🙂 Чипы GigaDevice GD32 в зоне риска: исследователи из Positive Labs обнаружили уязвимости в технологии защиты их прошивки от считывания.

Ими могут воспользоваться потенциальные злоумышленники, чтобы извлечь прошивку, найти в ней слабые места для атаки, модифицировать или украсть внутреннее ПО и выпустить устройство под другой маркой.

🤔 Как так вышло

Наши исследователи обнаружили баг в одном из микроконтроллеров, а после для независимой проверки купили и протестировали еще 11 разных чипов GigaDevice из серии GD32, предварительно активировав в них технологию защиты.

В результате эксперты смогли извлечь прошивку в незашифрованном виде и найти несколько уязвимостей, позволяющих полностью нарушить работу конечных устройств без возможности восстановления.

😨 Чем это опасно

Вендоры из многих стран, включая Россию, используют микроконтроллеры GigaDevice GD32 во множестве сложных устройств: от автомобильных двигателей и аккумуляторов до систем доступа в помещение.

«Скаченная прошивка в открытом виде облегчает для атакующего поиск уязвимостей в оборудовании — а данные микроконтроллеры в последние полтора года нередко используются в российской продукции для замены популярных 32-битных микросхем производства STMicroelectronics», — рассказывает Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies.

🧐 Что с этим делать

Мы уведомили производителя об угрозе в рамках политики ответственного разглашения. Однако, учитывая, как трудно устранять угрозы, связанные с аппаратными уязвимостями, наши эксперты рекомендует производителям при проектировании конечных устройств использовать микроконтроллеры, в которых технология защиты от скачивания прошивки протестирована независимыми исследователями.

Пользователи могут запросить наименования микроконтроллеров у производителя конечного устройства или посмотреть маркировку чипа, разобрав его самостоятельно.

Пользуйтесь проверенными чипами и оставайтесь в безопасности!

@Positive_Technologies
#PositiveЭксперты

✉️ Здравствуйте, хотите послушать историю о харденинге почтового сервера Microsoft Exchange?

Однажды темной-темной ночью гендиректор организации-контрагента получил от руководителя компании N письмо с просьбой поделиться конфиденциальными данными. Гендиректор насторожился и решил уточнить информацию. «Фишинг!» — предположили специалисты по кибербезопасности из N.

😱 Но оказалось, что все гораздо серьезнее: злоумышленники получили доступ к почтовому серверу Microsoft Exchange и уже некоторое время не только читали всю переписку сотрудников компании, но и могли отправлять письма от их имени.

Как так вышло и чем все закончилось, рассказал в статье на Хабре Павел Маслов, архитектор дирекции инфраструктурных проектов Positive Technologies.

🤘 А главное — поделился пошаговой инструкцией, как прокачать и перенастроить почту, чтобы максимально усложнить задачу хакерам, решившим ее взломать.

Читайте и пересылайте всем, кому она тоже может пригодиться! И пусть ваши киберистории всегда завершаются хеппи-эндом!

#PositiveЭксперты
@Positive_Technologies

Вторая жизнь ваших SIM-карт 📱

Помните ли вы свой первый номер мобильного телефона? А что с ним сейчас? Может ли он попасть в руки хакеров? Получат ли они тогда доступ к вашим аккаунтам, к которым был привязан номер?

Вопросов — много. Разбирается в них в новом выпуске шоу «Сегодня ломаем» белый хакер Николай Анисеня (@xyuriti) с помощью 100 (!) новых SIM-карт.

Проверим, существуют ли привязанные аккаунты их старых владельцев на самых популярных платформах (спойлер: да). А потом расскажем, что делать, чтобы не стать жертвой такого взлома!

🔥 Смотрите выпуск на нашем YouTube-канале:

https://youtu.be/Wa3eiwC-CVU
https://youtu.be/Wa3eiwC-CVU
https://youtu.be/Wa3eiwC-CVU

На других платформах опубликуем видео в ближайшие дни.

