CVE-2024-4577 в PHP для Windows является критической RCE, которую уже пытаются эксплуатировать. Patch now. Для тех, кто не может обновиться до исправленных версий 8.1.х-8.3.х, в адвайзори предлагается компенсирующее правило в mod_rewrite.
Новая неделя — новые вредоносные пакеты в npm и PyPi.
Реже двух вышеупомянутых в новости попадает VSCode Marketplace, а на нём тоже неспокойно — исследователи нашли более 1000 расширений с известным вредоносным кодом и ещё 10 тысяч подозрительных расширений.
Разбор деятельности быстрорастущей группировки RansomHub, ранее видимо действовавшей под именем Knight.
Анализ нескольких APT кластера Crimson Palace. Правда, с нынешним состоянием азиатских APT, их атрибуция значительно затруднена — различать все эти APT41/TA428/REF5961 стало гораздо сложнее.
#дайджест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🔥1
Недавняя кратковременная блокировка Docker Hub для российских IP — это повод не для поиска прокси или сервисов-зеркал, а серьёзного анализа своих процессов получения и использования программного кода, будь то исходники, образы контейнеров или что-то ещё. В будущем нас наверняка ждут не только внезапная недоступность интернет-сервисов, но и новые атаки с «отравлением» репозиториев, переезд проектов на непроверенные хостинги и другие явления, потенциально компрометирующие цепочку поставок ПО.
Советы о комплексной защите от подобных угроз, особенно актуальные для любых компаний со внутренней разработкой ПО, собраны в нашем посте на блоге.
#советы #devsecops #devops @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Блог Касперского
Блокировка Docker Hub: какие выводы нужно сделать
Какие выводы нужно сделать из недавнего инцидента с блокировкой популярной библиотеки образов контейнеров.
👍15🔥4👏4👎2🤯2❤1
Строить SOC одними внутренними ресурсами слишком сложно и дорого, а внешний SOC не всегда можно допустить во все уголки инфраструктуры. Можно не выбирать среди этих крайностей, а построить гибридный SOC. Он оптимально сочетает инвестиции в операционную ИБ и результативность. Подробнее о всех нюансах и подводных камнях гибридного SOC рассказал Сергей Солдатов в интервью для AM Live:
#видео #советы #SOC @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
AM Live
Почему любой SOC – гибридный? / Интервью с Сергеем Солдатовым - AM Live
👍10🔥6🤩2
🩹🩹🩹 Июньский Patch Tuesday: без чудес
Свежий выпуск заплаток из Редмонда устраняет 58 дефектов (включая 7 в Chromium/Edge), ни один из которых не эксплуатировался вживую. Только одна CVE имеет рейтинг критической, ещё 38 имеют высокий приоритет и 12 - средний.
Впервые за несколько месяцев число дефектов категории EoP опередило все прочие. Общий счёт таков: EoP - 25, RCE - 18, DoS - 5, ещё 3 дефекта приводят к разглашению информации.
Единственным зиродеем является CVE-2023-50868, атака Keytrap, парализующая большинство серверов DNSSEC. Невзирая на медийный резонанс, эксплуатации этой дыры пока не отмечено.
Критическая уязвимость (CVE-2024-30080, CVSS 9.8) устранена в сервере MSMQ, она приводит к RCE. Учитывая, что MSMQ не включён по умолчанию, риск массовой эксплуатации невысок.
Среди уязвимостей высокой серьёзности интерес вызывают CVE-2024-30064 и -30068, описанные как EoP в ядре и потенциально позволяющие вредоносному коду совершать побег из контейнеров и других изолированных сред. Другая опасно выглядящая RCE - CVE-2024-30103 в Outlook, срабатывающая из панели предварительного просмотра и позволяющая создавать вредоносные DLL в системе.
#новости #Microsoft @П2Т
Свежий выпуск заплаток из Редмонда устраняет 58 дефектов (включая 7 в Chromium/Edge), ни один из которых не эксплуатировался вживую. Только одна CVE имеет рейтинг критической, ещё 38 имеют высокий приоритет и 12 - средний.
