Инфраструктурный ресерч в России выходит на новый уровень. На фоне импортозамещения и растущего внимания к безопасности Linux-систем появляются уязвимости, сопоставимые по эффекту с теми, что раньше связывали исключительно с Windows-доменами. Михаил Сухов, двукратный победитель номинации «Пробив инфраструктуры» на Pentest Award, в интервью для Cyber Media рассказал, как ему удалось обнаружить CVE-2025-4404 в FreeIPA и какие направления будут определять повестку ресечеров в ближайшие годы.
Cyber Media: Второй год подряд вы побеждаете в номинации «Пробив инфраструктуры». Что для вас ценнее — сама победа или то, что именно ваш ресерч признали ключевым? И как изменилась ваша работа за это время?
Михаил Сухов: Пожалуй, для меня важнее всего сам процесс успешного ресерча и его результат. Мне приятно осознавать, что мой вклад помогает повысить безопасность продукта, которым пользуются многие компании. Конечно, признание комьюнити и сама победа тоже радуют, но самое ценное в Pentest Award — то, что благодаря ему многие интересные исследования и кейсы, которые могли остаться незамеченными, становятся публичными.
За этот год в моей работе тоже многое изменилось: я ушел с руководящей должности и полностью сосредоточился на исследовательской деятельности, занимаясь безопасностью различных инфраструктур. Это серьезное изменение, и, на мой взгляд, напрямую сравнивать эти две роли непросто.
Благодаря премии многие интересные исследования и кейсы, которые могли остаться незамеченными, становятся публичными
Cyber Media: Ваш кейс связан с FreeIPA и атакой DCSync, приведшей к CVE-2025-4404. Как появилась идея проверить именно эту связку и что стало для вас самым неожиданным результатом?
Михаил Сухов: Изначально у меня стояла задача реализовать технику, аналогичную DCSync, для FreeIPA. Когда исследование и утилита были готовы, возник вопрос: «А какие права на самом деле нужны для такой техники?» Это подтолкнуло меня глубже разобраться, как устроено разграничение прав в 389-ds — LDAP-сервере, на котором работает FreeIPA. Именно это исследование в итоге и привело меня к реализации CVE-2025-4404.
Отдельно отмечу, что важную роль сыграла история с ныне отозванной CVE-2020-10747 (она мне очень понравилась). Исправление той уязвимости как раз и открыло дорогу к новой.
Cyber Media: Можете простыми словами объяснить суть найденной уязвимости? Чем она принципиально отличается от типичных проблем в инфраструктурных сервисах?
Михаил Сухов: Суть уязвимости в том, что злоумышленник, получив контроль над учетной записью компьютера, может создать для этого компьютера сервис с «основным» именем admin@REALM. Обычно это невозможно — такое имя уже занято. Однако в процессе исправления CVE-2020-10747 администратору было присвоено дополнительное имя root@REALM, а основное имя убрали совсем. Благодаря этому при новом имени злоумышленник может выдать себя за администратора и скомпрометировать домен. По эффекту уязвимость очень похожа на nopac в Microsoft AD.
Что важно: обычно существуют защитные механизмы, которые не позволяли бы так действовать, например, PAC в Kerberos-билете. В FreeIPA же их можно просто не использовать по запросу, и это дает путь для обхода защиты.
Cyber Media: Какие подходы или исследовательские привычки помогли вам обнаружить эту уязвимость? Что бы вы посоветовали тем, кто хочет заниматься инфраструктурным ресерчем?
Михаил Сухов: Девиз в нашей профессии — try harder. Пожалуй, это лучшее пожелание: именно оно помогает справляться со многими трудностями и служит напоминанием самому себе. Еще совет — расширяйте кругозор и изучайте смежные области.
Разумеется, не все идеи приводят к новым уязвимостям. Важно уметь переключаться, отдыхать и возвращаться к работе с новыми силами. Меня не раз выручала жена — она помогала избежать выгорания и не бросить начатое. Кстати, именно благодаря ей я и подал заявку на прошлый Pentest Award.