🎁 Бонус: исследование в текстовом формате с графиками и рекомендациями вы можете найти на нашем сайте.

@PositiveHackMedia

♟ В шахматной партии «Хакеры против SOC» выигрывает тот, кто понимает, как думает противник, и видит его ошибки.

В новом материале Positive Research рассказали, как сыграть красивый гамбит и завершить игру эффектным эндшпилем с помощью MaxPatrol SIEM.

Итак, короткий пересказ стратегии от наших коллег Кирилла Кирьянова, руководителя группы обнаружения атак на конечных устройствах, и Екатерины Никулиной, старшего специалиста отдела мониторинга информационной безопасности PT ESC.

1️⃣ Первый шаг: пешка на е2 научиться управлять своими активами так, чтобы хакер не мог «ослепить» SIEM-систему.

2️⃣ Второй: научиться правильно комбинировать сигнатурные и поведенческие правила, чтобы система обнаружения работала как часы.

3️⃣ Третий: предусмотреть разные способы обхода детектов и маскировки инструментов хакеров.

4️⃣ Четвертый: подключить к поиску аномалий ИИ.

5️⃣ Пятый: собрать команду сильных игроков аналитиков SOC, которые даже в «серой» зоне сумеют разобраться, ложный алерт или нет.

Готово: партия завершена блестяще. Подробный разбор ищите в статье.

#PositiveResearch #MaxPatrolSIEM
@Positive_Technologies

👾 MaxPatrol VM 2.7: умный поиск информации об активах с помощью ИИ и улучшение производительности

Мы внедрили в нашу систему управления уязвимостями бета-версию умного поиска информации по активам для выявления необходимых групп, сортировки узлов по обнаруженным уязвимостям и выполнения других запросов.

Раннее поиск производился только через Positive Data Query Language (PDQL). Теперь с помощью ИИ пользователи смогут создавать распространенные текстовые запросы на русском языке без него. Это снизит порог входа для работы специалистов с системой и уменьшит когнитивную нагрузку специалистов по ИБ.

Важно: изучение синтаксиса PDQL остается актуальным для более сложных запросов, например для выявления учетных записей, у которых за последний месяц сменился пароль.

Павел Попов, лидер практики продуктов для управления уязвимостями Positive Technologies, отметил:

«Наша цель — непрерывно двигаться в сторону автоматизации процессов, улучшения производительности и результативности продукта. Поэтому если ранее для начала работы специалист мог потратить несколько дней на изучение языка PDQL, то теперь анализ инфраструктуры с помощью простых запросов можно начинать сразу после внедрения системы».

Кроме того, мы оптимизировали работу PDQL-запросов, что особенно заметно на больших инсталляциях, которые содержат более 10 000 активов. А также в несколько раз увеличили производительность системы.

В модуль MaxPatrol HCC 1.7 добавили поддержку новых стандартов, что позволяет проверять выполнение ключевых требований безопасности.

🔄 Подробности — в нашем материале.

#MaxPatrolVM
@Positive_Technologies

🍃 Вы ждали его целый месяц! Представляем дайджест из четырех самых горячих трендовых уязвимостей октября.

Среди них — недостатки безопасности в продуктах Microsoft и в платформе XWiki для одностраничных сайтов, которые можно связывать друг с другом. Все эти уязвимости либо уже активно эксплуатируются хакерами, либо могут начать использоваться в ближайшее время.

👾 Напоминаем, что если вы пользователь MaxPatrol VM, то уже знаете о трендовых уязвимостях октября (информация о них поступает в продукт в течение 12 часов с момента обнаружения).

Однако мы считаем важным делиться информацией не только с пользователями нашего продукта, но и с комьюнити специалистов по кибербезопасности, чтобы под защитой было как можно больше организаций.

💡 Уязвимости Windows, описанные ниже, по данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий операционной системы (например, Windows 11 и Windows 10).

Уязвимость в движке платформы MSHTML для обработки и отображения HTML-страниц

CVE-2024-43573 (CVSS — 6,5)

Может привести к несанкционированному раскрытию конфиденциальной информации. Для эксплуатации требуется взаимодействие с пользователем. Злоумышленники могут отправлять фишинговые письма с вредоносными вложениями или ссылками, ведущими на специально подготовленные ресурсы.

Уязвимость в драйвере ядра Windows, приводящая к повышению привилегий

CVE-2024-35250 (CVSS — 7,8)

Позволяет повысить привилегии до максимальных путем манипулирования запросом в драйвере ядра. Захватив полный контроль над системой, злоумышленник может получить доступ к конфиденциальной информации и действовать от имени локального администратора: устанавливать вредоносное ПО, изменять и удалять важные файлы.

Уязвимость в платформе Kernel Streaming для обработки данных, также позволяющая повысить привилегии в Windows

CVE-2024-30090 (CVSS — 7,0)

Результат эксплуатации — максимальные привилегии с возможностью выполнять действия от имени локального администратора, а также с возможностью получить доступ к конфиденциальной информации. Злоумышленник может повысить уровень привилегий, используя некорректные запросы.

Уязвимость, связанная с удаленным выполнением кода, в опенсорсной платформе XWiki

CVE-2024-31982 (CVSS — 10,0)

💡 По данным XWiki, уязвимость может затрагивать более 21 000 потенциальных жертв.

Недостаток вызван отсутствием валидации значений в поисковом запросе. Злоумышленник, манипулируя текстом в строке поиска, способен выполнить произвольный код на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки, например для внедрения вредоносного ПО.

Подробности обо всех уязвимостях, а также о том, как предотвратить их эксплуатацию, ищите в полной версии дайджеста.

#втрендеVM
@Positive_Technologies

💡 PT ICS выявляет атаки на системы промышленной автоматизации под управлением Redkit SCADA

В систему MaxPatrol SIEM, которая входит в состав решения PT Industrial Cybersecurity Suite (PT ICS), добавлен пакет экспертизы для контроля безопасности систем диспетчеризации на базе Redkit SCADA 2.0 (применяется на предприятиях электроэнергетики и нефтегазовой сферы).

🏭 По данным нашего исследования, в 2023 году каждая вторая атака на промышленные предприятия приводила к нарушению их деятельности.

«Избежать подобных угроз помогает высокая видимость технологической сети и инфраструктуры в целом. За счет этого специалисты службы ИБ могут выявлять опасные действия операторов, а также атаки внешних и внутренних злоумышленников (то есть злонамеренных сотрудников). Многие команды, которые отправляют операторы, фактически невозможно отследить встроенными в АСУ ТП средствами, а благодаря новому пакету экспертизы это происходит автоматически», — отметил Айнур Акчурин, эксперт группы ИБ промышленных систем управления Positive Technologies.

⚠️ Наш опыт расследований инцидентов показывает, что во многих SCADA-системах внутренний злоумышленник или атакующий, который получил доступ к рабочей станции инженера, может легко устранить следы своей активности.

Поэтому на промышленных предприятиях важно вовремя обнаруживать нелегитимные команды операторов. Скорость выявления таких действий на производстве критически важна: от нее зависит, удастся ли остановить кибератаку на раннем этапе.

🔍 Благодаря обновлениям теперь в системах на базе Redkit SCADA 2.0 с помощью PT ICS можно выявлять:

• неудачные попытки входа в систему,
• изменение пароля и парольной политики,
• модификацию конфигурационных файлов,
• другие подозрительные действия.

👀 Подробнее о PT ICS вы можете узнать на нашем сайте.