Впервые за несколько месяцев число дефектов категории EoP опередило все прочие. Общий счёт таков: EoP - 25, RCE - 18, DoS - 5, ещё 3 дефекта приводят к разглашению информации.
Единственным зиродеем является CVE-2023-50868, атака Keytrap, парализующая большинство серверов DNSSEC. Невзирая на медийный резонанс, эксплуатации этой дыры пока не отмечено.
Критическая уязвимость (CVE-2024-30080, CVSS 9.8) устранена в сервере MSMQ, она приводит к RCE. Учитывая, что MSMQ не включён по умолчанию, риск массовой эксплуатации невысок.
Среди уязвимостей высокой серьёзности интерес вызывают CVE-2024-30064 и -30068, описанные как EoP в ядре и потенциально позволяющие вредоносному коду совершать побег из контейнеров и других изолированных сред. Другая опасно выглядящая RCE - CVE-2024-30103 в Outlook, срабатывающая из панели предварительного просмотра и позволяющая создавать вредоносные DLL в системе.
#новости #Microsoft @П2Т
👍9❤1
Всю информацию по теме регулирования в ИБ, напомним, мы собираем на специальном Регуляторном Хабе.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
TACC
Путин запретил с 2025 года использовать услуги кибербезопасности из недружественных стран
Соответствующий указ президента уже распространялся на системы защиты информации
👍6😢4🤔2💩1
Облачные инфраструктуры непрерывно растут и эволюционируют, поэтому требования к их надёжности, безопасности, масштабируемости и экономичности тоже растут.
О том, как строить инновационные продукты на основе данных, какие перспективные подходы внедряют отечественные компании на основе лучших мировых практик, и как обеспечить отказоустойчивость и стабильную работу этих систем, поговорят представители крупнейших российских организаций на VK Cloud Conf 24.
Мы, конечно, приглашаем всех присоединиться к дискуссии «Облачная кибербезопасность: подходы, практики и инструменты» в 14:15, на которой об этой острой теме поговорят лидеры отечественного ИБ-рынка, включая нашего CTO Антона Иванова.
Конференция пройдёт в четверг, 20 июня, онлайн и офлайн.
#события @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🌚2
Тем временем, для закрытой в апреле CVE-2024-26229 появился рабочий PoC — это тоже повышение привилегий, но через Windows CSC.
Тревожная статистика MFA в корпорациях: всего 9% крупных российских компаний администрируют свои домены, защищая панель управления 2FA, причём две трети из них используют простейшие одноразовые SMS. Надеемся, ваши админы не такие
А у бэкдора STR RAT исследователи отметили сезонность — он существует с 2020 года, но примерно раз в год получает функциональные обновления, после которых его начинают более активно применять злоумышленники.
#новости #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤2🔥2
CISO часто сложно ответить на вопрос бизнеса «во что обойдётся реализация этого риска». Помочь ответить на него могут те, кто лучше всего связывает риски и деньги — страховые компании. В ежегодном барометре рисков Allianz киберугрозы давно не выходят из топа, но по итогам прошлого года они впервые заняли первое место с существенным отрывом от второго. Ещё одно «впервые» — риск признали одинаково значимым компании всех размеров — от малого бизнеса до транснациональных корпораций. Для малого бизнеса основным фактором риска стала компрометация подрядчиков, ответственных за IT-услуги.
Рост обращений за страховым возмещением в связи с атаками ransomware вырос год-к-году на 50%, но среди угроз, которых опасается сам бизнес вымогатели лишь на втором месте — сильнее боятся утечек данных.
Правда, Allianz не приводит своих оценок о среднем ущербе от одного инцидента, ссылаясь на отчёт IBM, где насчитали аж 5,36 млн. дол. Зато эту цифру приводят другие страховщики — Coalition. Их оценка основана на собственных страховых выплатах, и она гораздо скромнее, но всё равно внушительна — 100 тыс. дол. за инцидент.
Интересно, что Coalition активно сопровождает IR у клиентов и ведёт статистику о конкретных технических особенностях инцидента. В 2023 году выросло число взломов, начавшихся с эксплуатации дыр в Cisco ASA. Клиенты, использующие эти устройства, обращались за страховым возмещением в 5(!) раз чаще, чем прочие. По Fortinet такого роста не было, но наличие «фортиков» в инфраструктуре всё равно удваивает шансы встречи с вымогателями. Ещё одним вечнозелёным риском остаются доступные из Интернета хосты RDP.
Возвращаясь к отчёту Allianz, одним из ключевых факторов снижения риска и уменьшения ущерба страховщики называют инвестиции в EDR и другие инструменты, упрощающие раннее детектирование атак и адекватный ответ на них.
#статистика #риск #ransomware @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4
Проанализировали 193 млн паролей из публичных утечек данных, чтобы оценить их стойкость ко взлому на современном широко доступном оборудовании вроде RTX 4090. Несмотря на то, что у большинства сервисов уже десятилетия есть парольные политики, реальные пароли остаются слабыми. При использовании оптимизированных алгоритмов перебора 45% паролей находятся менее чем за минуту, еще 14% занимают до часа. Лишь 23% паролей продержатся год и более.
Выводы для уточнения парольных политик:
Bonus track: момент, когда пользователь меняет пароль — лучшее время предложить ему включить MFA
#статистика #пароли @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥6❤4🤔1
Новый бюллетень VMWare VMSA-2024-0012 описывает две критических уязвимости с переполнением буфера в vCenter Server (CVE-2024-37079 и -37080, CVSS 9.8), и один дефект с повышением привилегий до root в vCenter Server (CVE-2024-37081, CVSS 7.8). По данным производителя уязвимости не эксплуатируются вживую, поэтому можно обновляться планово, с учётом особенностей обновления, описанных в FAQ. Обновлять нужно и VMware Cloud Foundation, а вот хосты ESXi трогать не придётся.
Но с учётом предыдущего опыта реальной эксплуатации дефектов в vCenter, откладывать патчи надолго нельзя.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4
Forwarded from Kaspersky
Kaspersky Industrial Cybersecurity Conference 2024 состоится уже в сентябре! 🤟
Глобальная конференция в области промышленной кибербезопасности, которая ежегодно собирает ведущих ИБ-экспертов, исследователей и поставщиков промышленной автоматизации со всего мира в этом году будет ещё масштабнее и состоится в Сочи 25-27 сентября.
Мы приглашаем к участию всех экспертов и практиков в качестве выступающих!
А вот список интересующих нас топиков:
🟣 кибербезопасность АСУ ТП, IoT, IIoT;
🟣 атаки на системы промышленной автоматизации;
🟣 нормативные акты/комплаенс в области промышленной кибербезопасности;
🟣 кибербезопасность в автомобильной и транспортной отраслях;
🟣 кибербезопасность судов и международной логистики;
🟣 исследование угроз и уязвимостей, связанных с операционными технологиями или любыми другими неклассическими ИТ-областями;
🟣 киберриски и киберстрахование для промышленных компаний.
Если вам есть, чем поделиться с коммьюнити, оставляйте заявку по ссылке➡️
Глобальная конференция в области промышленной кибербезопасности, которая ежегодно собирает ведущих ИБ-экспертов, исследователей и поставщиков промышленной автоматизации со всего мира в этом году будет ещё масштабнее и состоится в Сочи 25-27 сентября.
Мы приглашаем к участию всех экспертов и практиков в качестве выступающих!
А вот список интересующих нас топиков:
Если вам есть, чем поделиться с коммьюнити, оставляйте заявку по ссылке
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥4
Театр всегда ассоциируется с чем-то возвышенным и воздушным. Но за захватывающими дух постановками стоят множество людей, техники, усилий и организационных процессов, не видных рядовому зрителю.
Журнал «Правила Жизни» заглянул за кулисы Большого театра и рассказал о рабочих буднях его хора и оркестра, а также о том, как Лаборатория Касперского помогает выстроить ИБ объекта мирового культурного наследия.
Заглянуть за кулисы
@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍5
А группа Velvet Ant организовала шпионскую кампанию, скомпрометировав устройства F5 BIG-IP у жертвы, которые адаптировала под свои нужды в качестве C2. На целевых компьютерах в сети разворачивали PlugX. Вектор атаки — компрометация уязвимых версий ОС через известные CVE.
Руткиты на ферме: группа UNC3886 облюбовала опенсорсные руткиты Reptile и Medusa, чтобы маскировать своё присутствие на машинах с VMware ESXi. Управление кампанией ведётся через Github, целью является шпионаж.
CVE-2024-34102 (CVSS 9.8) выпущен фикс, но три четверти подверженных угрозе сайтов его не применили.
Phoenix SecureCore ставит под угрозу сотни моделей компьютеров Acer, Dell, Lenovo и HP. Локальный атакующий может повысить привилегии и даже выполнить код в контексте UEFI. О выпуске обновлений для CVE-2024-0762 (CVSS 7.5) пока объявила только Lenovo.
#новости #APT #дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4😱3❤1
Записали подробное видео про Kaspersky Threat Analysis — комплексный облачный инструмент анализа угроз, включающий Kaspersky Cloud Sandbox, а также инструменты Similarity и Attribution. С его помощью можно не только проводить динамический анализ подозрительных образцов, но и находить их сходства с ранее замеченными угрозами, несмотря на предпринятые злоумышленниками усилия по обфускации и модификации ВПО.
С помощью Kaspersky Threat Analysis легко оценить ситуацию всесторонне и принять эффективные и своевременные меры реагирования.
#видео #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Threat Analysis: набор инструментов для анализа угроз
Сегодня мы обсудим уникальный набор инструментов для анализа угроз Kaspersky Threat Analysis с экспертами Лаборатории Касперского. Узнаем, как эти инструменты помогают экономить время и усилия исследователей.
Мы рассмотрим Kaspersky Cloud Sandbox, который…
Мы рассмотрим Kaspersky Cloud Sandbox, который…
👍14🔥9❤1😢1
Хотя специалисты много говорят о пользе риск-ориентированного подхода к информационной безопасности, его практическое применение всегда сопряжено со значительными трудностями. Как связать риски и бюджет ИБ? Как оценить риски наступления событий, которые никогда не происходили? Кто нужен для верной оценки? Эти и многие другие вопросы практики ИБ обсудят на большом гибридном мероприятии AM Live+!
Другие темы в программе круглого стола:
От «Лаборатории Касперского» выступит Вениамин Левцов, директор глобального центра экспертизы по корпоративным решениям.
Начало 27 июня, в 11:00 (МСК)
Подробности и регистрация доступны по ссылке
#события @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍4
Изощрённые инженерные решения, применённые в бэкдоре XZ Utils, касаются не только того, как он был спрятан в open source коде. Наши исследователи детально изучили перехватчик функций, используемых в OpenSSH, и тоже нашли в нём несколько новаторских решений:
Полный анализ читайте на Securelist
#APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
securelist.ru
Поведение бэкдора в XZ в среде OpenSSH
В этой статье мы проанализируем поведение бэкдора в XZ внутри OpenSSH после перехвата RSA-функций.
👍5🔥5😱2
Российские компании различного размера за последние недели подверглись нескольким волнам фишинговых атак.
Сотрудники крупных компаний получают письмо от внутренней техподдержки, предлагающее якобы проверить доступность рабочих систем на новом сервере, или же проверить работу новых криптоалгоримов для защиты почты. В письме корректно указаны название компании и её рабочих систем.
Для малого бизнеса разработана иная схема — жертва получает запрос от отдела закупок компании из Дубая и может детально изучить заказ на поставку по ссылке, похожей на файлообменную. При переходе по ней нужно ввести свои реквизиты email, которые и получают злоумышленники.
Предупредите коллег!
#новости #фишинг @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍4💯4❤1