УЦСБ планирует выпустить DATAPK

УЦСБ: За информационной безопасностью АСУ ТП никто не следит

Валерий Коржов 11 Июня 2015 - 15:08

Корпорации

Интернет вещей

Смартфоны

Лаборатория Касперского

InfoWatch

Защита критически важных объектов

...

Екатеринбургская компания Уральский Центр Систем Безопасности (УЦСБ) провёл в Москве семинар под названием "Информационная безопасность промышленных систем автоматизации и управления", на котором были озвучены результаты проверки 30 промышленных объектов, на которых было развернуто 150 АСУ ТП. Обнаружилось, что на всех предприятиях были организационно-распорядительные документы, регламентирующие требования по информационной безопасности, однако ни в одном из них не было предусмотрено средства контроля за соблюдением требований этих документов

. "Ни на одном предприятии нам не удалось найти процедуру, которая бы позволяла в течении недели обнаружить нарушение требований безопасности собственных документов", - пояснил Антон Ёркин, руководитель направления УЦСБ.

Компания проводила аудит средств защиты промышленных предприятий - в основном металлургических и ТЭК - где проверялись три уровня защиты АСУ ТП: технологический, организационный и физический. Проблемы с документами - это уровень организационных мер, но и с техническими средствами защиты АСУ ТП не всё гладко. Из хорошего: исследователи обнаружили в 88% случаев, что компании предпринимали определённые меры обеспечения сетевой безопасности - отделяли операционную систему АСУ ТП от остальной корпоративной сети, или хотя бы настраивали межсетевой экран и контролировали доступ пользователей. Однако в 17% случаев был обнаружен удаленный доступ к операционной сети из общекорпоративной - это, как правило, администраторы ИТ организовывали канал для удаленного управления компьютерами АСУ ТП. Доступ к пользовательскому интерфейсу самих АСУ ТП часто был защищён паролем, по которому ограничивался набор пунктов меню системы управления. Однако базовые операционные системы были установлены в основном с настройками по умолчанию, а встроенные в PLC механизмы защиты были отключены. Антивирусное ПО было установлено на компьютеры АСУ ТП только в 25% случаев, но только в 11% - оно получало обновления. При этом сама система АСУ ТП обновлялась только в 8% случаев.

Физическая безопасность также была в целом на высоком уровне, однако системы контроля доступа и видеонаблюдения в основном были нацелены на выявление краж продукции и защиту самого объекта. Тем не менее были обнаружены случаи, когда операционный зал АСУ ТП находился за пределами охраняемого периметра.

Своё исследование защищённости решений для АСУ ТП представила на семинаре и компания Digital Security. Её специалисты изучили 20 мобильных приложений, которые разработаны для удаленного управления различными SCADA-системами. Обнаружилось, что нет ни одного приложения, которое было бы разработано с соблюдением требований безопасности. В частности, достаточно часто приложение просто хранило настройки на SD-карте мобильного устройства в незашифрованном виде, что позволяет другому приложению модифицировать эти настройки и нарушить работу основного приложения, а через него, возможно, и вмешаться в работу основной АСУ ТП. Также компания исследовала протокол взаимодействия с сервером и пыталась вмешаться в диалог между мобильным приложением и сервером. При этом обнаруживались такие ошибки проектирования как передача пароля от сервера в открытом виде и банальные SQL-инъекции на стороне сервера. Как уже было сказано, администраторы 17% систем настроили удаленный доступ к ним, вполне возможно, и с помощью мобильных приложений.

Собственно, чтобы контролировать соблюдение требований безопасности при управлении АСУ ТП компания УЦСБ разработала собственный продукт для мониторинга промышленных сетей под названием DATAPK. Он собирает информацию о функционировании промышленной сети и выдаёт сообщения в случае обнаружения несанкционированной активности. Сейчас компания проводит несколько пилотных проектов по тестированию своего решения. Пока разработка правил защиты требует достаточно сложной работы с клиентом, чтобы описать корректные режимы работы АСУ ТП и выяснить потенциально опасные ситуации. Впрочем, при внедрении аналогичных систем других производителей - Инженирингового центра МИФИ и "Лаборатории Касперского" - также требуются длительные консультации с клиентами и построение сложных правил контроля, которые не могут быть применены в других условиях. Впрочем, все компании-производители собираются заняться обучением своих партнёров, чтобы со временем передать им работу по настройке защиты АСУ ТП.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 14 Января 2026 - 09:09

Windows Эксплойты Уязвимости программ Уязвимость нулевого дня Домашние пользователи Корпорации Microsoft

0-day и истечение сертификатов Secure Boot: первый Patch Tuesday 2026-го

Microsoft выпустила первый набор патчей в 2026 году, закрыв сразу 114 уязвимостей в Windows и связанных компонентах. Одна уязвимость уже эксплуатируется в атаках, а ещё две — публично раскрытые 0-day бреши. Всего в обновления вошли восемь критических уязвимостей: шесть позволяют удалённо выполнить код, ещё две связаны с повышением привилегий.

Остальные баги распределились по более «традиционным» категориям — от утечек информации до подмены данных:

57 проблем повышения привилегий;
22 уязвимости удалённого выполнения кода;
22 проблемы с раскрытием информации;
5 уязвимостей подмены (spoofing);
3 обхода защитных механизмов;
2 уязвимости отказа в обслуживании (DoS).

В статистику вошли только обновления, выпущенные непосредственно в рамках Patch Tuesday — без учёта Edge и отдельных патчей для Mariner, которые выходили ранее.

Главная новость этого месяца — одна активно эксплуатируемая уязвимость нулевого дня и ещё две, о которых было известно публично.

1. CVE-2026-20805
Уязвимость в Desktop Window Manager позволяла локальному атакующему получить доступ к конфиденциальным данным в памяти. По данным Microsoft, злоумышленник мог читать адреса памяти, связанные с ALPC-портами в пользовательском режиме. Как именно эта проблема использовалась в атаках, компания не объясняет, но подтверждает, что соответствующий эксплойт уже применялся на практике.

2. CVE-2026-21265
Одна из публично раскрытых 0-day связана с истечением сертификатов Secure Boot, выданных ещё в 2011 году. Microsoft предупреждает: если система давно не обновлялась, это повышает риск обхода Secure Boot. В 2026 году истекают сразу несколько ключевых сертификатов, которые используются для проверки загрузчиков Windows и сторонних компонентов UEFI.

Январские обновления продлевают доверительную цепочку и обновляют сертификаты, чтобы системы продолжили корректно проверять загрузку.

3. CVE-2023-31096
Речь идёт о старом драйвере Agere Soft Modem, который поставлялся вместе с Windows и уже использовался злоумышленниками для получения прав администратора. Microsoft предупреждала об этой проблеме ещё осенью, а теперь окончательно удалила уязвимые драйверы agrsm64.sys и agrsm.sys из системы в рамках январского накопительного обновления.

Как обычно в случае с Patch Tuesday, рекомендация простая: установить обновления как можно скорее. В этом месяце патчи закрывают не только «теоретические» проблемы, но и уязвимости, которые уже применяются в реальных атаках.

Особое внимание стоит уделить системам, которые давно не обновлялись — особенно из-за рисков, связанных с Secure Boot и устаревшими компонентами. Полный список пропатченных дыр приводим ниже в таблице:

Затронутый компонент	Идентификатор CVE	Наименование CVE	Степень риска
Agere Windows Modem Driver	CVE-2023-31096	MITRE: CVE-2023-31096 Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability	Важная
Azure Connected Machine Agent	CVE-2026-21224	Azure Connected Machine Agent Elevation of Privilege Vulnerability	Важная
Azure Core shared client library for Python	CVE-2026-21226	Azure Core shared client library for Python Remote Code Execution Vulnerability	Важная
Capability Access Management Service (camsvc)	CVE-2026-20835	Capability Access Management Service (camsvc) Information Disclosure Vulnerability	Важная
Capability Access Management Service (camsvc)	CVE-2026-20851	Capability Access Management Service (camsvc) Information Disclosure Vulnerability	Важная
Capability Access Management Service (camsvc)	CVE-2026-20830	Capability Access Management Service (camsvc) Elevation of Privilege Vulnerability	Важная
Capability Access Management Service (camsvc)	CVE-2026-21221	Capability Access Management Service (camsvc) Elevation of Privilege Vulnerability	Важная
Capability Access Management Service (camsvc)	CVE-2026-20815	Capability Access Management Service (camsvc) Elevation of Privilege Vulnerability	Важная
Connected Devices Platform Service (Cdpsvc)	CVE-2026-20864	Windows Connected Devices Platform Service Elevation of Privilege Vulnerability	Важная
Desktop Window Manager	CVE-2026-20805	Desktop Window Manager Information Disclosure Vulnerability	Важная
Desktop Window Manager	CVE-2026-20871	Desktop Windows Manager Elevation of Privilege Vulnerability	Важная
Dynamic Root of Trust for Measurement (DRTM)	CVE-2026-20962	Dynamic Root of Trust for Measurement (DRTM) Information Disclosure Vulnerability	Важная
Graphics Kernel	CVE-2026-20836	DirectX Graphics Kernel Elevation of Privilege Vulnerability	Важная
Graphics Kernel	CVE-2026-20814	DirectX Graphics Kernel Elevation of Privilege Vulnerability	Важная
Host Process for Windows Tasks	CVE-2026-20941	Host Process for Windows Tasks Elevation of Privilege Vulnerability	Важная
Inbox COM Objects	CVE-2026-21219	Inbox COM Objects (Global Memory) Remote Code Execution Vulnerability	Важная
Mariner	CVE-2026-21444	libtpms returns wrong initialization vector when certain symmetric ciphers are used	Средняя
Mariner	CVE-2025-68758	backlight: led-bl: Add devlink to supplier LEDs	Средняя
Mariner	CVE-2025-68757	drm/vgem-fence: Fix potential deadlock on release	Средняя
Mariner	CVE-2025-68764	NFS: Automounted filesystems should inherit ro,noexec,nodev,sync flags	Средняя
Mariner	CVE-2025-68756	block: Use RCU in blk_mq_[un]quiesce_tagset() instead of set->tag_list_lock	Важная
Mariner	CVE-2025-68763	crypto: starfive - Correctly handle return of sg_nents_for_len	Средняя
Mariner	CVE-2025-68755	staging: most: remove broken i2c driver	Средняя
Mariner	CVE-2025-68759	wifi: rtl818x: Fix potential memory leaks in rtl8180_init_rx_ring()	Важная
Mariner	CVE-2025-68766	irqchip/mchp-eic: Fix error code in mchp_eic_domain_alloc()	Важная
Mariner	CVE-2025-68753	ALSA: firewire-motu: add bounds check in put_user loop for DSP events	Важная
Mariner	CVE-2025-68765	mt76: mt7615: Fix memory leak in mt7615_mcu_wtbl_sta_add()	Средняя
Microsoft Edge (Chromium-based)	CVE-2026-0628	Chromium: CVE-2026-0628 Insufficient policy enforcement in WebView tag	Неизвестно
Microsoft Graphics Component	CVE-2026-20822	Windows Graphics Component Elevation of Privilege Vulnerability	Критическая
Microsoft Office	CVE-2026-20952	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2026-20953	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2026-20943	Microsoft Office Click-To-Run Elevation of Privilege Vulnerability	Важная
Microsoft Office Excel	CVE-2026-20949	Microsoft Excel Security Feature Bypass Vulnerability	Важная
Microsoft Office Excel	CVE-2026-20950	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2026-20956	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2026-20957	Microsoft Excel Remote Code Execution Vulnerability	Критическая
Microsoft Office Excel	CVE-2026-20946	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2026-20955	Microsoft Excel Remote Code Execution Vulnerability	Критическая
Microsoft Office SharePoint	CVE-2026-20958	Microsoft SharePoint Information Disclosure Vulnerability	Важная
Microsoft Office SharePoint	CVE-2026-20959	Microsoft SharePoint Server Spoofing Vulnerability	Важная
Microsoft Office SharePoint	CVE-2026-20947	Microsoft SharePoint Server Remote Code Execution Vulnerability	Важная
Microsoft Office SharePoint	CVE-2026-20951	Microsoft SharePoint Server Remote Code Execution Vulnerability	Важная
Microsoft Office SharePoint	CVE-2026-20963	Microsoft SharePoint Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2026-20948	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2026-20944	Microsoft Word Remote Code Execution Vulnerability	Критическая
Printer Association Object	CVE-2026-20808	Windows File Explorer Elevation of Privilege Vulnerability	Важная
SQL Server	CVE-2026-20803	Microsoft SQL Server Elevation of Privilege Vulnerability	Важная
Tablet Windows User Interface (TWINUI) Subsystem	CVE-2026-20827	Tablet Windows User Interface (TWINUI) Subsystem Information Disclosure Vulnerability	Важная
Tablet Windows User Interface (TWINUI) Subsystem	CVE-2026-20826	Tablet Windows User Interface (TWINUI) Subsystem Information Disclosure Vulnerability	Важная
Windows Admin Center	CVE-2026-20965	Windows Admin Center Elevation of Privilege Vulnerability	Важная
Windows Ancillary Function Driver for WinSock	CVE-2026-20831	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Важная
Windows Ancillary Function Driver for WinSock	CVE-2026-20860	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Важная
Windows Ancillary Function Driver for WinSock	CVE-2026-20810	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Важная
Windows Client-Side Caching (CSC) Service	CVE-2026-20839	Windows Client-Side Caching (CSC) Service Information Disclosure Vulnerability	Важная
Windows Clipboard Server	CVE-2026-20844	Windows Clipboard Server Elevation of Privilege Vulnerability	Важная
Windows Cloud Files Mini Filter Driver	CVE-2026-20940	Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability	Важная
Windows Cloud Files Mini Filter Driver	CVE-2026-20857	Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability	Важная
Windows Common Log File System Driver	CVE-2026-20820	Windows Common Log File System Driver Elevation of Privilege Vulnerability	Важная
Windows Deployment Services	CVE-2026-0386	Windows Deployment Services Remote Code Execution Vulnerability	Важная
Windows DWM	CVE-2026-20842	Microsoft DWM Core Library Elevation of Privilege Vulnerability	Важная
Windows Error Reporting	CVE-2026-20817	Windows Error Reporting Service Elevation of Privilege Vulnerability	Важная
Windows File Explorer	CVE-2026-20939	Windows File Explorer Information Disclosure Vulnerability	Важная
Windows File Explorer	CVE-2026-20932	Windows File Explorer Information Disclosure Vulnerability	Важная
Windows File Explorer	CVE-2026-20937	Windows File Explorer Information Disclosure Vulnerability	Важная
Windows File Explorer	CVE-2026-20823	Windows File Explorer Information Disclosure Vulnerability	Важная
Windows Hello	CVE-2026-20852	Windows Hello Tampering Vulnerability	Важная
Windows Hello	CVE-2026-20804	Windows Hello Tampering Vulnerability	Важная
Windows HTTP.sys	CVE-2026-20929	Windows HTTP.sys Elevation of Privilege Vulnerability	Важная
Windows Hyper-V	CVE-2026-20825	Windows Hyper-V Information Disclosure Vulnerability	Важная
Windows Installer	CVE-2026-20816	Windows Installer Elevation of Privilege Vulnerability	Важная
Windows Internet Connection Sharing (ICS)	CVE-2026-20828	Windows rndismp6.sys Information Disclosure Vulnerability	Важная
Windows Kerberos	CVE-2026-20849	Windows Kerberos Elevation of Privilege Vulnerability	Важная
Windows Kerberos	CVE-2026-20833	Windows Kerberos Information Disclosure Vulnerability	Важная
Windows Kernel	CVE-2026-20838	Windows Kernel Information Disclosure Vulnerability	Важная
Windows Kernel	CVE-2026-20818	Windows Kernel Information Disclosure Vulnerability	Важная
Windows Kernel Memory	CVE-2026-20809	Windows Kernel Memory Elevation of Privilege Vulnerability	Важная
Windows Kernel-Mode Drivers	CVE-2026-20859	Windows Kernel-Mode Driver Elevation of Privilege Vulnerability	Важная
Windows LDAP - Lightweight Directory Access Protocol	CVE-2026-20812	LDAP Tampering Vulnerability	Важная
Windows Local Security Authority Subsystem Service (LSASS)	CVE-2026-20854	Windows Local Security Authority Subsystem Service (LSASS) Remote Code Execution Vulnerability	Критическая
Windows Local Security Authority Subsystem Service (LSASS)	CVE-2026-20875	Windows Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability	Важная
Windows Local Session Manager (LSM)	CVE-2026-20869	Windows Local Session Manager (LSM) Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20924	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20874	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20862	Windows Management Services Information Disclosure Vulnerability	Важная
Windows Management Services	CVE-2026-20866	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20867	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20861	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20865	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20858	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20918	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20877	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20923	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Management Services	CVE-2026-20873	Windows Management Services Elevation of Privilege Vulnerability	Важная
Windows Media	CVE-2026-20837	Windows Media Remote Code Execution Vulnerability	Важная
Windows Motorola Soft Modem Driver	CVE-2024-55414	Windows Motorola Soft Modem Driver Elevation of Privilege Vulnerability	Важная
Windows NDIS	CVE-2026-20936	Windows NDIS Information Disclosure Vulnerability	Важная
Windows NTFS	CVE-2026-20922	Windows NTFS Remote Code Execution Vulnerability	Важная
Windows NTFS	CVE-2026-20840	Windows NTFS Remote Code Execution Vulnerability	Важная
Windows NTLM	CVE-2026-20925	NTLM Hash Disclosure Spoofing Vulnerability	Важная
Windows NTLM	CVE-2026-20872	NTLM Hash Disclosure Spoofing Vulnerability	Важная
Windows Remote Assistance	CVE-2026-20824	Windows Remote Assistance Security Feature Bypass Vulnerability	Важная
Windows Remote Procedure Call	CVE-2026-20821	Remote Procedure Call Information Disclosure Vulnerability	Важная
Windows Remote Procedure Call Interface Definition Language (IDL)	CVE-2026-20832	Windows Remote Procedure Call Interface Definition Language (IDL) Elevation of Privilege Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2026-20868	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2026-20843	Windows Routing and Remote Access Service (RRAS) Elevation of Privilege Vulnerability	Важная
Windows Secure Boot	CVE-2026-21265	Secure Boot Certificate Expiration Security Feature Bypass Vulnerability	Важная
Windows Server Update Service	CVE-2026-20856	Windows Server Update Service (WSUS) Remote Code Execution Vulnerability	Важная
Windows Shell	CVE-2026-20834	Windows Spoofing Vulnerability	Важная
Windows Shell	CVE-2026-20847	Microsoft Windows File Explorer Spoofing Vulnerability	Важная
Windows SMB Server	CVE-2026-20926	Windows SMB Server Elevation of Privilege Vulnerability	Важная
Windows SMB Server	CVE-2026-20921	Windows SMB Server Elevation of Privilege Vulnerability	Важная
Windows SMB Server	CVE-2026-20919	Windows SMB Server Elevation of Privilege Vulnerability	Важная
Windows SMB Server	CVE-2026-20927	Windows SMB Server Denial of Service Vulnerability	Важная
Windows SMB Server	CVE-2026-20848	Windows SMB Server Elevation of Privilege Vulnerability	Важная
Windows SMB Server	CVE-2026-20934	Windows SMB Server Elevation of Privilege Vulnerability	Важная
Windows Telephony Service	CVE-2026-20931	Windows Telephony Service Elevation of Privilege Vulnerability	Важная
Windows TPM	CVE-2026-20829	TPM Trustlet Information Disclosure Vulnerability	Важная
Windows Virtualization-Based Security (VBS) Enclave	CVE-2026-20938	Windows Virtualization-Based Security (VBS) Enclave Elevation of Privilege Vulnerability	Важная
Windows Virtualization-Based Security (VBS) Enclave	CVE-2026-20935	Windows Virtualization-Based Security (VBS) Information Disclosure Vulnerability	Важная
Windows Virtualization-Based Security (VBS) Enclave	CVE-2026-20819	Windows Virtualization-Based Security (VBS) Information Disclosure Vulnerability	Важная
Windows Virtualization-Based Security (VBS) Enclave	CVE-2026-20876	Windows Virtualization-Based Security (VBS) Enclave Elevation of Privilege Vulnerability	Критическая
Windows WalletService	CVE-2026-20853	Windows WalletService Elevation of Privilege Vulnerability	Важная
Windows Win32K - ICOMP	CVE-2026-20811	Win32k Elevation of Privilege Vulnerability	Важная
Windows Win32K - ICOMP	CVE-2026-20870	Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability	Важная
Windows Win32K - ICOMP	CVE-2026-20920	Win32k Elevation of Privilege Vulnerability	Важная
Windows Win32K - ICOMP	CVE-2026-20863	Win32k Elevation of Privilege Vulnerability	Важная