Oracle отрицает факт кибератаки и утечки данных после заявлений хакера о краже миллионов записей с серверов компании. В середине марта злоумышленник под псевдонимом rose87168 заявил о похищении 6 миллионов записей с серверов Oracle Cloud Federated SSO Login. Архив, размещённый им в даркнете в качестве примера, включал образец базы данных, информацию LDAP и список компаний, использующих Oracle Cloud.

Источник изображения: Oracle

Oracle категорически отрицает взлом. В заявлении компании говорится: «Никакого взлома Oracle Cloud не было. Опубликованные учётные данные не относятся к Oracle Cloud. Ни один из клиентов Oracle Cloud не столкнулся со взломом или потерей данных».

Тем временем rose87168 выставил архив с данными на продажу. Хакер готов обменять его на неназванную сумму денег либо на эксплойты нулевого дня. Злоумышленник утверждает, что данные включают зашифрованные пароли SSO, файлы хранилища ключей Java (JKS), файлы ключей, ключи Enterprise Manager JPS и многое другое.

«Пароли SSO зашифрованы, но их можно расшифровать с помощью доступных файлов. Также можно взломать хешированный пароль LDAP. Я перечислю домены всех компаний, упомянутых в этой утечке. Компании могут заплатить определённую сумму, чтобы удалить информацию о своих сотрудниках из списка до его продажи», — заявил rose87168.

Как пишет SecurityLab, если утечка действительно произошла, последствия могут оказаться масштабными. Похищенные JKS-файлы, содержащие криптографические ключи, представляют особую опасность — их можно использовать для дешифровки конфиденциальной информации и вторичного доступа к системам. Компрометация SSO- и LDAP-паролей также повышает риск каскадных атак на организации, использующие Oracle Cloud.

Прежде чем выставить украденный архив на продажу, злоумышленник, судя по всему, потребовал у Oracle 100 000 XMR (криптовалюта Monero) в качестве выкупа. Однако компания, в свою очередь, запросила у хакера «всю информацию, необходимую для исправления и разработки патча безопасности». Поскольку rose87168 её не предоставил, переговоры сорвались, пишет BleepingComputer.

Чтобы доказать подлинность украденных файлов, злоумышленник передал порталу BleepingComputer URL-адрес интернет-архива, подтверждающий, что он загрузил файл .txt с адресом своей электронной почты в ProtonMail на сервер login.us2.oraclecloud.com.

Эксперты предполагают, что взлом был осуществлён через уязвимость CVE-2021-35587, затрагивающую Oracle Access Manager, входящий в состав Fusion Middleware. Она позволяет неавторизованному злоумышленнику получить контроль над системой через HTTP-доступ.

Microsoft добавит в Security Copilot ИИ-агентов для автоматизации рутинных задач и повышения эффективности работы специалистов по кибербезопасности. Всего представлено шесть агентов непосредственно от Microsoft и пять агентов, созданных партнёрами, сообщает The Verge.

Источник изображения: Lewis Kang'ethe Ngugi / Unsplash

Security Copilot на базе искусственного интеллекта (ИИ) был запущен год назад, но теперь Microsoft решила масштабировать этот сервис. Новые агенты появятся в тестовом режиме уже в следующем месяце. Они смогут анализировать фишинговые атаки, предупреждать о возможных утечках данных, расставлять приоритеты среди серии критических инцидентов и отслеживать уязвимости.

Как отметила Васу Джаккал (Vasu Jakkal), корпоративный вице-президент Microsoft Security, ИИ-агенты будут интегрированы с инструментами Microsoft Security и позволят командам автономно справляться с большим объёмом задач. Помимо этого, Microsoft улучшит защиту от фишинга в Microsoft Teams: уже в следующем месяце Defender for Office 365 начнёт блокировать вредоносные ссылки и вложения в сообщениях Teams, что усилит защиту пользователей от киберугроз.

Использование ИИ-агентов становится всё более популярным среди крупных компаний. В связи с этим Microsoft уже перезапустила свой Copilot для бизнеса, предложив бесплатного чат-бота и доступ к ИИ-агентам по модели оплаты «по мере использования».

