Вышла новая версия X-Config с расширенным списком контролируемого софта

Екатерина Быстрова 03 Июля 2024 - 11:27

Корпорации

Spacebit

X-Config

Системы защиты от несанкционированного доступа

Контроль целостности компьютерной системы (Контроль целостности)

Средства контроля целостности информационных систем

...

Вышла новая версия X-Config с расширенным списком контролируемого софта

Вышла новая версия российской системы управления безопасностью конфигураций X-Config, в которой разработчики улучшили поиск сетевых ресурсов и задач на проверку, а также оптимизировали фильтрацию свойств ресурсов и дали возможность выгружать отчёты в формате CSV.

По словам компании Spacebit, стоящей за разработкой X-Config, новые возможности системы позволят специалистам более комфортно контролировать настройки системного и прикладного софта в ИТ-инфраструктуре.

Например, в новой версии X-Config расширили критерии фильтрации свойств ресурсов для создания динамических групп, автоматически наполняемых за счёт данных об обслуживаемых хостах.

При этом элементы в них проверяются по сконфигурированным профилям на базе стандартов безопасного конфигурирования. Готовые стандарты для разных типов софта, которые создавались с учётом требований регуляторов, входят в состав системы.

Девелоперы постоянно расширяют список поддерживаемых программ, но уже сейчас заказчик может отправить запрос на возможность контроля специфического софта.

X-Config теперь позволяет использовать полные доменные адреса (FQDN) для идентификации сетевых ресурсов — хорошая альтернатива старым добрым IP-адресам, а при проверке ресурсов в новой версии поддерживается Kerberos-аутентификация.

Как уже отмечалось выше, система управления безопасностью конфигураций теперь позволяет экспортировать приоритизированные отчеты с результатами проверки в CSV-формате.

Как объясняют в Spacebit, список контролируемого софта в новой версии X-Config пополнился более чем тридцатью новыми системами. Совсем скоро разработчики обещают реализовать управление настройками сетевых устройств от Cisco и Juniper.

В мае мы обозревали X-Config 1.10, в которой улучшены механизмы доступа, добавлены возможности масштабирования, оптимизирована работа с большим объёмом ресурсов, увеличено общее количество стандартов безопасного конфигурирования, расширена поддержка отечественных операционных систем.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: