMarx.

Все слайды можно найти здесь.

#talks #dev #ops

Не прошло и недели, как на теневых форумах появился мануал для мамкиных хацкеров по эксплуатации зеродея в Windows MSHTML, о котором мы писали ранее. Представители подпольного андеграунда активно делятся мануалом по эксплуатации CVE-2021-40444, что позволяет другим хакерам использовать новую уязвимость в своих собственных атаках.

Напоминаем, что в прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы. Microsoft на скорую руку предоставили меры по предотвращению ее эксплуатации. Эти меры защиты должны работать путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.

Однако, хакеры уже модифицировали эксплойт так, чтобы он не использовал ActiveX, эффективно обходя предложенные меры защиты от Microsoft. Ребята на самом деле выдающиеся, раз так быстро смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете собственно поэтому и начали делиться подробными руководствами и информацией на хакерских форумах.

Всплеск хакерской активности очевиден, так как для уязвимости CVE-2021-40444 до сих пор нет доступных обновлений безопасности, а предложенные корпорацией Microsoft меры уже не особо то эффективны.

Top 20 AWS services for Security

С вашей помощью получился следующий список AWS сервисов, который Security (специалистам по ИБ) обязательно нужно знать / стоит знать / можно рекомендовать для изучения (по убыванию важности):

1️⃣ IAM
2️⃣ CloudTrail
3️⃣ KMS
4️⃣ GuardDuty
5️⃣ Config
6️⃣ Security Hub
7️⃣ Organizations
8️⃣ SSO
9️⃣ CloudWatch
🔟 WAF (Web Application Firewall)
11. Secrets Manager
12. ACM (AWS Certificate Manager)
13. Shield
14. VPC
15. Inspector
16. Route53
17. Network Firewall
18. Firewall Manager
19. Audit Manager
20. EC2

AWS сервисов по безопасности в реальности ещё полтора десятка, уже более специализированных. Про которые тоже стоит/нужно знать безопасникам. 😀

Также порекомендую, чтобы быть в курсе по теме безопасности, обязательно стоит подписаться на @sec_devops, где всегда много тем по AWS.

p.s. Ранее было аналогичное для бэкенда, фронта, фуллстэк и QA.

#top #security #опрос

Перевод техник MITRE ATT&CK v9

Маппинг техник ФСТЭК в техники MITRE ATT&CK

Перевод MITRE ATT&CK и маппинг техник ФСТЭК на нее - https://t.co/BwanNW2j3u
— Alexey Lukatsky (@alukatsky) Sep 13, 2021

Много шума наделал статья "Finding Azurescape – Cross-Account Container Takeover in Azure Container Instances"

Кратко:
- Используя данную проблему вредоносный пользователь может выйти из своего окружений и попасть в соседние окружения других клиентов облака
- Дело касается Azure Container Instances (ACI) это CaaS/serverless от Microsoft
- У Microsoft реализация ACI есть на Kubernetes и Service Fabric Clusters, проблему удалось проверить только в первом случае
- В реализации на Kubernetes для размещения клиентов использовался node-based multi-tenancy подход
- Azure Kubernetes Service (AKS) мог пострадать только в том случае, если он интегрирован с ACI
- Атака: 1) Побег из контейнера через 1-day уязвимость CVE-2019-5736 в runC 2) получение доступа к privileged Kubernetes service account token 3) выполнение команд на Kubernetes api-server
- На первом шаге использовали контейнер WhoC, который позволяет прочитать и отправить исполняющий его container runtime
- На втором шаге исследователи поняли, что им доступен service account token, который имеет права на pods/exec в любом namespace, включая kube-system
- На третьем шаге исследовали просто получили shell в контейнере Kubernetes api-server - Game Over!
- Также исследователи нашли возможность получить shell в контейнере Kubernetes api-server через SSRF ;)

После прочтения я большое всего в шоке от того что в этой части облака (непонятно как в других) использовался runC 2016 года и Kubernetes от ноября 2017 - октября 2018 ...

Гайд по борьбе с шифровальщиками от регулятора по ИБ Франции.

https://twitter.com/ANSSI_FR/status/1435172595863801862

Сертификации по ИБ для Гугл клауд.

https://cloud.withgoogle.com/cloudsecurity/podcast/ep31-cloud-certifications-and-cloud-security-with-thecertsguy/