Стоит отметить, что помимо собственных разработок Microsoft сотрудничает с рядом компаний, включая OneTrust, Aviatrix, BlueVoyant, Tanium и Fletch. Их решения позволят, в частности, анализировать утечки данных с помощью OneTrust и выявлять причины сбоев в сетях с Aviatrix.

Microsoft также готовит новые анонсы в сфере безопасности, которые будут представлены на мероприятии Microsoft Secure 9 апреля. Дополнительную информацию можно найти в официальном блоге компании.

«Газета.Ru» сообщила, что в Российском технологическом университете (РТУ МИРЭА) разработали программный модуль для идентификации пользователей по их уникальному клавиатурному почерку. Сделано это не ради забавы, а для малозатратного повышения уровня безопасности доступа к информационной системе предприятия, ведь установка программы не потребует никакого дополнительного оборудования.

Источник изображения: ИИ-генерация Grok 3/3DNews

Общеизвестно, что традиционные методы аутентификации на основе паролей могут оказаться и оказываются уязвимыми. Предложенное разработчиками РТУ МИРЭА решение может служить необычной альтернативой паролям. Подделать манеру работы отдельных пользователей с клавиатурой может оказаться сложнее, чем подобрать пароль, а внедрение программных модулей значительно снизит затраты на систему безопасности.

Новая система защиты анализирует скорость печати, её динамику, частоту возникновения ошибок и другие параметры набора текста, которые очевидно отличаются у разных пользователей. Всё это затем попадает в базу и воспроизводится в виде шаблонов. Если параметры совпадают, пользователь успешно проходит авторизацию. Система также автоматически обновляет шаблоны, адаптируясь к изменениям в поведении пользователя.

Другим нововведением обещает стать исследование влияния физического состояния человека на его клавиатурный почерк, что сделает систему ещё более точной и адаптивной, добавляют в РТУ МИРЭА.

В популярном беспроводном контроллере ESP32 от китайской компании Espressif, который установлен более чем на миллиарде устройств, обнаружена скрытая уязвимость — в прошивке обнаружена возможность реализовать тайный бэкдор. Эта маленькая лазейка, о которой почти никто не знал, потенциально позволяет злоумышленникам скомпрометировать устройства на стадии их поставки и после выдавать себя за доверенные устройства, красть данные и закрепляться в системе надолго, по сути навсегда.

Источник изображения: bleepingcomputer.com

Два испанских исследователя, Мигель Тараско Акунья (Miguel Tarascó Acuña) и Антонио Васкес Бланко (Antonio Vázquez Blanco) из компании Tarlogic Security, решили копнуть глубже и обнаружили, что в этом чипе есть команды, позволяющие выполнять различные действия. Например, выдавать себя за доверенные устройства, красть данные и даже проникать через сеть в другие устройства. В общем, полный набор шпионских инструментов. Свои выводы Tarlogic Security представила на конференции RootedCON в Мадриде, сообщает BleepingComputer.

ESP32 — это микроконтроллер, отвечающий за Wi-Fi- и Bluetooth-соединения. Он встроен в умные замки, медицинские приборы, смартфоны и компьютеры. Обнаруженная уязвимость позволяет заложить в прошивку контроллера «чёрный ход», которая позволит злоумышленникам выдавать себя за другие системы и заражать устройства, минуя все проверки безопасности.

Доступ к незадокументированным командам осуществляется из прошивки устройства, а не по воздуху. Поэтому у злоумышленника должен быть root-доступ к устройству. То есть внедрить вредоносное ПО или открыть для взлома контроллеры злоумышленники могут лишь на стадии поставки контроллеров, но сначала им придётся скомпрометировать цепочку поставок. На данный момент неизвестно, чтобы подобные инциденты имели место.

Источник изображения: Tarlogic

Исследователи также отметили один важный момент. В последнее время интерес к безопасности Bluetooth снизился. Однако это произошло не потому, что протокол стал безопаснее, а потому, что прежние атаки либо не имели работающих инструментов, либо использовали устаревшее ПО, несовместимое с современными системами. Чтобы изучить проблему, специалисты Tarlogic разработали новый независимый от операционных систем Bluetooth-драйвер на языке C. Он позволяет напрямую взаимодействовать с аппаратной частью, не опираясь на стандартные API. Это дало им возможность получить доступ к Bluetooth-трафику и обнаружить скрытые команды (Opcode 0x3F) в прошивке ESP32.

В общей сложности было выявлено 29 команд, которые можно задействовать для создания бэкдора. С их помощью можно манипулировать памятью, подделывать MAC-адреса и внедрять пакеты LMP/LLCP — в общем, выполнять практически любые вредоносные действия.

Источник изображения: Tarlogic

Компания Espressif пока никак не прокомментировала ситуацию и не объяснила происхождение этих команд. Остаётся только гадать, были ли они оставлены случайно или преднамеренно. Однако проблема существует и уже получила идентификатор CVE-2025-27840.

Обновлено:

В понедельник компания Espressif опубликовала заявление в ответ на выводы Tarlogic, в котором говорится, что недокументированные команды — это отладочные команды, используемые для тестирования системы. «Обнаруженные функциональные возможности являются отладочными командами, включенными для целей тестирования, — говорится в заявлении Espressif. — Эти отладочные команды являются частью реализации Espressif протокола HCI (Host Controller Interface), используемого в технологии Bluetooth. Этот протокол используется внутри продукта для связи между уровнями Bluetooth».

Несмотря на низкий уровень риска, производитель заявил, что удалит отладочные команды в одном из будущих обновлений программного обеспечения. «Хотя эти отладочные команды существуют, сами по себе они не могут представлять угрозу безопасности для чипов ESP32. Espressif все же предоставит программное исправление, чтобы удалить эти недокументированные команды», — заявляет Espressif.

Компания Apple заявила, что больше не сможет предоставлять пользователям в Великобритании функцию защиты Advanced Data Protection (ADP), которая позволяет включить сквозное шифрование данных в iCloud. По словам представителя Apple Фреда Сайнца (Fred Sainz), функцию придётся отключить по требованию правительства страны.

Источник изображения: Alexander Andrews / Unsplash

В заявлении, предоставленном изданию TechCrunch, компания выразила «глубокое разочарование» тем, что защита, обеспечиваемая ADP, не будет доступна клиентам в Великобритании, учитывая продолжающийся рост утечек данных и других угроз конфиденциальности. Apple отметила, что «усиление безопасности облачного хранилища с помощью сквозного шифрования на сегодня является более актуальным, чем когда-либо».

Это объявление последовало за сообщениями о том, что правительство Великобритании потребовало от Apple создать бэкдор — алгоритм, который позволяет получать фактически полный доступ к клиентским данным, хранящимся на облачных серверах Apple, даже если они зашифрованы сквозным шифрованием. Однако эксперты по кибербезопасности предупреждали, что если Лондон добьётся своего, это создаст опасный прецедент и для других стран.

Функция Advanced Data Protection позволяет пользователям самостоятельно включать шифрование, делая их данные недоступными даже для Apple. Несмотря на отказ от ADP, некоторые категории информации всё же останутся зашифрованными. В частности, медицинские данные, сообщения в iCloud и платёжная информация. Однако другие файлы, такие как фотографии, заметки и резервные копии, больше не будут защищены.

Британские власти пока не прокомментировали ситуацию, а представитель организации Open Rights Group Джеймс Бейкер (James Baker) заявил, что Министерство внутренних дел лишило миллионы британцев важной функции безопасности, повысив угрозу утечек личных данных. Компания пока не уточнила, как именно будет происходить отключение ADP у тех, кто уже активировал эту функцию (у новых пользователей ADP будет сразу отсутствовать), однако заявила, что в ближайшее время предоставит клиентам дополнительные инструкции.

Подчёркивается, что эта мера не коснётся пользователей из других стран, а сервисы с зашифрованной связью, такие как FaceTime и iMessage, продолжат работать без изменений.

