Про уязвимость Remote Code Execution - Microsoft SharePoint (CVE-2026-20963). Уязвимость из январского MSPT. В момент публикации MSPT, 13 января, VM-вендоры не выделяли эту уязвимость в своих обзорах, а Microsoft не сообщали о признаках эксплуатации уязвимости. CVSS вектор для уязвимости был CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (8.8). Из "PR:L" следует, что для эксплуатации уязвимости требуется аутентификация. Однако 17 марта Microsoft изменили описание уязвимости и CVSS вектор. Новый CVSS вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8). Из "PR:N" следует, что аутентификация для эксплуатации уязвимости не требуется.

Актуальное описание уязвимости:

"Десериализация недоверенных данных (CWE-502) в Microsoft Office SharePoint позволяет неавторизованному атакующему выполнить код по сети. В сетевой атаке неаутентифицированный атакующий может записать произвольный код, чтобы внедрить (inject) и выполнить его удалённо на сервере SharePoint."

👾 18 марта уязвимость добавили в CISA KEV. Подробностей по эксплуатации пока нет. Публичных эксплоитов тоже пока нет. Но по потенциальным последствиям эксплуатации уязвимость может быть сравнима с прошлогодней RCE "ToolShell" (CVE-2025-49704).

Ситуация вокруг этой уязвимости демонстрирует: критичность уязвимости нельзя оценить один раз и навсегда. Для уязвимости не только могут в любой момент появляться признаки эксплуатации вживую или публичные эксплоиты, но даже сам вендор может в любой момент по каким-то причинам изменить описание и CVSS уязвимости. Поэтому данные по продетектированным в инфраструктуре уязвимостям необходимо постоянно отслеживать (самостоятельно или силами VM-вендора), актуализировать критичность уязвимостей и корректировать дедлайны задач на их устранение.

В силу того, что ситуация по каждой конкретной уязвимости может в любой момент измениться, не следует отмахиваться от каких-то уязвимостей как от гарантированно некритичных или неэксплуатабельных. Ответственный подход заключается в том, что все продетектированные уязвимости требуют устранения, но в соответствии со своим (постоянно актуализируемым) приоритетом.

Поделюсь впечатлениями от прошедшей вчера конференции Территория Безопасности, на которой я выступал и был модератором секции, посвящённой управлению уязвимостями и экспозициями. На мой взгляд, Территория Безопасности - лучшая на текущий момент независимая конференция по информационной безопасности в России. Независимая в том смысле, что за ней не стоит какой-то один вендор или организация. И в то же время это масштабное мероприятие с разнообразной деловой программой (4 параллельных трека!) и множеством вендоров, представленных в выставочной части. Деловая программа фактически формируется усилиями комьюнити, и каждая ИБ-специализация имеет там своё место и возможность пересечься в одном зале, чтобы обсудить актуальные темы и то, что действительно наболело.

Я приложил руку к составлению VM-ной части программы, о которой писал ранее. Как по мне, всё прошло отлично, докладчики выступали бойко, отрепетированно и укладывались в достаточно жёсткий тайминг. Времени всегда хочется как можно больше, но, с другой стороны, такие ограничения (~1,5 часа на все про все) стимулируют делать секцию как можно более динамичной.

🔹 Приятно, что наш "позитеховский" взгляд на Exposure Management, сформулированный мной и продемонстрированный (очень подробно и наглядно 👍) Константином Маньяковым, был хорошо воспринят как представителями клиентов, так и представителями других VM-вендоров.

🔹 Хотелось бы отметить замечательный, динамичный и остроумный доклад Кирилла Евтушенко, генерального директора Кауч, с критикой функциональности по детектированию мисконфигураций в Nessus. Мне, как бывшему активному комплаенсописателю с опытом в .audit- и NASL-скриптинге, эта тема была особенно близка и интересна. 🔥

🔹 Хотелось бы поблагодарить Кирилла Сорокина, директора департамента защиты приложений ПАО «Вымпелком» (Билайн), и Романа Мустаева, начальника отдела обеспечения безопасности инфраструктуры АО «Национальная страховая информационная система», за взгляд со стороны компаний-клиентов различного масштаба. Коллеги очень здорово сбалансировали наш вендорский междусобойчик, подсветив актуальные проблемы существующих решений по работе с уязвимостями (в широком смысле 😉).

🔹 Огромная благодарность Дмитрию Чернякову, директору по развитию продуктов АО «АЛТЭКС-СОФТ» (RedCheck), за участие в дискуссии. Очень рад, что наши взгляды по VM-ным вопросам, как правило, в значительной степени совпадают. 🤝

В выставочной части в этом году стендов VM-вендоров было поменьше, чем в прошлом. Но тем не менее было много интересного.

🔻 Этот год был отмечен полноценным участием в выставке Positive Technologies с большим и красивым стендом, посвящённым именно продуктам для работы с уязвимостями/экспозициями (XSpider PRO, MaxPatrol VM, MaxPatrol HCC, MaxPatrol Carbon). Интерес был большой, и наш PT-шный десант очень активно поработал на стенде. 👍

🔻 На стенде RedCheck я потестировал интерфейс нового RedCheck VM. Выглядит симпатично. Понравилась фишка с назначением конкретных уязвимостей на ответственных. Фактически таски "один хост - одна уязвимость". Постараюсь сделать отдельный пост про это.

🔻 Интересно пообщался на стендах EASM-вендора DeteAct, compliance/hardening-вендора Кауч, "российского Skybox" MIST Insight.

Организовано мероприятие было, как всегда, отлично. 💯 По технике всё работало как надо. Кормили вкусно, и еды было в избытке. Всё способствовало приятному и полезному деловому общению. Организаторы и лично продюсер конференций Екатерина Митина - большие молодцы! Спасибо Территории Безопасности, и надеюсь, что до встречи в следующем году!

Прочитал у коллег из Эшелона про интересный кейс. В одной компании решили проверить, насколько их процесс безопасной разработки, выстроенный по ГОСТ Р 56939-2024, действительно способен выявлять и устранять уязвимости.

Эксплуатабельную уязвимость завели самостоятельно в изолированной ветке проекта в тайне от участников процесса. Это был IDOR - ненадёжная прямая ссылка на объект. Уязвимость возникает, когда приложение использует данные, предоставленные пользователем, для прямого доступа к объектам базы данных без надлежащей проверки авторизации.

Запустили код по процессу… И не поймали. 🤷‍♂️ Глазами не увидели, т.к. думали, что проверка авторизации выполняется на другом слое. 🙈 А используемый SAST такое в принципе не ловил. 🤤 Обнаружили только на пентесте. 🥷 В итоге процессы подправили, SAST-решение заменили, и стало лучше. 👍

Такие проверки неплохо бы проводить регулярно. 😉 И на инфраструктурный VM-процесс можно что-то похожее приземлить. 🤔

Мой комментарий по критической 0-day уязвимости в Telegram (ZDI-CAN-30207) опубликовали в ТАСС. Хорошая статья без фактических ошибок. 👍 Но часть про то, как же защититься, туда не вошла. Пишу здесь.

🔹 Регулярно устанавливайте обновления Telegram. Даже если вендор уязвимость публично не признаёт, весьма вероятно, что проблему они постараются решить в рамках bug fix-а.

🔹 Автоматическое скачивание картинок и видео в мессенджерах лучше отключить, а файлы от незнакомцев не открывать.

🔹 В общем случае безопаснее использовать веб-версию вместо мобильного или десктопного приложения.

🔹 ОС устройства тоже регулярно обновляйте, т.к. уязвимость мессенджера могут использовать совместно с уязвимостью ОС. Вспоминаем кейс с эксплуатацией CVE-2025-55177 в WhatsApp от экстремистской компании Meta.

🔹 Лучше включить iOS Lockdown Mode / Android Advanced Protection Mode.

🔹 В случае подозрения на компрометацию устройства откатите его до заводских настроек.

Конференция Территория Безопасности 2026 уже послезавтра, 2 апреля. Финальная программа на сайте. Начало нашей VM-ной секции в 14:40 (трек "PRO КОНТРОЛЬ").

🎤 Начнём с 4 коротких доклада. Сначала я вендоронейтрально расскажу про Exposure Management, а мой коллега из PT Константин Маньяков про реализацию EM конкретно в MaxPatrol Carbon. После чего у нас будет доклад от Кирилла Евтушенко из Кауч про их решение по управлению уязвимостями конфигураций. И, наконец, последний доклад от Кирилла Сорокина из Билайна про связывание VM, ASM и CTEM.

💬 После этого к нам присоединятся Дмитрий Черняков из Алтэкс-Софт и Роман Мустаев из НСИС, и мы полчасика пообсуждаем горячие около-VM-ные темы: Exposures/EM/CTEM, VOC, ASM, использование ИИ. 😉

В этом году у Positive Technologies будет крутой стенд про средства детектирования: XSpider PRO, MaxPatrol VM, MaxPatrol HCC, MaxPatrol Carbon. Не забудьте заглянуть! 🙂

По поводу последних новостей про усиление мер, направленных против обхода блокировок, и письмо Максута Шадаева. Процитирую свой февральский пост: "если у вас в моменте что-то работает, значит регулятор преследует другие цели и на ваши шалости ПОКА закрывает глаза". Видимо максимально лайтовый режим "радуйтесь молча" заканчивается. 🤷‍♂️ Благодарите за это поехавших, активно продвигавших средства обхода блокировок. 🤦‍♂️

Куда дальше? Имхо, есть две основные модели:

🔹 Относительно лайтовая "Китайская" - связность с зарубежными сегментами для физиков остаётся, но за ЛЮБОЕ подозрение в туннелировании административка физикам или уголовка за предоставление услуг. Есть законные способы для юриков получить доступ к заблокированным сервисам для работы.

🔹 Жёсткая "Северокорейская" - для физиков локалка без связности с зарубежными сегментами. Доступ к зарубежным сегментам ТОЛЬКО у организаций и СТРОГО контролируется.

Думаю, что у нас в итоге будет где-то между.

Мартовский Linux Patch Wednesday. В марте Linux вендоры начали устранять 575 уязвимостей, на 57 меньше, чем в феврале. Из них 93 в Linux Kernel (⬇️ сильное снижение - в феврале было 305). Есть две уязвимости с признаками эксплуатации вживую:

🔻 RCE - Chromium (CVE-2026-3909, CVE-2026-3910)

Ещё для 130 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Caddy (CVE-2026-27590), NLTK (CVE-2025-14009), Rollup (CVE-2026-27606), GVfs (CVE-2026-28296), SPIP (CVE-2026-27475), OpenStack Vitrage (CVE-2026-28370)
🔸 AuthBypass - Curl (CVE-2026-3783), coTURN (CVE-2026-27624), Libsoup (CVE-2026-3099)
🔸 InfDisc - Glances (CVE-2026-30928, CVE-2026-32596)
🔸 PathTrav - gSOAP (CVE-2019-25355), basic-ftp (CVE-2026-27699)
🔸 EoP - Snapd (CVE-2026-3888), GNU Inetutils (CVE-2026-28372)
🔸 SFB - Caddy (CVE-2026-27585, CVE-2026-27587/88/89), Keycloak (CVE-2026-1529), PyJWT (CVE-2026-32597), Authlib (CVE-2026-27962, CVE-2026-28498, CVE-2026-28802)
🔸 CodeInj - lxml_html_clean (CVE-2026-28350), ormar (CVE-2026-26198)
🔸 SSRF - Libsoup (CVE-2026-3632)

🗒 Полный отчёт Vulristics

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы:

🔻 Уязвимость на уровне приложения фактически подтвердили.
🔻 Вектором атаки, как и предполагалось, является пересылка жертве зловредного изображения (стикера).
🔻 К каким последствиям это может привести, всё ещё непонятно: от компрометации аккаунта до RCE на устройстве.
🔻 Заявляется наличие некоторого облачного механизма (антивируса?), с помощью которого Telegram фильтрует зловредные стикеры. Насколько он эффективен (и существует ли вообще 😏), - непонятно.
🔻 Официально Telegram уязвимость не признают, в лучшем случае исправят silent patching-ом и непонятно когда. Ответственным такое поведение назвать сложно. 🤷‍♂️🤦‍♂️

В то, что известный исследователь ZDI (8 лет стажа, ~200 CVE) мог сдать в Telegram неэксплуатабельную ерунду без пруфов, я не верю. Имхо, ZDI теперь имеют полное моральное право обидеться и сделать full disclosure.

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207). На сайте TrendAI Zero Day Initiative (TrendAI - новое имя для Trend Micro Enterprise Business) в таблице UPCOMING ADVISORIES появилась строчка, относящаяся к нераскрытой уязвимости в Telegram, найденной Michael "izobashi" DePlante.

Про уязвимость пока ничего не известно, кроме CVSS 3.1 вектора AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8). Вектор атаки сетевой, сложность низкая, привилегий не требуется, неинтерактивная, импакт по конфиденциальности, целостности и доступности максимальный. 0-click RCE при закидывании зловредного медиафайла? 🤔 У izobashi много сданных RCE-шек. Хотя Scope: Unchanged может намекать на компрометацию только самого мессенджера или угон аккаунта. 🤷‍♂️

Уязвимость зарепортили 26 марта. Eсли за 4 месяца уязвимость не исправят, её раскроют as is. Ждём фикс от Telegram.

Если эта уязвимость Telegram побудит вас перейти на безопасный MAX, не забудьте подписаться на мой MAX-канал. 😉

Пара слов про Security Summit, на котором я вчера выступал с докладом про эволюцию Vulnerability Management-а в Exposure Management. Конференция получилась отличная. 👍 Новенький Palmira Art Hotel - весьма комфортен для мероприятий на ~200 человек. Организация от NWComm на высоте: как на этапе планирования, так и на самой площадке. Дельный инструктаж, отличный экран, таймер и спикерский монитор на сцене, надёжно работающий кликер и микрофоны - так бывает не всегда, и я это очень ценю. 🙏 Кормили вкусно. 🍔😋

Моё выступление прошло хорошо. Людей было прилично, слайды фоткали, задавали интересные вопросы: про харденинг и exposure management; про конкурентов в сегменте CTEM в России. 😉 Считаю, что свои целевые мессаджи я донёс успешно. 😌 Отдельно хочу поблагодарить за модерацию Ивана Макарова из MFASOFT. Очень здорово и строго по таймингу. 👏⌚️

Кулуарное общение было приятным и продуктивным. 🙂

Продолжим обсуждать Exposure Management уже в следующий четверг, 2 апреля, на Территории Безопасности. 😉📅