Все 28 презентаций с прошедшей MITRE ATT&CKcon 3.0

Поможет понять что это не инцидент ИБ
https://learnk8s.io/troubleshooting-deployments

Империя наносит ответный удар, правда непонятно в какую сторону.

После всеобщего негодования Microsoft все же присвоили уязвимости Follina идентификатор CVE-2022-30190, оценив ее на 7,8 из 10 по CVSS. Официально уязвимыми версиями признаны Microsoft Office Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus.

Разработчики подготовили и опубликовали дополнительные рекомендации (здесь), включая обходные пути по отключению протокола URL-адресов MSDT с помощью модификации реестра Windows, что обеспечивает открытие Microsoft Office документов из Интернета в режиме защищенного просмотра или Application Guard для Office по умолчанию.

Первые признаки эксплуатации уязвимости в реальности датируются 12 апреля 2022 года, когда в базу вредоносных программ был загружен второй образец, который был заточен под российского клиента, о чем свидетельствует наименование приглашение на интервью.doc в эфир радио Sputnik.

Но все это никак не меняет того, что Microsoft ещё 21 апреля закрыла отчет со ссылкой на то, что проблема была (вовсе не проблема) устранена и не относится к вопросам безопасности.

Впрочем чему удивляться.

Думаю, все слышали фразу о том, что «капля никотина убивает лошадь простой бизнес-системы в результате кибератак может обойтись бизнесу очень дорого». Многие из этого делают вывод, что надо давить на доступность систем, как основной мотиватор тратиться на ИБ. Но…

Рост числа кибератак дает и обратный эффект. Бизнес привыкает к атакам и чуть более спокойнее начинает относиться к неизбежным простоям. Ужас, но не ужас-ужас.

Последнее исследование МакКинзи говорит, что бизнес свои простои оценивает более прагматично, чем кажется тем же ИБшникам. Не закрывает глаза (все-таки простой - это потери), но и не бежит слома голову устранять причины часового простоя от DDoS-атаки или дневного простоя от шифровальщика.

По старой доброй традиции безопасностью в решениях Microsoft занимаются все, кроме самой Microsoft.

0-day уязвимость CVE-2022-30190 в Microsoft Windows Support Diagnostic Tool (MSDT), также известная как Follina, получила общедоступное неофициальное исправление, выпущенное 0patch.
 
Патч адаптирован для следующих уязвимых версий Windows: Windows 11 v21H2, Windows 10 (от v1803 до v21H2), Windows 7 и Windows Server 2008 R2

Тем временем RCE-уязвимость обзавелась PoC-эксплойтом и уже состоит в арсенале почти всего киберподполья.

Сам Редмонд при этом до настоящего времени не выпустил ничего, ограничившись мерами по смягчению последствий для блокировки атак, посоветовав отключить протокол URL-адресов MSDT.

Однако 0patch пошли по другому пути, вместо отключения обработчика протокола URL-адреса MSDT, они добавили очистку предоставленного пользователем пути (в настоящее время отсутствует в сценарии Windows) для предотвращения вывода мастера диагностики Windows из строя в ОС для всех приложений.

0patch отмечают, что не имеет значения, какая версия Office установлена и установлена ли она вообще: уязвимость также может быть использована с помощью других векторов атак.

Чтобы развернуть микропатч в Windows следует использовать 0patch-агент, который автоматически загрузит и применит исправление.

Ожидающим официального патча от Microsoft в первой итерации (когда он выйдет), скорее всего нужно будет откатить обновление и дождаться новых двух: один из них закроет основную проблему, а второй - проблему, которая возникнет после исправления основной.

Если вы планировали провести эти выходные с пользой, то как раз для вас CNCF выложил записи докладов (+ слайды) с недавно прошедших своих сессий:
- KubeCon + CloudNativeCon Europe 2022
- ServiceMeshCon EU 2022
- Kubernetes on Edge Day EU 2022
- Kubernetes Batch + HPC Day EU 2022
- Cloud Native SecurityCon EU 2022
- Kubernetes AI Day EU 2022
- Cloud Native Wasm Day EU 2022
- FluentCon EU 2022
- KnativeCon EU 2022
- GitOpsCon EU 2022
- Cloud Native Telco Day EU 2022
- PrometheusDay EU 2022
- Cloud Native eBPF Day EU 2022

Обратите внимание, что доклады на тему security были не только на Cloud Native SecurityCon, но и в основной программе, и в других сессиях ;)

Наиболее интересные на мой взгляд доклады по security я выделю отдельно.

ТОП-16 ключевых метрик кибербезопасности, составленный на основе опроса 1200 организаций из разных сфер деятельности.
Еще больше интересной статистики можно прочитать в отчете-исследовании "Cybersecurity Solutions for a Riskier World".
Сам отчет прикрепил ниже.

Microsoft передает эстафету активно эксплуатирующихся непропатченных 0-day Atlassian.

Volexity сообщает о массовых атаках с использованием CVE-2022-26134, которая используется хакерами для установки веб-оболочек. Согласно бюллетеню Atlassian, она представляет собой не требующую аутентификации уязвимость RCE в Confluence Server и Data Center. Уязвимыми можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости.

Специалисты Volexity рассказали, что уязвимость была обнаружена в выходные в ходе реагировании на возникшие инциденты. После проведения расследования Volexity смогли воспроизвести эксплойт для последней версии Confluence Server, о чем сообщили в Atlassian 31 мая. При этом к настоящему времени злоумышленники активно атакуют именно Confluence Server 7.18.0.

В ходе попавшей в поле зрения ресерчеров атаки злоумышленники установили BEHINDER (веб-оболочки JSP), которая позволяет злоумышленникам удаленно выполнять команды на скомпрометированном сервере. Затем посредством BEHINDER они накатили China Chopper для загрузки файлов в качестве резервных копий.

После чего удалили пользовательские таблицы с сервера Confluence, имплементировали дополнительные веб-оболочки и подчистили журналы доступа, чтобы скрыть следы своего пребывания.

Доступных исправлений нет, Atlassian рекомендует клиентам отключить Confluence Server и Data Center из сети, или же просто физически отключить их. В свою очередь, исследователи Volexity опубликовали список IP-адресов и правила Yara для выявления активности веб-шеллов на серверах Confluence.

К сожалению, кроме рубильника других способов нивелировать уязвимость нет.

​​ФСТЭК России публикует отчет о ходе работ по плану технического комитета по стандартизации «Защита информации» (ТК 362) (по состоянию на 31.05.2022).
Основные темы отчета:

• Интеллектуальные транспортные системы.

•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.

• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.

• Защита информации. Система организации и управления защитой информации. Общие положения.

• Защита информации. Управление компьютерными инцидентами. Термины и определения.

• Защита информации. Управление компьютерными инцидентами. Общие положения.

• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.

• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.

GitLab выпустила обновление нескольких версий Community и Enterprise Edition для устранения восьми уязвимостей, одна из которых  критическая и позволяет захватить учетную запись владельца репозитория разработчика, и фактически доступ к проектам и исходникам.

Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.

При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.

Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.

Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.

Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).

Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.

Базовые наборы защитных мер есть не только у нас (приказы ФСТЭК и ГОСТ ЦБ). Но почти везде они именно базовые - около 5-12 мер. Такое в Великобритании, Бельгии, Нидерландах. Во Франции базовых мер уже 42. А вот в Саудовской Аравии, ОАЭ и Катаре - от полутора до двух сотен, как у нас. Написал небольшой обзор наборов базовых мер защиты в 9 странах мира.