Одновременно эксперты в области кибербезопасности советуют пользователям за пределами Великобритании срочно включить ADP, чтобы усложнить властям возможные будущие попытки отключить шифрование. Криптограф Мэтью Грин (Matthew Green) отметил, что «чем больше людей активируют эту функцию, тем сложнее будет её запретить».

Эксперты по кибербезопасности раскрыли масштабную утечку данных в приложениях-трекерах Cocospy и Spyic, связанную с китайскими разработчиками и затрагивающую миллионы пользователей. Эти приложения предназначены для скрытого мониторинга смартфонов, относятся к категории сталкерского ПО и позволяют злоумышленникам собирать данные жертв — сообщения, фотографии, звонки и другую информацию.

Источник изображения: Kandinsky

Из-за выявленного бага личные данные миллионов пользователей, включая электронные адреса тех, кто установил эти приложения, оказались доступны в публичном пространстве. Исследователь, выявивший уязвимость, собрал 1,81 млн электронных адресов пользователей Cocospy и 880 тысяч адресов пользователей Spyic. Как пишет TechCrunch, эти данные переданы Трою Ханту (Troy Hunt), создателю сервиса Have I Been Pwned, где их добавили в базу утечек. В общей сложности выявлено 2,65 млн уникальных адресов.

Сталкерское ПО, включая Cocospy и Spyic, часто продаётся под видом родительского или корпоративного контроля, но на практике используется для нелегального слежения за бизнес-партнёрами и другими людьми. TechCrunch выяснил, что обе программы связаны с китайским разработчиком приложений 711.icu, сайт которого сейчас не работает. Cocospy и Spyic маскируются под системные приложения на Android, а данные пользователей передаются через серверы Amazon Web Services и Cloudflare. Анализ сетевого трафика показал, что серверы периодически отвечают на запросы сообщениями на китайском языке.

Для установки подобных приложений обычно требуется физический доступ к устройству Android, часто со знанием пароля этого устройства. В случае с iPhone и iPad сталкерское ПО может получить доступ к данным устройства без физического доступа через облачное хранилище Apple iCloud, что, правда, потребует использования украденных учётных данных Apple.

Предлагается способ определения наличия в смартфоне этих приложений и их удаления. На Android устройствах Cocospy и Spyic можно выявить, набрав ✱✱001✱✱ на клавиатуре телефона. Также можно найти их непосредственно через настройки системы. Пользователям iPhone и iPad рекомендуется проверить настройки Apple ID, включить двухфакторную аутентификацию и убедиться, что в учётной записи нет незнакомых данных. Для Android полезной функцией будет активация Google Play Protect.

Стоит сказать, что любые шпионские приложения запрещены в официальных магазинах приложений и требуют физического доступа к устройству для установки. Установка таких приложений является противозаконной и влечёт за собой правовые последствия, так как нарушает персональную конфиденциальность.

В рамках февральского пакета обновлений безопасности Patch Tuesday 2025 компания Microsoft выпустила обновления, устраняющие 55 уязвимостей, включая четыре уязвимости нулевого дня, две из которых уже активно эксплуатируются злоумышленниками в реальных атаках.

Источник изображения: Andras Vas / Unsplash

Кроме того, как сообщает BleepingComputer, в обновлении исправлены три критические уязвимости, связанные с удалённым выполнением кода. Помимо перечисленных проблем, обновление включает исправления для широкого спектра ошибок, разделённых по категориям:

• 19 ошибок, связанных с повышением привилегий
• 2 ошибки, связанные с обходом функций безопасности
• 22 ошибки, связанные с удалённым исполнением кода
• 1 ошибка, связанная с раскрытием информации
• 9 ошибок, связанных с отказом в обслуживании
• 3 ошибки, связанные со спуфингом.

Следует отметить, что указанные цифры не включают критическую уязвимость повышения привилегий в Microsoft Dynamics 365 Sales и 10 уязвимостей в Microsoft Edge, которые были устранены отдельным обновлением 6 февраля.

