Forwarded from SecAtor
По старой доброй традиции безопасностью в решениях Microsoft занимаются все, кроме самой Microsoft.
0-day уязвимость CVE-2022-30190 в Microsoft Windows Support Diagnostic Tool (MSDT), также известная как Follina, получила общедоступное неофициальное исправление, выпущенное 0patch.
Патч адаптирован для следующих уязвимых версий Windows: Windows 11 v21H2, Windows 10 (от v1803 до v21H2), Windows 7 и Windows Server 2008 R2
Тем временем RCE-уязвимость обзавелась PoC-эксплойтом и уже состоит в арсенале почти всего киберподполья.
Сам Редмонд при этом до настоящего времени не выпустил ничего, ограничившись мерами по смягчению последствий для блокировки атак, посоветовав отключить протокол URL-адресов MSDT.
Однако 0patch пошли по другому пути, вместо отключения обработчика протокола URL-адреса MSDT, они добавили очистку предоставленного пользователем пути (в настоящее время отсутствует в сценарии Windows) для предотвращения вывода мастера диагностики Windows из строя в ОС для всех приложений.
0patch отмечают, что не имеет значения, какая версия Office установлена и установлена ли она вообще: уязвимость также может быть использована с помощью других векторов атак.
Чтобы развернуть микропатч в Windows следует использовать 0patch-агент, который автоматически загрузит и применит исправление.
Ожидающим официального патча от Microsoft в первой итерации (когда он выйдет), скорее всего нужно будет откатить обновление и дождаться новых двух: один из них закроет основную проблему, а второй - проблему, которая возникнет после исправления основной.
0-day уязвимость CVE-2022-30190 в Microsoft Windows Support Diagnostic Tool (MSDT), также известная как Follina, получила общедоступное неофициальное исправление, выпущенное 0patch.
Патч адаптирован для следующих уязвимых версий Windows: Windows 11 v21H2, Windows 10 (от v1803 до v21H2), Windows 7 и Windows Server 2008 R2
Тем временем RCE-уязвимость обзавелась PoC-эксплойтом и уже состоит в арсенале почти всего киберподполья.
Сам Редмонд при этом до настоящего времени не выпустил ничего, ограничившись мерами по смягчению последствий для блокировки атак, посоветовав отключить протокол URL-адресов MSDT.
Однако 0patch пошли по другому пути, вместо отключения обработчика протокола URL-адреса MSDT, они добавили очистку предоставленного пользователем пути (в настоящее время отсутствует в сценарии Windows) для предотвращения вывода мастера диагностики Windows из строя в ОС для всех приложений.
0patch отмечают, что не имеет значения, какая версия Office установлена и установлена ли она вообще: уязвимость также может быть использована с помощью других векторов атак.
Чтобы развернуть микропатч в Windows следует использовать 0patch-агент, который автоматически загрузит и применит исправление.
Ожидающим официального патча от Microsoft в первой итерации (когда он выйдет), скорее всего нужно будет откатить обновление и дождаться новых двух: один из них закроет основную проблему, а второй - проблему, которая возникнет после исправления основной.
