Новости информационной безопасности

Уязвимость в родной утилите Windows для очистки системного диска (Disk Cleanup Tool — cleanmgr.exe) уже получила свой демонстрационный эксплойт. Брешь позволяет атакующему повысить права до SYSTEM на целевом устройстве. Проблеме, которую отслеживают под идентификатором CVE-2025-21420, присвоили 7,8 балла по шкале CVSS. Эксперты считают, что она представляет серьёзную опасность для пользователей. Microsoft узнала об уязвимости от анонимного исследователя. Судя по опубликованному на GitHub демонстрационному эксплойту, баг в cleanmgr.exe допускает стороннюю загрузку DLL. В результате условный злоумышленник может подсунуть процессу cleanmgr.exe вредоносную библиотеку, после чего Disk Cleanup Tool загрузит её в память. В выложенном PoC...

Исследователи из Codean Labs выявили две уязвимости в офисном пакете LibreOffice. В случае эксплуатации эти бреши позволяют удалённо вытащить данные из файлов конфигурации, а также записывать в файлы произвольную информацию. Проблемы получили идентификаторы CVE-2024-12425 (запись в файл) и CVE-2024-12426 (удалённое чтение). Условному злоумышленнику для эксплуатации потребуется только отправить целевому пользователю вредоносный документ и убедить его открыть файл. В отчёте эксперты предупреждают: CVE-2024-12425 существует из-за некорректного способа обработки шрифтов в документах формата .fodt. В процессе загрузки такого документа софт извлекает данные шрифта и сохраняет их в файле .ttf, который находится во временной директории...

«Лаборатория Касперского» обнаружила на торрент-трекерах вредоносную кампанию, нацеленную на геймеров по всему миру. Кампания получила название StaryDobry и связана с внедрением майнера в пиратские версии таких игр, как Garry's Mod, BeamNG.drive, Dyson Sphere Program, Universe Sandbox и Plutocracy. Одна из вредоносных раздач Кампания по распространению майнеров началась 31 декабря 2024 года и была активна вплоть до конца января 2025 года. При этом зараженные версии игр начали появляться на торрент-трекерах еще осенью прошлого года. Специалисты не исключают, что атакующие могут вновь активизироваться. Хронология развития кампании По данным компании, в основном от этой кампании пострадали пользователи из России, Беларуси, Казахстана...

Количество случаев заражения криптомайнерами в государственных организациях в IV квартале 2024 года увеличилось на 9% и составило четверть от общего числа выявленных вредоносных программ. Высокий уровень распространения таких угроз связывают с нехваткой финансирования и квалифицированных специалистов. Как сообщили «Коммерсанту» в ГК «Солар», на долю майнеров пришлось 27% всех зарегистрированных случаев заражения вредоносными программами в российских госструктурах за последний квартал 2024 года, что на 9% больше по сравнению с III кварталом. По словам технического директора центра исследования киберугроз Solar 4RAYS Алексея Вишнякова, наиболее сложная ситуация наблюдается в образовательных и медицинских учреждениях. В коммерческом...

Google Chrome обновил свою функцию «Усиленной защиты», добавив возможности искусственного интеллекта для обеспечения «реального» времени защиты от опасных сайтов, загрузок и расширений. Как сообщает Leo на платформе X, обновление было развернуто на стабильной версии Chrome для всех платформ после трех месяцев тестирования в канареечном канале. Функция «Усиленной защиты», являющаяся частью функции Safe Browsing, не нова и существует уже несколько лет, но теперь она использует ИИ для улучшения защиты. Ранее Google сообщал, что Chrome использует «проактивную защиту» для защиты пользователей от вредоносных или подозрительных сайтов. Однако терминология была обновлена, чтобы отразить интеграцию ИИ. Точные детали, чем новая версия...

Microsoft сообщила о кибератаках, организованных группой Storm-2372, которая, по оценкам, работает в интересах России. Атаки продолжаются с августа 2024 года и нацелены на правительства, НПО и широкий спектр отраслей в различных регионах мира. Группа использует фишинг-технику, называемую "фишинг с использованием кода устройства", с помощью которой злоумышленники заставляют пользователей входить в продуктивные приложения, в то время как они перехватывают данные входа (токены) для последующего получения доступа к компрометированным учетным записям. Метод фишинга, используемый Storm-2372, маскируется под приглашения на встречи в Microsoft Teams, отправляемые по электронной почте. Когда пользователи нажимают на приглашение, они должны...

Компания Canal+ и футбольная лига LFP, владеющие правами на популярный спортивный контент, включая Премьер‑лигу и Лигу чемпионов, обратились во французский суд с требованием обязать VPN‑сервисы в стране заблокировать пользователям доступ к пиратским сайтам и сервисам. Постановления получили как минимум пять сетевых сервисов, включая NordVPN, ExpressVPN, ProtonVPN, Cyberghost и Surfshark. В прошлом году аналогичные судебные постановления были направлены в адрес DNS‑резолверов, в том числе Google, Cloudflare, Cisco и Quad9. Тогда Парижский суд даже вынес свое первое решение о блокировке DNS в пользу Canal+. Сами VPN‑сервисы назвали такое поведение перекладыванием вины и угрозой «подорвать кибербезопасность, конфиденциальность и цифровую...