Две активно эксплуатируемые уязвимости нулевого дня, устранённые в этом месяце, представляют собой наибольшую угрозу. Одна из них, CVE-2025-21391, является уязвимостью повышения привилегий в Windows Storage. По словам Microsoft, злоумышленник, использующий эту «дыру», сможет удалять целевые файлы на устройстве, и хотя это не приводит к раскрытию конфиденциальной информации, может привести к недоступности системы.

Второй активно эксплуатируемой уязвимостью является CVE-2025-21418 — повышение привилегий в драйвере Ancillary Function Driver для WinSock. Эта уязвимость позволяла атакующим получить права SYSTEM в Windows. Microsoft не предоставила подробностей о том, как это конкретно использовалось в атаках.

Две другие уязвимости нулевого дня, устранённые в этом выпуске, были раскрыты публично до выхода исправления. CVE-2025-21194 — это ошибка обхода функций безопасности в Microsoft Surface, которая позволяла обойти защиту UEFI и скомпрометировать защищённое ядро. Microsoft заявила, что данная уязвимость связана с виртуальными машинами в UEFI хост-машинах, а сотрудники из французской компании по кибербезопасности Quarkslab также уточнили, что это может быть также связано с серией уязвимостей PixieFail, влияющих на стек сетевых протоколов IPv6.

Последняя спуфинг-уязвимость CVE-2025-21377 позволяла атакующим раскрывать NTLM-хэши пользователей Windows для удалённого входа или атак типа pass-the-hash, которая позволяет хакеру авторизоваться на удалённом сервере, на котором аутентификация осуществляется с использованием протокола LM или NTLM. Microsoft объясняет, что «минимальное взаимодействие пользователя с вредоносным файлом, такое как одиночный клик или клик правой кнопкой мыши, а также выполнение действия, отличного от открытия или выполнения файла, вызывает эту уязвимость».

Apple выпустила обновление для iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5 для устранения уязвимости нулевого дня, позволяющей обойти парольную защиту и получить физический доступ к данным на заблокированных iPhone и iPad. Обновление касается функции USB Restricted Mode, впервые внедрённой в iOS 11.4.1 в 2018 году для предотвращения попыток обхода средств защиты шифрования.

Источник изображения: Daniel Romero / Unsplash

Компания подтвердила, что уязвимость могла быть использована в «чрезвычайно сложной атаке против отдельных конкретных лиц» и, по сообщению The Verge со ссылкой на слова исследователя Билла Марчака (Bill Marczak) из The Citizen Lab, предоставляла физический доступ к данным на заблокированном устройстве в обход защитного механизма USB Restricted Mode.

Apple уточнила, что проблема была связана с ошибкой в управлении авторизацией, которую удалось устранить с помощью улучшенного управления состоянием системы. Уязвимость затрагивала устройства, начиная с iPhone XS, iPad Pro 3-го поколения и более поздних моделей.

Ранее Apple уже исправляла недостатки USB Restricted Mode, добавив в iOS 18 функцию перезагрузки при бездействии, которая автоматически перезапускает неиспользуемые устройства через несколько дней, требуя для доступа ввод пароля. Новое обновление также включает патчи для платформ Mac, Apple Watch и Vision Pro, однако подробности и пояснения к патчам пока не опубликованы.

Компания настоятельно рекомендует пользователям обновить свои устройства, чтобы защитить данные. Обновление уже доступно для загрузки.

Google заблокировала более 2,3 млн приложений Android для магазина Google Play в 2024 году. Они нарушили политику платформы, что делало их потенциально опасными для пользователей. Кроме того, компания заблокировала 158 тыс. аккаунтов разработчиков за попытку публикации вредоносных приложений, включая шпионское ПО.

Источник изображения: Bleeping Computer

Для сравнения, в 2023 году Google заблокировал 2,28 млн опасных приложений, а в 2022-м — 1,5 млн. В те же годы компания лишила доступа к платформе 333 тыс. и 173 тыс. разработчиков соответственно. Возросшее количество заблокированных приложений в 2024 году на платформе частично объясняется тем, что в поиске вредоносного ПО сотрудникам компании помогала система искусственного интеллекта.