Twitter
0patch
Free Micropatches For "Follina" Microsoft Diagnostic Tool Remote Code Execution 0day (CVE-2022-30190) #Follina blog.0patch.com/2022/06/free-m…
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Если вы планировали провести эти выходные с пользой, то как раз для вас
- KubeCon + CloudNativeCon Europe 2022
- ServiceMeshCon EU 2022
- Kubernetes on Edge Day EU 2022
- Kubernetes Batch + HPC Day EU 2022
- Cloud Native SecurityCon EU 2022
- Kubernetes AI Day EU 2022
- Cloud Native Wasm Day EU 2022
- FluentCon EU 2022
- KnativeCon EU 2022
- GitOpsCon EU 2022
- Cloud Native Telco Day EU 2022
- PrometheusDay EU 2022
- Cloud Native eBPF Day EU 2022
Обратите внимание, что доклады на тему
Наиболее интересные на мой взгляд доклады по
CNCF выложил записи докладов (+ слайды) с недавно прошедших своих сессий:- KubeCon + CloudNativeCon Europe 2022
- ServiceMeshCon EU 2022
- Kubernetes on Edge Day EU 2022
- Kubernetes Batch + HPC Day EU 2022
- Cloud Native SecurityCon EU 2022
- Kubernetes AI Day EU 2022
- Cloud Native Wasm Day EU 2022
- FluentCon EU 2022
- KnativeCon EU 2022
- GitOpsCon EU 2022
- Cloud Native Telco Day EU 2022
- PrometheusDay EU 2022
- Cloud Native eBPF Day EU 2022
Обратите внимание, что доклады на тему
security были не только на Cloud Native SecurityCon, но и в основной программе, и в других сессиях ;)Наиболее интересные на мой взгляд доклады по
security я выделю отдельно.👍3
Forwarded from AlexRedSec
ТОП-16 ключевых метрик кибербезопасности, составленный на основе опроса 1200 организаций из разных сфер деятельности.
Еще больше интересной статистики можно прочитать в отчете-исследовании "Cybersecurity Solutions for a Riskier World".
Сам отчет прикрепил ниже.
Еще больше интересной статистики можно прочитать в отчете-исследовании "Cybersecurity Solutions for a Riskier World".
Сам отчет прикрепил ниже.
👍3
Forwarded from SecAtor
Microsoft передает эстафету активно эксплуатирующихся непропатченных 0-day Atlassian.
Volexity сообщает о массовых атаках с использованием CVE-2022-26134, которая используется хакерами для установки веб-оболочек. Согласно бюллетеню Atlassian, она представляет собой не требующую аутентификации уязвимость RCE в Confluence Server и Data Center. Уязвимыми можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости.
Специалисты Volexity рассказали, что уязвимость была обнаружена в выходные в ходе реагировании на возникшие инциденты. После проведения расследования Volexity смогли воспроизвести эксплойт для последней версии Confluence Server, о чем сообщили в Atlassian 31 мая. При этом к настоящему времени злоумышленники активно атакуют именно Confluence Server 7.18.0.
В ходе попавшей в поле зрения ресерчеров атаки злоумышленники установили BEHINDER (веб-оболочки JSP), которая позволяет злоумышленникам удаленно выполнять команды на скомпрометированном сервере. Затем посредством BEHINDER они накатили China Chopper для загрузки файлов в качестве резервных копий.
После чего удалили пользовательские таблицы с сервера Confluence, имплементировали дополнительные веб-оболочки и подчистили журналы доступа, чтобы скрыть следы своего пребывания.
Доступных исправлений нет, Atlassian рекомендует клиентам отключить Confluence Server и Data Center из сети, или же просто физически отключить их. В свою очередь, исследователи Volexity опубликовали список IP-адресов и правила Yara для выявления активности веб-шеллов на серверах Confluence.
К сожалению, кроме рубильника других способов нивелировать уязвимость нет.
Volexity сообщает о массовых атаках с использованием CVE-2022-26134, которая используется хакерами для установки веб-оболочек. Согласно бюллетеню Atlassian, она представляет собой не требующую аутентификации уязвимость RCE в Confluence Server и Data Center. Уязвимыми можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости.
Специалисты Volexity рассказали, что уязвимость была обнаружена в выходные в ходе реагировании на возникшие инциденты. После проведения расследования Volexity смогли воспроизвести эксплойт для последней версии Confluence Server, о чем сообщили в Atlassian 31 мая. При этом к настоящему времени злоумышленники активно атакуют именно Confluence Server 7.18.0.
В ходе попавшей в поле зрения ресерчеров атаки злоумышленники установили BEHINDER (веб-оболочки JSP), которая позволяет злоумышленникам удаленно выполнять команды на скомпрометированном сервере. Затем посредством BEHINDER они накатили China Chopper для загрузки файлов в качестве резервных копий.
После чего удалили пользовательские таблицы с сервера Confluence, имплементировали дополнительные веб-оболочки и подчистили журналы доступа, чтобы скрыть следы своего пребывания.
Доступных исправлений нет, Atlassian рекомендует клиентам отключить Confluence Server и Data Center из сети, или же просто физически отключить их. В свою очередь, исследователи Volexity опубликовали список IP-адресов и правила Yara для выявления активности веб-шеллов на серверах Confluence.
К сожалению, кроме рубильника других способов нивелировать уязвимость нет.
Volexity
Zero-Day Exploitation of Atlassian Confluence
UPDATE: On June 3, 2022, Atlassian updated its security advisory with new information regarding a fix for Confluence Server and Data Center to address CVE-2022-26134. Users are encouraged to update immediately to […]
👍1
Forwarded from Листок бюрократической защиты информации
ФСТЭК России публикует отчет о ходе работ по плану технического комитета по стандартизации «Защита информации» (ТК 362) (по состоянию на 31.05.2022).
Основные темы отчета:
• Интеллектуальные транспортные системы.
•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
• Защита информации. Система организации и управления защитой информации. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Термины и определения.
• Защита информации. Управление компьютерными инцидентами. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
Основные темы отчета:
• Интеллектуальные транспортные системы.
•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
• Защита информации. Система организации и управления защитой информации. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Термины и определения.
• Защита информации. Управление компьютерными инцидентами. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
Forwarded from SecAtor
GitLab выпустила обновление нескольких версий Community и Enterprise Edition для устранения восьми уязвимостей, одна из которых критическая и позволяет захватить учетную запись владельца репозитория разработчика, и фактически доступ к проектам и исходникам.
Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.
При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.
Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.
Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.
Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).
Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.
Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.
При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.
Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.
Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.
Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).
Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.
GitLab
GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5
Learn more about GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).
Forwarded from Пост Лукацкого
Базовые наборы защитных мер есть не только у нас (приказы ФСТЭК и ГОСТ ЦБ). Но почти везде они именно базовые - около 5-12 мер. Такое в Великобритании, Бельгии, Нидерландах. Во Франции базовых мер уже 42. А вот в Саудовской Аравии, ОАЭ и Катаре - от полутора до двух сотен, как у нас. Написал небольшой обзор наборов базовых мер защиты в 9 странах мира.
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Наборы базовых защитных мер из 9 стран мира
Все знают наборы базовых защитных мер, которые предлагает ФСТЭК в своих четырех публичных (17, 21, 31v2014 и 239) и одном непубличном (31v2017) приказах или Банк России в своем ГОСТе 57580.1. У этих наборов есть один большой недостаток - назвать их базовыми…
https://www.meritalk.com/articles/new-data-privacy-draft-puts-ftc-in-drivers-set-preempts-state-laws/
Legislation to create stronger Federal rules for the private sector on data privacy and security has been a perennial talking point for Congress for a decade or more, but one that has never made it even close to the finish line. The last serious push for stronger standards dates back to 2019, and the three members of Congress that released the draft cautioned that action on the latest iteration is far from soon, or certain.
Legislation to create stronger Federal rules for the private sector on data privacy and security has been a perennial talking point for Congress for a decade or more, but one that has never made it even close to the finish line. The last serious push for stronger standards dates back to 2019, and the three members of Congress that released the draft cautioned that action on the latest iteration is far from soon, or certain.
Meritalk
New Data Privacy Draft Puts FTC in Driver’s Seat, Preempts State Laws
<div class="at-above-post addthis_tool" data-url="https://www.meritalk.com/articles/new-data-privacy-draft-puts-ftc-in-drivers-set-preempts-state-laws/"></div>A new legislative “discussion draft” that aims to create a stronger data privacy and security landscape…
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Совсем недавно я с коллегой выступал на конференции
-
В комментариях можно, как всегда, поспрашивать вопросы по данной теме! В нашем решении мы активно используем
HighLoad++ Foundation 2022 в Москве с докладом "eBPF в production-условиях". Сейчас хочу поделится слайдами и видео с нашего выступления. По аспекту безопасности eBPF мы рассмотрели такие аспекты как:-
Safety и security eBPF
- BPF_LSM
- Уязвимости в подсистеме eBPF
- Вредоносный код на eBPF
- capability для работы eBPF
- Подпись eBPF программВ комментариях можно, как всегда, поспрашивать вопросы по данной теме! В нашем решении мы активно используем
eBPF, так что знаем о нем не понаслышке.YouTube
eBPF в production-условиях / Дмитрий Евдокимов, Александр Трухин (Luntry)
Приглашаем на конференцию HighLoad++ 2025, которая пройдет 6 и 7 ноября в Москве!
Программа, подробности и билеты по ссылке: https://highload.ru/moscow/2025
________
HighLoad++ Foundation 2022
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8177…
Программа, подробности и билеты по ссылке: https://highload.ru/moscow/2025
________
HighLoad++ Foundation 2022
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8177…
Forwarded from SecAtor
Из года в год статистика потерпевших от ransomware не утешительная и не отличается позитивной динамикой, о чем в очередной раз сообщают специалисты из Cybereason.
Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена.
Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики:
⁃ 80% компаний, заплативших выкуп, пострадали во второй раз.
⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз.
⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году.
⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены.
Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware.
Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится.
Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок).
Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал.
При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки.
Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%.
Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой.
Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования.
В общем, думайте сами, решайте сами…
Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена.
Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики:
⁃ 80% компаний, заплативших выкуп, пострадали во второй раз.
⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз.
⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году.
⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены.
Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware.
Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится.
Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок).
Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал.
При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки.
Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%.
Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой.
Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования.
В общем, думайте сами, решайте сами…
Cybereason
Cybereason Blog | Cybersecurity News and Analysis | Research
Research | Get the latest research, expert insights, and security industry news.
https://store.isaca.org/s/community-event?id=a334w000004g0zsAAA
Deloitte Virtual—Automation for Internal Auditors
Preparing Internal Audit for Automated Environments
The course is designed to give the Audit professional a foundational knowledge in the individual technologies that make up Robotic & Intelligent Automation (R&IA), their purpose and common applications. Additionally, the course will provide a practical framework for identifying risk within R&IA, will discuss where those risks are found and common governance activities for mitigating those risks. Finally, the course will provide an overview of the R&IA Maturity Assessment and Audit’s role in R&IA adoption.
Date: 24 June 2022
Time: 11AM-3PM CT
CPE: 4 (based on live attendance)
Deloitte Virtual—Automation for Internal Auditors
Preparing Internal Audit for Automated Environments
The course is designed to give the Audit professional a foundational knowledge in the individual technologies that make up Robotic & Intelligent Automation (R&IA), their purpose and common applications. Additionally, the course will provide a practical framework for identifying risk within R&IA, will discuss where those risks are found and common governance activities for mitigating those risks. Finally, the course will provide an overview of the R&IA Maturity Assessment and Audit’s role in R&IA adoption.
Date: 24 June 2022
Time: 11AM-3PM CT
CPE: 4 (based on live attendance)
https://bisa.ru/glavred-bdit/glavred-bditprognozy-ib-chto-napisali-eksperty-vef-do-vef
Анализ на русском языке опубликованных в январе 2022 года отчетов ВЭФ по ИБ.
Анализ на русском языке опубликованных в январе 2022 года отчетов ВЭФ по ИБ.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Отличный лооонгрид "Cracking Kubernetes RBAC Authorization Model". Если вы хотите из одной статьи узнать, что и как там устроено в Kubernetes RBAC, то это то, что вам нужно! Проще сказать, чего там нет по данной теме: специфика verb, моменты с Aggregated ClusterRoles и subresources. Ну и вопрос повышения привилегий (1,2,3,4,5) остается за рамками данной стать. Все остальное есть и продемонстрировано очень хорошо!