BIS Summit впервые выехал в Белоруссию

BIS Summit впервые выехал в Белоруссию

Международная конференция BIS Summit расширила свои границы и впервые прошла в столице Республики Беларусь. На BIS Summit Minsk выступило 22 эксперта рынка информационной безопасности из России, Беларуси, Украины и Эстонии. Мероприятие посетило свыше 170 гостей.

BIS Summit Minsk – продолжение международной конференции BIS Summit, которая ежегодно проходит в Москве на протяжении почти 10 лет при поддержке Ассоциации по защите корпоративной информации BISA (BusinessInformationSecurityAssociation). Мероприятие в Минске под темой «ИБ-импровизации в условиях перемен» стало отличной возможностью для встречи и общения профессионалов рынка ИБ, которые по разным причинам не могут добраться до Москвы.

Мероприятие началось с пленарного заседания «Безопасность онлайн-сервисов». Открыл заседание Рустэм Хайретдинов, президент Ассоциации BISA, представив доклад о современном влиянии на профиль безопасности онлайн-сервисов. Затем с результатами расследований киберпреступлений выступил Александр Сушко, начальник управления по расследованию преступлений против ИБ и интеллектуальной собственности главного следственного управления СК РБ. Наталья Касперская, президент ГК InfoWatch (Россия), представила доклад о современных информационных угрозах и рассказала, какие отрасли сегодня наиболее уязвимы для злоумышленников, какие типы атак самые актуальные. Дмитрий Устюжанин, эксперт BISA (Россия), говорил о моделях угроз и безопасности финансовых онлайн-сервисов, а Александр Виноградов, начальник управления ИБ АО КБ «Златкомбанк», рассказал где и как получить профессиональную поддержку коллег в случае хищения денежных средств.

«Сейчас в мире появляется много новых и интересных технологий для бизнеса, но внедрение инноваций всегда сопряжено с рисками и необходимостью защиты. Лично меня очень волнует тематика безопасности в онлайн-платежах, безопасность финансовых транзакций и то, как к этому относится бизнес. Как найти баланс между защитными элементами, мониторингом безопасности и увязать это в целом с рисками для бизнеса? Это важные вопросы, и их обсуждение с зарубежными коллегами было плодотворным», – дополнил Дмитрий Устюжанин.

После пленарной части состоялись два секционных заседания. На секции «Информационная безопасность и бизнес» рассматривались вопросы применения сценариев социальной инженерии к пользователям платежных сервисов, правовые особенности законодательства Республики Беларусь в применении DLP-технологий и корпоративная киберкультура до и после внедрения DLP. Секция для технических специалистов под названием «Hi-Tech в информационной безопасности» была посвящена рассмотрению вопросов защиты web-приложений и подводных камней при внедрении ИБ-решений, опыту внедрения технических защитных мер.

Еще одной темой, которую обсуждали ведущие эксперты из разных стран, стала дискуссия «Облачная безопасность или безопасность в "облаках" = Cloud Security». Ведущей этой сессии, проходившей в формате talk show, была Наталья Касперская. Использование облачных технологий прочно вошло в нашу жизнь, а создание государственных «облаков» является перспективным направлением информационно-коммуникационных технологий в целом. Профессионалам индустрии ИБ предстояло выяснить, как управлять рисками и угрозами, возникшими в ситуации роста спроса на данные технологии, обозначить перспективы их развития в Республике Беларусь.

«Идет явная тенденция к суверенизации интернета и созданию границ – это делает Китай, Россия, Европа. Я думаю, что это логическое проявление того, что интернет по мере глубокого проникновения в нашу  жизнь показывает свои разные, не только положительные стороны, – отметила Наталья Касперская. – Хранение данных в облачных структурах не гарантирует безопасность информации. Отчет Аналитического Центра InfoWatch, в частности, показывает, что 60% утечек происходит через «облака». Одной из основных нерешенных проблем является отсутствие ответственности провайдера информации между теми, кто ею владеет, и теми, кто обеспечивает безопасность».

В рамках пресс-конференции на BIS Summit Minsk белорусским СМИ были представлены обзоры утечек информации в России, в Беларуси и во всем мире, подготовленные Аналитическим Центром InfoWatch и компанией EY. Кроме того, участники рассмотрели финансовую сторону угроз ИБ и обсудили реалии управления рисками ИБ.

«Сейчас кризисное время, и всех беспокоит один вопрос – стоит ли сокращать затраты на безопасность. Но следует понимать, что количество и сложность систем растет, бизнес всё больше зависит от своих цифровых активов, поэтому защищать их надо. И с каждым годом это будет стоить все дороже, поэтому значительное внимание следует уделять правильному бюджетированию информационной безопасности», – дополнил Кирилл Домнич, менеджер отдела бизнес-консультирования минского офиса компании EY.

В течение всего дня конференции работала демо-зона,  где были представлены последние версии решений по защите от внутренних и внешних угроз, проведены живые демонстрации продуктов.

«Здесь, на BIS Summit Minsk, есть возможность перенять международный опыт: всё-таки мы живем и работаем в разных странах, и в каких-то вопросах мы впереди, а в каких-то нам есть чему поучиться у белорусов. Рад, что нам удалось встретиться и обсудить ряд профессиональных вопросов», – подытожил Александр Виноградов, начальник управления ИБ АО КБ «Златкомбанк» (Россия).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в ksmbd Linux позволяют получить root через SMB

Без лишней мистики: исследователь в области кибербезопасности BitsByWill подробно разобрал две критические уязвимости в ksmbd — встроенном в ядро Linux SMB-сервере. Речь о CVE-2023-52440 и CVE-2023-4130 — и самое неприятное, что они отлично склеиваются в рабочую эксплойт-цепочку.

Первая уязвимость, CVE-2023-52440, описывается как контролируемое SLUB-переполнение в функции ksmbd_decode_ntlmssp_auth_blob().

Как пишет BitsByWill, длина sess_key_len контролируется пользователем, и при определённой подаче данных можно переполнить фиксированный буфер sess_key во время вызова cifs_arc4_crypt. Проще говоря — достаточно модифицировать одну строку в ntlm-клиентской библиотеке (в примере — Impacket), чтобы сгенерировать специально подготовленное NTLM-сообщение и получить неаутентифицированное удалённое переполнение буфера с контролем размера и содержимого.

Вторая уязвимость, CVE-2023-4130, — это чтение за пределами буфера (OOB read) в smb2_set_ea(). Из-за плохой проверки расширенных атрибутов (EA) злоумышленник с правом записи на шаре может заставить ksmbd неправильно интерпретировать структуру и считать дополнительные записи. В результате соседние данные кучи попадают в xattr, откуда их можно извлечь через SMB3 queryInfo. То есть брешь позволяет вытянуть части памяти ядра и, например, сломать KASLR.

И вот где всё становится опасно: переполнение даёт запись, чтение даёт утечку. Связав CVE-2023-52440 и CVE-2023-4130, BitsByWill показал рабочий путь до реального ROP-эксплойта.

Для демонстрации потребовались учётные данные пользователя с правом записи на шару, поэтому исследователь пишет о 0-click с аутентификацией — формулировка спорная, но смысл понятен: если админ разрешил анонимную запись в шаре, шанс эксплуатации становится ещё выше.

Авторы анализа подчёркивают практические сценарии: модификация таблиц страниц для произвольного чтения/записи, вынимание секретов из соседних процессов или подготовка ROP-цепочки для исполнения кода в контексте ядра. Всё это — классика эскалации привилегий, но в данном случае — прямо через SMB-интерфейс ядра.

Патчи уже вышли, и производители/поддерживающие дистрибутивы закрывали эти баги, но реальная угроза — не только в уязвимом коде, а в конфигурациях и устаревших системах. Как обычно, напомним: открытые для записи шар-ресурсы, устаревшее ПО и несвоевременное обновление — идеальная среда для подобных атак.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru