Forwarded from Пост Лукацкого
AttackCon30.zip
123.3 MB
Все 28 презентаций с прошедшей MITRE ATT&CKcon 3.0
👍4
Forwarded from SecAtor
Империя наносит ответный удар, правда непонятно в какую сторону.
После всеобщего негодования Microsoft все же присвоили уязвимости Follina идентификатор CVE-2022-30190, оценив ее на 7,8 из 10 по CVSS. Официально уязвимыми версиями признаны Microsoft Office Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus.
Разработчики подготовили и опубликовали дополнительные рекомендации (здесь), включая обходные пути по отключению протокола URL-адресов MSDT с помощью модификации реестра Windows, что обеспечивает открытие Microsoft Office документов из Интернета в режиме защищенного просмотра или Application Guard для Office по умолчанию.
Первые признаки эксплуатации уязвимости в реальности датируются 12 апреля 2022 года, когда в базу вредоносных программ был загружен второй образец, который был заточен под российского клиента, о чем свидетельствует наименование приглашение на интервью.doc в эфир радио Sputnik.
Но все это никак не меняет того, что Microsoft ещё 21 апреля закрыла отчет со ссылкой на то, что проблема была (вовсе не проблема) устранена и не относится к вопросам безопасности.
Впрочем чему удивляться.
После всеобщего негодования Microsoft все же присвоили уязвимости Follina идентификатор CVE-2022-30190, оценив ее на 7,8 из 10 по CVSS. Официально уязвимыми версиями признаны Microsoft Office Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus.
Разработчики подготовили и опубликовали дополнительные рекомендации (здесь), включая обходные пути по отключению протокола URL-адресов MSDT с помощью модификации реестра Windows, что обеспечивает открытие Microsoft Office документов из Интернета в режиме защищенного просмотра или Application Guard для Office по умолчанию.
Первые признаки эксплуатации уязвимости в реальности датируются 12 апреля 2022 года, когда в базу вредоносных программ был загружен второй образец, который был заточен под российского клиента, о чем свидетельствует наименование приглашение на интервью.doc в эфир радио Sputnik.
Но все это никак не меняет того, что Microsoft ещё 21 апреля закрыла отчет со ссылкой на то, что проблема была (вовсе не проблема) устранена и не относится к вопросам безопасности.
Впрочем чему удивляться.
Medium
Follina — a Microsoft Office code execution vulnerability
Two days ago, Nao_sec identified an odd looking Word document in the wild, uploaded from an IP address in Belarus:
👍1
Forwarded from Пост Лукацкого
Думаю, все слышали фразу о том, что «капля никотина убивает лошадь простой бизнес-системы в результате кибератак может обойтись бизнесу очень дорого». Многие из этого делают вывод, что надо давить на доступность систем, как основной мотиватор тратиться на ИБ. Но…
Рост числа кибератак дает и обратный эффект. Бизнес привыкает к атакам и чуть более спокойнее начинает относиться к неизбежным простоям. Ужас, но не ужас-ужас.
Последнее исследование МакКинзи говорит, что бизнес свои простои оценивает более прагматично, чем кажется тем же ИБшникам. Не закрывает глаза (все-таки простой - это потери), но и не бежит слома голову устранять причины часового простоя от DDoS-атаки или дневного простоя от шифровальщика.
Рост числа кибератак дает и обратный эффект. Бизнес привыкает к атакам и чуть более спокойнее начинает относиться к неизбежным простоям. Ужас, но не ужас-ужас.
Последнее исследование МакКинзи говорит, что бизнес свои простои оценивает более прагматично, чем кажется тем же ИБшникам. Не закрывает глаза (все-таки простой - это потери), но и не бежит слома голову устранять причины часового простоя от DDoS-атаки или дневного простоя от шифровальщика.
Forwarded from SecAtor
По старой доброй традиции безопасностью в решениях Microsoft занимаются все, кроме самой Microsoft.
0-day уязвимость CVE-2022-30190 в Microsoft Windows Support Diagnostic Tool (MSDT), также известная как Follina, получила общедоступное неофициальное исправление, выпущенное 0patch.
Патч адаптирован для следующих уязвимых версий Windows: Windows 11 v21H2, Windows 10 (от v1803 до v21H2), Windows 7 и Windows Server 2008 R2
Тем временем RCE-уязвимость обзавелась PoC-эксплойтом и уже состоит в арсенале почти всего киберподполья.
Сам Редмонд при этом до настоящего времени не выпустил ничего, ограничившись мерами по смягчению последствий для блокировки атак, посоветовав отключить протокол URL-адресов MSDT.
Однако 0patch пошли по другому пути, вместо отключения обработчика протокола URL-адреса MSDT, они добавили очистку предоставленного пользователем пути (в настоящее время отсутствует в сценарии Windows) для предотвращения вывода мастера диагностики Windows из строя в ОС для всех приложений.
0patch отмечают, что не имеет значения, какая версия Office установлена и установлена ли она вообще: уязвимость также может быть использована с помощью других векторов атак.
Чтобы развернуть микропатч в Windows следует использовать 0patch-агент, который автоматически загрузит и применит исправление.
Ожидающим официального патча от Microsoft в первой итерации (когда он выйдет), скорее всего нужно будет откатить обновление и дождаться новых двух: один из них закроет основную проблему, а второй - проблему, которая возникнет после исправления основной.
0-day уязвимость CVE-2022-30190 в Microsoft Windows Support Diagnostic Tool (MSDT), также известная как Follina, получила общедоступное неофициальное исправление, выпущенное 0patch.
Патч адаптирован для следующих уязвимых версий Windows: Windows 11 v21H2, Windows 10 (от v1803 до v21H2), Windows 7 и Windows Server 2008 R2
Тем временем RCE-уязвимость обзавелась PoC-эксплойтом и уже состоит в арсенале почти всего киберподполья.
Сам Редмонд при этом до настоящего времени не выпустил ничего, ограничившись мерами по смягчению последствий для блокировки атак, посоветовав отключить протокол URL-адресов MSDT.
Однако 0patch пошли по другому пути, вместо отключения обработчика протокола URL-адреса MSDT, они добавили очистку предоставленного пользователем пути (в настоящее время отсутствует в сценарии Windows) для предотвращения вывода мастера диагностики Windows из строя в ОС для всех приложений.
0patch отмечают, что не имеет значения, какая версия Office установлена и установлена ли она вообще: уязвимость также может быть использована с помощью других векторов атак.
Чтобы развернуть микропатч в Windows следует использовать 0patch-агент, который автоматически загрузит и применит исправление.
Ожидающим официального патча от Microsoft в первой итерации (когда он выйдет), скорее всего нужно будет откатить обновление и дождаться новых двух: один из них закроет основную проблему, а второй - проблему, которая возникнет после исправления основной.
Twitter
0patch
Free Micropatches For "Follina" Microsoft Diagnostic Tool Remote Code Execution 0day (CVE-2022-30190) #Follina blog.0patch.com/2022/06/free-m…
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Если вы планировали провести эти выходные с пользой, то как раз для вас
- KubeCon + CloudNativeCon Europe 2022
- ServiceMeshCon EU 2022
- Kubernetes on Edge Day EU 2022
- Kubernetes Batch + HPC Day EU 2022
- Cloud Native SecurityCon EU 2022
- Kubernetes AI Day EU 2022
- Cloud Native Wasm Day EU 2022
- FluentCon EU 2022
- KnativeCon EU 2022
- GitOpsCon EU 2022
- Cloud Native Telco Day EU 2022
- PrometheusDay EU 2022
- Cloud Native eBPF Day EU 2022
Обратите внимание, что доклады на тему
Наиболее интересные на мой взгляд доклады по
CNCF выложил записи докладов (+ слайды) с недавно прошедших своих сессий:- KubeCon + CloudNativeCon Europe 2022
- ServiceMeshCon EU 2022
- Kubernetes on Edge Day EU 2022
- Kubernetes Batch + HPC Day EU 2022
- Cloud Native SecurityCon EU 2022
- Kubernetes AI Day EU 2022
- Cloud Native Wasm Day EU 2022
- FluentCon EU 2022
- KnativeCon EU 2022
- GitOpsCon EU 2022
- Cloud Native Telco Day EU 2022
- PrometheusDay EU 2022
- Cloud Native eBPF Day EU 2022
Обратите внимание, что доклады на тему
security были не только на Cloud Native SecurityCon, но и в основной программе, и в других сессиях ;)Наиболее интересные на мой взгляд доклады по
security я выделю отдельно.👍3
Forwarded from AlexRedSec
ТОП-16 ключевых метрик кибербезопасности, составленный на основе опроса 1200 организаций из разных сфер деятельности.
Еще больше интересной статистики можно прочитать в отчете-исследовании "Cybersecurity Solutions for a Riskier World".
Сам отчет прикрепил ниже.
Еще больше интересной статистики можно прочитать в отчете-исследовании "Cybersecurity Solutions for a Riskier World".
Сам отчет прикрепил ниже.
👍3
Forwarded from SecAtor
Microsoft передает эстафету активно эксплуатирующихся непропатченных 0-day Atlassian.
Volexity сообщает о массовых атаках с использованием CVE-2022-26134, которая используется хакерами для установки веб-оболочек. Согласно бюллетеню Atlassian, она представляет собой не требующую аутентификации уязвимость RCE в Confluence Server и Data Center. Уязвимыми можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости.
Специалисты Volexity рассказали, что уязвимость была обнаружена в выходные в ходе реагировании на возникшие инциденты. После проведения расследования Volexity смогли воспроизвести эксплойт для последней версии Confluence Server, о чем сообщили в Atlassian 31 мая. При этом к настоящему времени злоумышленники активно атакуют именно Confluence Server 7.18.0.
В ходе попавшей в поле зрения ресерчеров атаки злоумышленники установили BEHINDER (веб-оболочки JSP), которая позволяет злоумышленникам удаленно выполнять команды на скомпрометированном сервере. Затем посредством BEHINDER они накатили China Chopper для загрузки файлов в качестве резервных копий.
После чего удалили пользовательские таблицы с сервера Confluence, имплементировали дополнительные веб-оболочки и подчистили журналы доступа, чтобы скрыть следы своего пребывания.
Доступных исправлений нет, Atlassian рекомендует клиентам отключить Confluence Server и Data Center из сети, или же просто физически отключить их. В свою очередь, исследователи Volexity опубликовали список IP-адресов и правила Yara для выявления активности веб-шеллов на серверах Confluence.
К сожалению, кроме рубильника других способов нивелировать уязвимость нет.
Volexity сообщает о массовых атаках с использованием CVE-2022-26134, которая используется хакерами для установки веб-оболочек. Согласно бюллетеню Atlassian, она представляет собой не требующую аутентификации уязвимость RCE в Confluence Server и Data Center. Уязвимыми можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости.
Специалисты Volexity рассказали, что уязвимость была обнаружена в выходные в ходе реагировании на возникшие инциденты. После проведения расследования Volexity смогли воспроизвести эксплойт для последней версии Confluence Server, о чем сообщили в Atlassian 31 мая. При этом к настоящему времени злоумышленники активно атакуют именно Confluence Server 7.18.0.
В ходе попавшей в поле зрения ресерчеров атаки злоумышленники установили BEHINDER (веб-оболочки JSP), которая позволяет злоумышленникам удаленно выполнять команды на скомпрометированном сервере. Затем посредством BEHINDER они накатили China Chopper для загрузки файлов в качестве резервных копий.
После чего удалили пользовательские таблицы с сервера Confluence, имплементировали дополнительные веб-оболочки и подчистили журналы доступа, чтобы скрыть следы своего пребывания.
Доступных исправлений нет, Atlassian рекомендует клиентам отключить Confluence Server и Data Center из сети, или же просто физически отключить их. В свою очередь, исследователи Volexity опубликовали список IP-адресов и правила Yara для выявления активности веб-шеллов на серверах Confluence.
К сожалению, кроме рубильника других способов нивелировать уязвимость нет.
Volexity
Zero-Day Exploitation of Atlassian Confluence
UPDATE: On June 3, 2022, Atlassian updated its security advisory with new information regarding a fix for Confluence Server and Data Center to address CVE-2022-26134. Users are encouraged to update immediately to […]
👍1
Forwarded from Листок бюрократической защиты информации
ФСТЭК России публикует отчет о ходе работ по плану технического комитета по стандартизации «Защита информации» (ТК 362) (по состоянию на 31.05.2022).
Основные темы отчета:
• Интеллектуальные транспортные системы.
•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
• Защита информации. Система организации и управления защитой информации. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Термины и определения.
• Защита информации. Управление компьютерными инцидентами. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
Основные темы отчета:
• Интеллектуальные транспортные системы.
•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
• Защита информации. Система организации и управления защитой информации. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Термины и определения.
• Защита информации. Управление компьютерными инцидентами. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.