«Сегодня более 92 % наших человеческих обзоров вредоносных приложений проводятся с помощью искусственного интеллекта, что позволяет нам принимать более быстрые и точные меры для предотвращения проникновения вредоносных приложений в Google Play. Благодаря этому мы смогли заблокировать доступ к Google Play для значительно большего, чем когда либо, количества вредоносных приложений», — пояснили в Google.

Компания также сообщила, что предотвратила 1,3 случаев получения приложениями чрезмерных прав и разрешений, которые предоставили бы ПО ненужный доступ к конфиденциальным пользовательским данным.

В 2024 году встроенная в Android система безопасности под названием Google Play Protect получила значительное обновление защиты в реальном времени даже для приложений, устанавливающихся за пределами платформы Google Play. Google утверждает, что стандартная защита Android ежедневно сканировала более 200 миллиардов приложений, выполняя анализ на уровне кода в реальном времени. В течение 2024 года эти сканирования выявили более 13 миллионов новых вредоносных приложений, полученных за пределами Google Play.

Разработчики приложений также получили новые инструменты для лучшей защиты своего ПО от вредоносных SDK и случаев неправомерной эксплуатации, а индекс Google Play SDK в прошлом году расширился на 80 новых доверенных SDK. Более широкое внедрение API Play Integrity привело к снижению нарушений из ненадёжных источников на 80 %. Теперь 91 % установок приложений используют функции безопасности и защиты конфиденциальности, доступные в Android 13 и более поздних версиях операционной системы.

Система блокировки установки ненадёжных APK от Google, впервые запущенная в качестве пилотного проекта в Сингапуре в феврале 2024 года, теперь расширена на Бразилию, Гонконг, Индию, Кению, Нигерию, Филиппины, Южную Африку, Таиланд и Вьетнам. Её успех в 2024 году отражается в предотвращении 36 миллионов попыток установки 200 000 уникальных приложений на 10 миллионах устройств Android.

Google запустила новую функцию безопасности для Android 15, которая поможет защитить цифровые аккаунты пользователей от кражи телефона. Функция под названием Identity Check требует прохождения биометрической аутентификации для доступа к определённым настройкам аккаунта и устройства, когда пользователь находится вне доверенного места, например, не у себя дома или не на работе.

Источник изображения: Google

Identity Check защищает такие важные настройки, как изменение PIN-кода устройства, отключение защиты от кражи, выключение функции Find My Device, сброс устройства к заводским настройкам и изменение биометрических данных. «Украденное устройство, попавшее в чужие руки, может раскрыть конфиденциальные данные, сделав вас уязвимыми для кражи личных данных, финансового мошенничества и нарушений конфиденциальности», — объясняет Google в своём блоге, посвящённом запуску функции.

Отметим, функция впервые появилась в тестовом режиме в декабре прошлого года в рамках обновления Pixel Drop и в ближайшие недели станет доступна для устройств Samsung Galaxy с последней версией обновления прошивки One UI 7 с функциями искусственного интеллекта Galaxy AI. Позднее, в этом же году, появится на устройствах других производителей.

Ранее Apple представила аналогичную функцию, получившую название Stolen Device Protection, для предотвращения случаев, когда злоумышленники наблюдают за вводом пароля на iPhone с последующей кражей устройства, а затем используют пароль для доступа к личной информации или блокировки владельца из его аккаунта.

Компания Nvidia сообщила об исправлении нескольких критических уязвимостей безопасности в своих графических драйверах и программном обеспечении для управления виртуальными GPU. Эти уязвимости затрагивают операционные системы Windows и Linux.

Источник изображения: Nvidia

Последние обновления программного обеспечения Nvidia нацелены на устранение нескольких уязвимостей безопасности, которые позволяют злоумышленникам с локальным доступом выполнять вредоносный код, красть данные или вызывать сбои в работе затронутых систем. Среди исправлений выделяются две уязвимости высокой степени опасности. Первая с маркировкой CVE-2024-0150 связана с переполнением буфера в драйвере дисплея GPU, что может привести к компрометации системы вследствие подделки данных, и раскрытию информации. Вторая критическая проблема с маркировкой CVE-2024-0146 затрагивает диспетчер виртуального GPU, где скомпрометированная гостевая система может вызвать повреждение памяти, что потенциально может привести к выполнению вредоносного кода и захвату системы.

