23.08.2023 | Хакерское лето подошло к концу. Какие уязвимости стали самыми обсуждаемыми на конференции Black Hat в Лас-Вегасе? |
Каждым летом в американском Лас-Вегасе проходит целый ряд крупнейших конференций по кибербезопасности, среди которых особое место занимает легендарная Black Hat . Мероприятие традиционно становится площадкой для анонса и обсуждения самых актуальных киберугроз. Каждый год исследователи рассказывают о найденных уязвимостях в популярных технологиях и сервисах. Эти открытия неизменно заставляют многочисленных руководителей информационной безопасности ( CISO ) задуматься о рисках для своих компаний. На Black Hat 2023 эксперты представили множество любопытных исследований и вот четыре самых опасных и громких уязвимостей, выявленных в этом году в сфере информационной безопасности. 1. Уязвимости ИИКак и ожидалось, тема ИИ стала одной из доминирующих на Black Hat в этом году. Основатель конференции Джефф Мосс открыл мероприятие ключевым докладом, посвящённым рискам и возможностям искусственного интеллекта. Особое внимание экспертов привлекла проблема безопасности облачных сервисов ИИ. Так, компания Trend Micro представила доклад об обнаруженных уязвимостях в Azure ML — платформе машинного обучения от Microsoft . По словам старшего исследователя Trend Micro Нитеша Сураны, эти баги могут привести к крупной утечке учётных данных и раскрытию API, что грозит также утечкой внутренних журналов (логов) сервиса. По мнению Сураны, найденные проблемы в Azure ML указывают на потенциальные риски и для других платформ MLaaS . «Базовые вопросы безопасности логирования, хранения конфиденциальных данных, раскрытия чувствительной информации и возможных механизмов закрепления в системе потенциально могут касаться и других облачных сервисов MLaaS», — пояснил эксперт. Выявленные Trend Micro уязвимости уже устранены корпорацией Microsoft. Однако Сурана считает, что провайдерам облачных сервисов в целом не хватает прозрачности в вопросах кибербезопасности. 2. Некорректные настройки Azure Active DirectoryЕщё одной горячей темой конференции стали уязвимости облачных платформ. Отдельный доклад был посвящён ошибке конфигурации в Azure Active Directory, позволяющей злоумышленникам получить несанкционированный доступ к клиентским системам. Этот новый вектор атак был впервые обнаружен в марте этого года исследовательской командой платформы облачной безопасности Wiz , которая подробно описала свои находки в наглядном отчёте. Специалисты Wiz выявили уязвимости, затрагивающие ряд приложений Microsoft, включая систему управления контентом Bing.com. По их данным, проблема позволяла манипулировать результатами поиска Bing и осуществлять атаки межсайтового скриптинга (XSS) на пользователей этого сервиса. Корпорация Microsoft оперативно устранила ошибку в настройках авторизации и выпустила рекомендации по безопасности для своих клиентов. 3. Уязвимости программного обеспечения SAPНа конференции выступили исследователи компании Onapsis , которая специализируется на кибербезопасности и соответствии нормативам. Они рассказали о проблемах безопасности в программном обеспечении SAP P4/RMI, которые теоретически могут быть использованы для удалённого доступа в корпоративных системах SAP. По словам докладчиков, злоумышленники способны комбинировать на первый взгляд совсем несерьёзные уязвимости, чтобы усилить воздействие атаки. И это даёт свои плоды. «В большинстве случаев наиболее вероятный риск — это боковое перемещение и эскалация привилегий атакующими, уже получившими определённый доступ к целевой сети с использованием SAP P4, поскольку эти продукты обычно недоступны напрямую из интернета, — пояснил Олег Колесников из Securonix. «В число ключевых сценариев атак в таком контексте может входить внутренний RCE , SQL -инъекции и утечка паролей», — добавил исследователь, отметив отдельно, что CISO определённо должны отнестись к этой проблеме со всей серьёзностью. 4. Уязвимость DownfallСтарший научный сотрудник Google Даниэль Могими выступил с докладом об уязвимости Downfall, способной затронуть процессоры Intel . Эта ошибка допускает случайную утечку данных и потенциально представляет опасность для миллиардов устройств. Корпорация Intel уже выпустила патч, однако для решения проблемы в корне может потребоваться модифицировать архитектуру процессоров в будущем. По словам Ричарда Виберта, сооснователя и CEO компании Metomic , занимающейся DLP -решениями, ошибка Downfall открывает злоумышленникам возможность атаковать уязвимости ПО на процессорах Intel, используя всего одну инструкцию. Эксперты считают, что пока Downfall остаётся в сфере теоретических угроз. Использование подобных ошибок на уровне ЦП, как Downfall, Spectre, Meltdown, в реальных атаках требует определённого предварительного доступа к системе и немалых заморочек. Тем не менее, с технической точки зрения такие атаки реальны и крайне опасны. Как снизить риски?Подводя итог, можно констатировать, что уязвимости в информационной безопасности — это реальность, с которой приходится считаться всем компаниям. Конференции вроде Black Hat помогают CISO быть в курсе новейших киберугроз и находить эффективные решения для снижения рисков. Однако в конечном счёте ответственность за защиту корпоративных данных лежит на самих организациях. Руководители ИБ-подразделений должны комплексно подходить к вопросам кибербезопасности, проводить регулярные проверки и аудиты, обеспечивать непрерывное обучение сотрудников, не забывая следить за последними новостями отрасли. Только так можно минимизировать ущерб от потенциальных инцидентов и сохранить доверие клиентов. |
Проверить безопасность сайта