https://www.icrc.org/en/document/icrc-proposes-digital-red-crosscrescent-emblem-signal-protection-cyberspace

Интересная международная инициатива

Mandiant - не единственная компания, которая решила выпустить отчет по итогам 2022 года до его окончания. LogRhytm вместе с SANS сделали это в... сентябре.

Из последнего отчета можно узнать, что самым популярным вектором проникновения были партнеры и обновления ПО. Вроде про supply chain говорят давно, но когда видишь значение 60%, это немного меняет отношение к этому вектору и способам его нейтрализации, мониторинга и реагирования.

Ну и сам отчет

https://orkl.eu/ Поисковик по отчетам Threat intelligence

Ноябрьский Patch Tuesday от Microsoft исправляет 68 уязвимостей в Windows, в том числе и 6 активно эксплуатируемых 0-day.

Среди исправленных: 12 классифицируются как критические, 2 -с серьезные и 55 - важные.

По категориям: 27 - повышение привилегий, 4 - обход функций безопасности, 16 - RCE, 11 - раскрытие информации, 6 - DoS, 3 - спуфинг.

Главная изюминка патча - исправления для двух CVE нулевого дня в Exchange Server, также известных как ProxyNotShell.

В целом же, список активно эксплуатируемых 0-day выглядит следующим образом:

- CVE-2022-41128: уязвимость удаленного выполнения кода в языках сценариев Windows, обнаружена Клементом Лесинем из группы анализа угроз Google. Бага требует, чтобы пользователь с уязвимой версией Windows получил доступ к вредоносному серверу.

- CVE-2022-41091: уязвимость Windows Mark of the Web Security Bypass. Злоумышленник может создать вредоносный файл, который сможет обойти защиту MOTW, что приведет к ограничению работы защищенного просмотра в Microsoft Office. Обновление исправляет два обхода Mark of the Web, также обнаруженных Уиллом Дорманном, который продемонстрировал, как можно создать специально созданный Zip-файл для блокировки функции безопасности Windows.

- CVE-2022-41073: уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав, обнаружена центром Microsoft Threat Intelligence Center (MSTIC). Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.

- CVE-2022-41125: уязвимость службы изоляции ключей Windows CNG, связанная с повышением привилегий, обнаружена Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).

- CVE-2022-41040: уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Привилегии, полученные злоумышленником, будут заключаться в возможности запускать PowerShell в контексте системы.

- CVE-2022-41082: уязвимость, связанная с удаленным выполнением кода сервера Microsoft Exchange, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Злоумышленник, использующий эту уязвимость, может атаковать учетные записи сервера с помощью произвольного или удаленного выполнения кода.

Среди других критических уязвимостей в ноябрьском патче, на которые стоит обратить внимание, — это уязвимости повышения привилегий в Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) и Microsoft Exchange Server (CVE-2022-41080) и отказ в обслуживании, затрагивающий Windows Hyper-V (CVE-2022-38015).

В дополнение к этим проблемам, исправление во вторник также устраняет ряд недостатков удаленного выполнения кода в протоколе туннелирования точка-точка (PPTP), Microsoft Excel, Word, драйвере ODBC, Office Graphics, SharePoint Server, JScript9, Chakra и Visual Studio, а также ряд ошибок повышения привилегий в Win32k, Overlay Filter и Group Policy.

Полный список устраненных уязвимостей и выпущенных рекомендаций в Patch Tuesday доступен здесь.

Threat Model Examples - Github проект, представляющий из себе коллекцию различных примеров моделей угроз. Среди которых наиболее интересные нам:
- Kubernetes
- Docker
- Container
- Supply Chain
- Cloud Computing
- CI/CD Pipeline

Так почти все это было уже на данном канале, а здесь все собрано в одном месте - думаю, что многим не помешает, тем более что далеко не все тут с самого начала читают канал.

P.S. Сегодня в 16:00 пройдет онлайн-встреча Программного комитета конференции DevOps Conf 2023 с потенциальными спикерами и активистами. Участие свободное, только нужно зарегистрироваться. CFP уже открыто ;)

Всех с наступающими выходными!

Недавно наткнулся на вот такую забавную картинку. С первого или неопытного взгляда она может показаться просто юмористической. НО она под собой имеет и технический аспект связанный с Kubernetes.

Те кто смотрел мой доклад "Заметки путешественника между мирами: ИБ, ИТ" или был на моем тренинге знают о таком подходе к обеспечению безопасности как Moving target defense (MTD), который мне очень импонирует. А те кто внимательно читает мой канал могут вспомнить пост про Kubernetes operator под названием descheduler, который может помочь в реализации данного подхода.

Так что в каждой шутке есть доля шутки ;)

@danielmakelley опубликовал в Твиттере список из 30 поисковиков по различным аспектам ИБ:
1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayHatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.

TLP:CLEAR

SANS обновил свой постер по форензике на платформе Windows

#nosocforum

https://csrc.nist.gov/publications/detail/sp/800-55/rev-2/draft

There are three additional questions for reviewer consideration. These questions are:

CIOs and CISOs: What measurement and metrics guidance would benefit your program?
How to best communicate information security measurement needs up and down the organizational structure?
Examples: What kinds of measures and metrics examples or templates could this publication provide that would be helpful in your work?