#PTICS
@Positive_Technologies

🎉 Встречайте MaxPatrol EDR версии 7.0

Большинство новых фич, конечно же, оценят крупные организации с распределенной инфраструктурой. Мы учли запросы таких клиентов, их реальный опыт отражения атак и использования инструментов для ИБ, чтобы внедрение системы было менее трудозатратным, а применение — более легким и удобным. В первую очередь в продукте появились поддержка отказоустойчивой кластерной установки серверов управления и возможность добавлять собственные пакеты экспертизы.

🆕 Новые политики обнаружения

В продукт добавлены более эффективные преднастроенные политики обнаружения, а также возможность создавать шаблоны на основе собственных политик и тиражировать их между филиалами и отделениями организации.

Это позволит в десятки раз ускорить процессы реагирования на обнаруженные инциденты. Организации смогут сократить операционные расходы на внедрение и масштабирование системы, а также точнее настроить ее под особенности инфраструктуры и применить в продукте опыт собственных специалистов ИБ.

🙂 Множественная реакция

Новая версия MaxPatrol EDR позволяет реагировать на инциденты ИБ на множестве агентов. Например, если атаке подвергнутся два десятка устройств, специалисты смогут выполнить необходимые действия на всех сразу. При этом консоль позволит визуально контролировать статус этой активности на всех устройствах и продолжать работу с выбранной группой, не прерываясь на повторный выбор агентов.

Это поможет многократно сократить время реагирования (с десятков до считаных минут). Кроме того, выполнять действия на агентах теперь можно и из сторонних систем — для этого предусмотрен API реагирования.

«Наша команда продолжает совершенствовать систему, с каждым обновлением повышая ее результативность. Например, добавление поддержки кластерной установки было одним из самых частых запросов клиентов. По нашим наблюдениям, сегодня десятки крупнейших компаний строят отказоустойчивые кластерные системы, которые суммарно обрабатывают миллионы событий в секунду. Теперь наш продукт позволяет обеспечить бесперебойную защиту конечных устройств в таких инфраструктурах», — комментирует Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies.

Кроме того, увеличена скорость и стабильность работы, снижено потребление памяти, добавлена поддержка нескольких операционных систем и выполнены другие важные доработки.

Обновитесь до версии 7.0, чтобы оценить, насколько круче стал продукт!

#MaxPatrolEDR
@Positive_Technologies

💻 Эксперт Positive Technologies помог устранить уязвимость нулевого дня в Windows

Сергей Тарасов, руководитель группы анализа уязвимостей экспертного центра безопасности компании Positive Technologies (PT ESC), обнаружил уязвимость CVE-2024-43629, которая до своего устранения могла позволить злоумышленнику повысить привилегии в системе (оценка по шкале CVSS 3.1 — 7,8, высокий уровень опасности).

«После того как атакующий попадает на компьютер жертвы, такой тип ошибок, как LPE (Local Privilege Escalation), дает киберпреступникам возможность повысить привилегии, захватить систему и продолжить атаку. Уязвимость была обнаружена в рамках регулярного исследования популярных программ. Информация о ней была заблаговременно предоставлена вендору в рамках политики ответственного разглашения. В короткий срок специалисты Microsoft устранили ошибку», — рассказал Сергей Тарасов.

💡 Технические детали вы можете узнать эксклюзивно в канале команды PT ESC (@ptescalator).

Microsoft выпустила обновления для Windows 10, Windows 11, а также Windows Server 2025, Windows Server 2022, Windows Server 2019, установка которых не позволит злоумышленникам проэксплуатировать уязвимость для атаки ваших систем и устройств.

Для своевременного обнаружения подобных недостатков безопасности рекомендуем использовать системы управления уязвимостями, например MaxPatrol VM.

#PositiveЭксперты
@Positive_Technologies

⚔️ Standoff 14 выходит на новый международный уровень

🔴 Заявки на участие в кибербитве, которая пройдет 26–29 ноября в онлайн-формате, подали 60 красных команд из 26 стран мира: Вьетнама, Индии, Индонезии и Таиланда, а также из стран Ближнего Востока, Африки и Латинской Америки.