В современном мире Linux-инфраструктур все больше параметров, атрибутов и событий необходимо учитывать и мониторить
Cyber Media: FreeIPA применяют в специфических инфраструктурах. Насколько, по вашим оценкам, широк реальный риск для компаний, использующих это решение?
Михаил Сухов: В России все чаще встает вопрос импортозамещения, и FreeIPA здесь является одним из основных вариантов, например, ALDpro тоже основан на FreeIPA. Поэтому, думаю, мы будем все чаще встречать это решение в реальных инфраструктурах.
Cyber Media: DCSync традиционно связывают с Windows-доменами. Ваш ресерч показал, что аналогичные сценарии возможны и в Linux-средах. Можно ли теперь говорить, что инструменты, привычные для Windows-атак, все чаще работают и против Linux-систем? Насколько это должно повлиять на стратегию защиты компаний?
Михаил Сухов: Если быть честным, DCSync в моем исследовании и DCSync в MS AD — это разные вещи, так что схожесть названий не должна вводить в заблуждение. В случае FreeIPA требуется больше условий, сама техника сложнее, и используются совершенно другие инструменты, хотя базовые концепции во многом схожи.
Стратегия защиты, безусловно, должна адаптироваться с появлением новых исследований: в современном мире Linux-инфраструктур все больше параметров, атрибутов и событий необходимо учитывать и мониторить.
Cyber Media: Вы связаны с МИФИ. Как университетская среда влияет на ваш ресерч? И что из академического опыта оказалось реально полезным на практике?
Михаил Сухов: На самом деле моя прошлогодняя CVE стала частью дипломной работы в МИФИ. Что касается применимости академического опыта, то здесь важно отметить систематический подход к решению сложных задач, привычку вести подробные заметки в процессе исследования и умение не бояться трудностей.
Cyber Media: Если заглянуть на 2–3 года вперед, какие новые направления или техники в пробиве инфраструктуры будут, на ваш взгляд, определять повестку ресерчеров?
Михаил Сухов: Важно понимать, что именно реалии инфраструктуры задают направления исследований и техники злоумышленников. Сейчас мы видим явный тренд на импортозамещение, внедрение тировых моделей и отказ от NTLM в пользу Kerberos (возможно, даже Kerberos FAST). Поэтому можно предположить, что и ресерч будет развиваться в этих направлениях. Например, уже сейчас заметен всплеск интереса к исследованиям по Kerberos Relay.
Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies, в интервью для Кибер Медиа рассказал, как работают «белые списки» VPN, почему ТСПУ не справляются с нагрузкой, и возможна ли монополизация доступа.
В интервью для Кибер Медиа Андрей Лёвкин, руководитель продукта BI ZONE Bug Bounty, рассказал, когда багбаунти станет обязательным инструментом для проверки уровня защищенности, как внутренним командам кибербезопасности работать с внешними исследователями и чего ожидать от багбаунти в будущем.
Российская ИТ-инфраструктура столкнулась с новыми вызовами в обеспечении киберустойчивости.
Классический патч-менеджмент в крупных компаниях часто превращается в войну: ИБ заваливает айтишников тысячами CVE из сканера, а ИТ-отдел включает режим глухой обороны.
Портал Кибер Медиа взял интервью у Кирилла Мякишева, директора по информационной безопасности Ozon.
Геймификация в корпоративном обучении давно перестала быть экзотикой — квесты и рейтинги стали привычной частью рабочей среды.
Эдуард Мураховский — директор по информации и ИТ фармацевтической компании СКОПИНФАРМ.
Анастасия Ашаева, кандидат исторических наук и научный сотрудник Музея криптографии, рассказала Кибер Медиа о том, чьи имена история так и не вернула, какие барьеры сложно преодолеть и почему разговор еще не закончен.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