Вслед за введением санкций против «пуленепробиваемого» хостинг-провайдера Zservers национальная полиция Нидерландов (Politie) сообщила об отключении и конфискации 127 серверов, принадлежавших Zservers/XHost. Напомним, что ранее на этой неделе США, Австралия и Великобритания ввели санкции против Zservers и связанной с ним британской компании XHOST Internet Solutions LP. Власти заявили, что хостинговая компания предоставляла инфраструктуру для атак вымогательской группировки LockBit и поддерживала операции хакеров, помогая им в отмывании незаконно полученных средств. Как теперь сообщили голландские правоохранители, хостер также был связан с работой неназванных ботнетов и распространением вредоносного ПО. Politie утверждает, что Zservers...

В архиваторе WinZip нашли опасную уязвимость, позволяющую удалённо выполнить произвольный код на устройстве. К счастью, разработчики уже подготовили соответствующий патч. Проблема, получившая идентификатор CVE-2025-1240, связана с механизмом парсинга файлов в формате 7Z. По шкале CVSS багу дали 7,8 балла. Условный злоумышленник может использовать брешь в атаке с помощью специально подготовленного вредоносного файла или веб-страницы. Корень уязвимости кроется в недостаточной валидации вводимых пользователем данных в процессе парсинга 7Z. В разборе экспертов Zero Day Initiative говорится следующее: Другими словами, это классическая возможность записи за пределами границ, позволяющая атакующим выполнить код в контексте текущего...

Специалисты Positive Technologies (Алексей Писаренко, Алексей Соловьев и Олег Сурнин) помогли устранить шесть уязвимостей в парольном менеджере Passwork. Успешная эксплуатация этих проблем могла привести к потере доступа к паролям. Passwork внесен в единый реестр российского ПО, и менеджер используют крупнейшие российские компании, работающие в банковской, строительной, промышленной и других отраслях. Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 баллов по шкале CVSS. В случае их успешной эксплуатации атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в...

Миллионы американцев остались без привычного утреннего чтения газет. 3 февраля 2025 года кибератака привела к масштабному сбою в работе одной из крупнейших газетных групп США — Lee Enterprises. Компания официально подтвердила взлом, указав, что инцидент затронул важные сервисы и серьезно нарушил операционные процессы. Сейчас ведется расследование, в ходе которого выясняется, какие именно данные могли быть скомпрометированы. Компания подчеркивает, что такие проверки требуют значительного времени и могут занять несколько недель или даже дольше. О случившемся уже уведомлены правоохранительные органы. Из-за атаки Lee Enterprises была вынуждена отключить множество сетей, что повлекло сбои в печати и доставке десятков газет. Сотрудники...

0day-баг в системе авторизации поставил под угрозу миллионы iPhone и iPad. Apple выпустила внеплановое обнoвление безопасности для iOS и iPadOS, закрывающее уязвимoсть CVE-2025-24200 , которая уже использовалась в реальных атаках. Проблема связана с ошибкой авторизации, позволяющей злоумышленникам отключать режим ограниченного доступа USB на заблокированных устройствах, что делает их уязвимыми для кибератак. Для эксплуатации уязвимости требуется физический доступ к устройству. Режим ограниченного доступа USB, впервые представленный в iOS 11.4.1, предотвращает передачу данных через USB, если устройство не было разблокировано и подключено к аксессуарам в течение последнего часа. Эта мера защиты направлена на противодействие цифровым...

Компания Trimble уведомила клиентов Cityworks о выпуске срочных обновлений безопасности для устранения критической уязвимости (CVE-2025-0994) в программном обеспечении Cityworks 15.x и 23.x. Обновления доступны для загрузки с 28 и 29 января 2025 года соответственно. Подробности уязвимости: В ходе расследования было обнаружено, что внешние злоумышленники могли использовать десериализацию для удаленного выполнения команд (RCE) на IIS-серверах клиентов Cityworks. Для защиты рекомендуется немедленно обновить ПО до последних версий. Выявленные проблемы: RCE через IIS: Эксплуатация уязвимости с помощью вредоносного JavaScript и загрузчиков на базе Rust и Cobalt Strike. Права доступа IIS: Обнаружены избыточные права доступа IIS на некоторых...