🔵 Расследовать их атаки будут команды защитников из России, Малайзии, Вьетнама, Индонезии, Бангладеш и Эфиопии.

❓ Что будет на кибербитве

Участникам предстоит ломать и защищать виртуальное государство, где будут воссозданы системы предприятий и компаний из четырех отраслей: энергетики, нефтегаза, финансового сектора и ИТ. Победителей ждет призовой фонд на общую сумму 50 тысяч долларов США.

Следить за тем, как проходит осенняя кибербитва, можно на ежевечерних стримах из специально созданной студии аналитики. Вести их будут легенды и многократные чемпионы Standoff Павел Никитин (aka BlackRabbit) и Иван Булавин (aka BooL).

❔ Международный формат

Количество киберинцидентов во всем мире продолжает неуклонно расти: например, в третьем квартале 2024 года по сравнению с тем же периодом прошлого года их стало больше на 15%. Поэтому для всех стран обмен опытом и подготовка профессиональных кадров становятся критически важными. Для этого мы сделали кибербитву международной и перенесли ее в онлайн-формат, чтобы участие было удобным для всех желающих.

«У киберпреступности нет национальности, поэтому и сообщества белых хакеров также не должны замыкаться в границах своих стран, а службам ИБ нужно лучше понимать особенности хакерских тактик и техник из разных стран. В 2019 году Standoff впервые прошла за пределами России, в Абу-Даби. В этом году мы проведем уже вторую международную кибербитву; теперь красный лагерь полностью состоит из иностранных команд, с которыми мы готовы делиться своей богатой экспертизой», — объяснил Алексей Новиков, управляющий директор Positive Technologies.

🗣Присоединяйтесь к трансляциям и не забудьте подключить напоминания о начале стримов, чтобы не пропустить ничего интересного!

#Standoff14
@Positive_Technologies

❓ APT-C-60, или DarkHotel

💿 Мы как-то рассказывали про использование VHDX-файла в атаках и почему это удобно (нет, это не призыв к действию). Сам пост вы можете найти по ссылке. Тогда же мы упомянули, что по этой теме скоро выйдет исследование. Да, это наконец-то произошло!

🕵️‍♂️ Спешим вам напомнить про группировку APT-C-60. Это кибершпионская группа, впервые выявленная в 2021 году. Она нацелена на промышленные компании, особенно на производителей полупроводников в Южной Корее, а также на объекты в Восточной Азии.

Группировка использует фишинговые письма с вредоносными вложениями и эксплуатирует уязвимости в программном обеспечении (среди которых уязвимости в WPS Office) для внедрения вредоносного ПО под названием SpyGlace

В последнее время группировка использует уязвимости в продуктах WPS Office (CVE-2024-7262), однако ранее в своих атаках она как раз использовали виртуальный диск. В сентябре 2024 года мы заметили один из новых дисков и решили, что будет полезно рассказать об этом.

Другие исследователи связывают эту группировку с одним общим кластером под названием DarkHotel. Мы покажем, откуда взялась такая взаимосвязь, и еще раз убедимся, что исследовать метаданные — это важно.

☕️ Новое исследование можно найти на нашем сайте.

Приятного чтения!

#TI #news #APT
@ptescalator

⚡️ Надоело тратить время на устранение инцидентов? Научитесь предотвращать их заранее!

Мы запускаем новый практикум «Безопасность приложений для инженеров». Его авторы — эксперты Positive Technologies, которые знают, как обеспечить безопасность на каждом этапе разработки, сэкономить нервы и время, и могут научить этому других.

🎯 Почему стоит записаться

✳️ Вы научитесь строить защиту еще на этапе проектирования архитектуры приложений, уменьшая возможность появления уязвимостей.

✳️ Сможете обеспечить защищенность приложений без замедления процессов: мы покажем, как встроить принципы безопасной разработки в пайплайн и ускорить релизы.

✳️ Будете предотвращать уязвимости до выхода в прод и сможете избежать неожиданных рисков для своей инфраструктуры.

⏰ Старт практикума — 2 декабря, длительность — 6 недель, формат — онлайн. Учиться можно в любое время и из любой точки.

Дочитали? Самое время подать заявку!

#PositiveEducation
@Positive_Technologies

🙂 Каждый год радуемся, попадая в топ рейтинга ИT-брендов работодателей от Хабра и «ЭКОПСИ»

В этот раз мы самая привлекательная компания в сфере информационной безопасности и лучшие среди работодателей с количеством сотрудников от 1000 до 5000 человек 🏆

Составители рейтинга опросили 34 000 айтишников, из которых 90% — не ниже уровня middle. Всего они оценивали 670 работодателей, в штате которых не менее 50 ИТ-специалистов. Процент привлекательности рассчитывали по 41 (!) метрике, наш индекс в этом году супервысокий — 85%.

Мы всегда говорим о том, что сотрудники — главный актив Positive Technologies. Инициативность, предприимчивость, трудолюбие, готовность воплощать в жизнь свои идеи и помогать в этом другим, умение учиться и учить, способность гореть, но не сгорать на работе — качества, которые отличают наших коллег.

В свою очередь, мы стараемся всегда идти навстречу команде и делать так, чтобы каждый мог раскрыть свой потенциал и не просто «ходил на работу», а занимался любимым делом. Рады, что это заметно не только изнутри, но и со стороны. Спасибо всем, кто выбирает нас 🫶

Читайте больше о рейтинге на Хабре.

@Positive_Technologies

🛫 Наш рейс готов к взлету. Переход из другой SIEM-системы в MaxPatrol SIEM займет…

На самом деле время переезда индивидуально для каждой компании и зависит от количества правил, которые аналитики SOC посчитали необходимым перенести, а также от скорости работы, загруженности специалистов по кибербезопасности и других факторов.

✍️ Чтобы «полет» прошел в штатном режиме, пользуйтесь инструкцией, которую на примере удачного кейса миграции на MaxPatrol SIEM написал Геннадий Мухамедзянов, специалист по ИБ с более чем 20-летним опытом работы.

С его разрешения в своем блоге на «Хабре» делимся алгоритмом и пошаговыми рекомендациями по переносу контента (экспертизы), архитектуры и внедрения нашего SIEM-решения в развернутый SOC. А также рассказываем о том, как встроить MaxPatrol SIEM в существующие в организации процессы, чтобы замена предшественника прошла максимально безболезненно.

Пристегните ремни, читайте и действуйте!

#MaxPatrolSIEM
@Positive_Technologies

🕹 Предлагаем вам сыграть в одну игру

Все игроки в ней — тестировщики, которым во время прохождения заданий нужно поломать защиту NGFW разных лет, узнать, как они изменились за это время, и добраться до финального босса — PT NGFW 🔥

Каждый тап по экрану отправляет байты вредоносной информации, помогает проходить уровни и приносит вам баллы. Их можно копить или покупать на них новые атаки, которые помогут тапать ломать NGFW эффективнее.

🪙 Хотите получить больше баллов? Не ограничивайтесь дейликами, проходите квизы и выполняйте дополнительные задания.

Всем игрокам, которые попадут в топ-50, мы гарантированно вручим призы на запуске PT NGFW 20 ноября 🎁

🎁 Кстати, во время эфира откроется секретный бонусный уровень, прохождение которого повысит шансы попасть в таблицу рекордов и поможет заработать один из десяти дополнительных подарков.

Три, два, один... тап! Жмите ▶️ Play game прямо сейчас и не забудьте зарегистрироваться на запуск заранее в боте с игрой.

@Positive_Technologies
#PTNGFW