Nvidia рекомендует пользователям систем Windows обновиться как минимум до версии драйвера 553.62 (ветвь R550) или до версии 539.19 (ветвь R535). Пользователям Linux необходимо установить версию драйвера 550.144.03 или 535.230.02 в зависимости от ветви драйвера.

Обновления охватывают линейки продуктов Nvidia RTX, Quadro, NVS и Tesla. Корпоративные среды, использующие технологии виртуализации Nvidia, могут столкнуться с дополнительными рисками без установки последних обновлений безопасности. В частности, уязвимость с маркировкой CVE-2024-53881 позволяет гостевым системам прерывать соединение хост-машин, что может привести к сбоям в работе всей системы. Чтобы исправить эти уязвимости безопасности, пользователи программного обеспечения виртуальных графических процессоров должны обновиться до версии драйвера 17.5 (550.144.02) или 16.9 (535.230.02).

Компания поясняет, что уязвимости нацелены на системы, к которым злоумышленники имеют локальный доступ. Однако в виртуальных средах, где несколько пользователей совместно используют ресурсы графических процессоров, эти уязвимости представляют значительную угрозу безопасности. Системные администраторы могут загрузить обновления безопасности со страницы загрузки драйверов Nvidia. Корпоративные клиенты сред vGPU должны получить исправления через портал лицензирования Nvidia. Компания рекомендует немедленно установить эти обновления на всех затронутых системах.

Компания Meta✴ выплатила $100 000 независимому специалисту в области кибербезопасности Бену Садегипуру (Ben Sadeghipour) за обнаружение серьёзной уязвимости на платформе. Анализируя систему показа рекламы, Садегипур нашёл брешь, которая позволила ему выполнить команду в закрытой части серверной инфраструктуры Facebook✴, фактически получив над сервером полный контроль.

Источник изображения: Shutter Speed / Unsplash

Как сообщает TechCrunch, уязвимость была связана с одним из серверов, используемых Facebook✴ для создания и показа рекламы. Этот сервер оказался подвержен ранее известной и исправленной ошибке в браузере Chrome, который Facebook✴ использует в своей рекламной системе. Садегипур объяснил, что с помощью облегчённой версии браузера Chrome, запускаемой через терминал, он смог взаимодействовать с внутренними серверами компании и получить доступ к управлению ими в качестве администратора.

«Я предположил, что это критическая уязвимость, которую стоит исправить, поскольку она находится прямо внутри вашей инфраструктуры», — написал Садегипур в своём письме для Meta✴. Компания быстро отреагировала на ситуацию и попросила исследователя воздержаться от дальнейших тестов до устранения проблемы. Исправление заняло всего один час.

Садегипур также подчеркнул опасность обнаруженной ошибки. Хотя он не стал проверять всю возможную функциональность, которую можно было бы использовать, находясь внутри инфраструктуры Facebook✴, он предупредил, что данная уязвимость позволяет потенциально получить доступ к другим сайтам и системам внутри инфраструктуры компании. «С помощью уязвимости удалённого выполнения кода можно обойти ограничения и напрямую извлекать данные как с самого сервера, так и с других устройств, к которым он подключен», — пояснил он.

Meta✴ отказалась предоставить комментарий по запросу журналистов, однако факт устранения бага был подтверждён. Садегипур также добавил, что аналогичные проблемы существуют у других компаний, чьи рекламные платформы он тестировал.

Специалисты по безопасности из Palo Alto Networks Unit 42 обнаружили, что большие языковые модели (LLM) успешно генерируют модификации вредоносного кода JavaScript практически в неограниченном объёме, при этом делая код менее распознаваемым антивирусными программами. В качестве примера ИИ создал более 10 тыс. копий кода, уклонявшегося от обнаружения в 88 % случаев. Однако у этой медали есть и обратная сторона.

Источник изображения: ИИ-генерация Кандинский 3.1/3DNews

«Хотя LLM с трудом создают вредоносное ПО с нуля, преступники могут легко использовать их для перезаписи или маскировки существующего вредоносного ПО, что затрудняет его обнаружение, — сообщили исследователи из Palo Alto Networks Unit 42 в новом докладе. — Преступники могут побудить LLM выполнить преобразования, которые выглядят гораздо более естественно, что усложняет обнаружение такого ПО».

Нельзя сказать, что ситуация оставлена без внимания. Разработчики LLM вводят меры безопасности, чтобы предотвратить использование моделей в деструктивных целях. Однако злоумышленники уже представили инструменты, такие как WormGPT, для автоматизации создания убедительных фишинговых писем и разработки новых вредоносных программ.

Исследователи из подразделения Unit 42 компании Palo Alto Networks, название которого, кстати, взято из произведения Дугласа Адамса «Автостопом по галактике», где число 42 — это ответ на «главный вопрос жизни, Вселенной и всего такого», протестировали работу LLM как модификатора вредоносного кода. Они обнаружили, что ИИ создал 10 000 разновидностей кода, который не смогли обнаружить такие средства, как Innocent Until Proven Guilty (IUPG) и PhishingJS. Более того, вредоносный код оказался более естественным и на вид безобидным, чем тот, что модифицировался с помощью стандартного механизма obfuscator.io. При этом способность кода наносить вред после обфускации с помощью ИИ не уменьшилась.

ИИ не оригинален в своих методах запутывания следов. Он использует множество стандартных приёмов: переименование переменных, разделение строк, вставку лишнего кода, удаление ненужных пробелов и даже полное переопределение кода. И так 10 000 раз подряд, что заставляет антивирусное ПО считать новые версии безвредными. Это действительно вызывает тревогу, отмечают исследователи. Однако такой механизм может быть полезен для обучения алгоритмов, способных находить неизвестные ранее модификации вредоносного кода. Усиление атак стимулирует развитие защиты. Один ИИ создаёт вирусы, другой их ловит. Человеку в этой схеме, похоже, остаётся лишь «подносить снаряды» то одной стороне, то другой.

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

Google с помощью искусственного интеллекта выявила 26 новых уязвимостей в проектах с открытым исходным кодом (Open Source), включая баг в OpenSSL, который оставался незамеченным в течение двух десятилетий. Этот баг, получивший название CVE-2024-9143, связан с «выходом за границы памяти», вызывал сбои программы, а в редких случаях запускал вредоносный код.

Источник изображения: AI-генерация

Для поиска уязвимостей и автоматизации процесса разработчики Google применили метод «фаззинг-тестирование» (fuzz testing), при котором в код загружаются случайные данные для выявления возможных сбоев. В блоге компании отмечается, что подход заключался в использовании возможностей больших языковых моделей (LLM) для генерации большего количества целей фаззинга.

Как выяснилось, LLM оказались «высокоэффективными в эмуляции всего рабочего процесса типичного разработчика по написанию, тестированию и сортировке обнаруженных сбоев». В результате искусственный интеллект был применён для тестирования 272 программных проектов, где и были обнаружены 26 уязвимостей, включая «древний» баг в OpenSSL.

По словам исследователей, причина, по которой баг оставался незамеченным 20 лет, заключается в сложности тестирования отдельных сценариев кода, а также из-за того, что данный код считался уже тщательно протестированным и, соответственно не привлекал к себе большого внимания. «Тесты не способны измерять все возможные пути выполнения программы. Разные настройки, флаги и конфигурации могут активировать и разное поведение, которое выявляют новые уязвимости», — пояснили специалисты. К счастью, ошибка имеет низкий уровень опасности из-за минимального риска эксплуатации процесса.

Ранее разработчики вручную писали код для фаззинг-тестов, но теперь Google планирует научить ИИ не только находить уязвимости, но и автоматически предлагать исправления, минимизируя участие человека. «Наша цель — достичь уровня, при котором мы будем уверены в возможности обходиться без ручной проверки», — заявили в компании.