Разработчики антидетект-браузера AdsPower сообщили, что в конце января 2025 года компания пострадала от атаки. В результате в AdsPower был внедрен вредоносный код, который воровал криптовалюту из сторонних расширений. Взлом произошел 21 января 2025 года и был обнаружен 24 января. Неизвестные злоумышленники внедрили в AdsPower малварь, которая модифицировала расширения сторонних криптовалютных кошельков и похищала средства пользователей. В компании сообщают, что уведомили об инциденте правоохранительные органы Сингапура, и расследование инцидента еще продолжается. О доменах, которые были связаны с этой атакой, уже сообщили администраторам и представителям Namecheap. В отдельном сообщении подчеркивается, что от атаки пострадали...

На BreachForums была раскрыта серьезная утечка данных популярного сервиса защиты Discord — RestoreCord. В результате инцидента в открытый доступ попали данные почти миллиона пользователей, включая временные метки, последние IP-адреса, имена пользователей и Discord ID. Пользователь под псевдонимом Sythe опубликовал данные вместе с ссылкой на загрузку файла в формате .csv. Анализ файла не выявил вредоносного кода, однако домен, на который был загружен файл, часто связывается с подозрительной активностью. На данный момент мотив взлома остается неизвестным. RestoreCord и масштабы угрозы RestoreCord предоставляет услуги по резервному копированию серверов Discord и обслуживает около 99 миллионов участников, из которых 100 тысяч являются...

В продолжении этой новости Zyxel опубликовала уведомление о нескольких уязвимостях, затрагивающих устаревшие модели DSL-устройств, включая инъекции команд и небезопасные стандартные пароли для функции Telnet. Уязвимости были обнаружены в моделях: VMG1312-B10A VMG1312-B10B VMG1312-B10E VMG3312-B10A VMG3313-B10A VMG3926-B10B VMG4325-B10A VMG4380-B10A VMG8324-B10A VMG8924-B10A SBG3300 SBG3500 Типы уязвимостей: CVE-2024-40890 — уязвимость командной инъекции в CGI-программе устройств. Атакующий, получивший доступ, может выполнить команды ОС через специально сформированный HTTP POST-запрос. Важно, что WAN-доступ по умолчанию отключен, и атака возможна только в случае компрометации пароля пользователя. CVE-2024-40891 — уязвимость командной...

NETGEAR выпустила обновления для ряда моделей маршрутизаторов, исправляющие уязвимость удаленного исполнения кода (RCE), которая может быть использована злоумышленниками без аутентификации. Проблема была обнаружена в следующих моделях: Точки доступа Wi-Fi 6: WAX206 WAX214v2 WAX220 Маршрутизаторы Nighthawk Pro Gaming: XR1000 XR1000v2 XR500 NETGEAR настоятельно рекомендует обновить прошивку как можно скорее, чтобы устранить эту угрозу. Как обновить прошивку: Перейдите на страницу поддержки NETGEAR. Введите модель устройства в поисковую строку и выберите модель из выпадающего меню. Перейдите в раздел "Загрузки" и выберите соответствующую прошивку. Следуйте инструкциям по установке, указанным в руководстве пользователя или на...

В феврале 2025 года обновления безопасности Android устраняют 48 уязвимостей, среди которых значится уязвимость нулевого дня в ядре системы, активно используемая в атаках. Эта уязвимость с высокой степенью опасности (CVE-2024-53104) представляет собой ошибку повышения привилегий в драйвере USB Video Class ядра Android, что позволяет аутентифицированным локальным злоумышленникам повышать свои привилегии с использованием атак низкой сложности. Проблема возникает из-за того, что драйвер неправильно обрабатывает кадры типа UVC_VS_UNDEFINED в функции uvc_parse_format. В результате этого неправильно рассчитывается размер буфера кадра, что может привести к выходу за пределы памяти и быть использовано для выполнения произвольного кода или...

Эксперты по безопасности из SquareX обнаружили новую атаку под названием Browser Syncjacking, которая позволяет злоумышленникам захватывать устройства жертв с помощью вредоносного расширения для Chrome. Атака включает этапы захвата профиля Google, контроля браузера и полного управления устройством жертвы. Несмотря на сложную многоступенчатую структуру, метод остаётся незаметным, требует минимальных разрешений и почти не требует взаимодействия со стороны жертвы. Достаточно лишь установки расширения, которое на первый взгляд кажется легитимным. Этапы атаки Syncjacking Создание управляемого Google Workspace профиля Злоумышленники создают вредоносный домен Google Workspace и настраивают несколько профилей пользователей без...

Эксперты центра исследования киберугроз Solar 4RAYS группа компаний (ГК) «Солар» обнаружили новую кибергруппировку, которая отключает защитные решения при атаках на российские компании. Этот тренд все чаще встречается при расследовании инцидентов, отмечают в Solar 4RAYS. В частности, в атаке на промышленную организацию злоумышленники использовали метод, который позволяет отключить решение любого вендора. Вредоносный файл в системе заказчика из энергетического сектора был обнаружен в рамках мониторинга центра противодействия кибератакам Solar JSOC. В ходе расследования выяснилось, что злоумышленники проникли в корпоративную сеть через уязвимость в системе удаленного администрирования, которая использовалась без обновлений безопасности...