Опрос
|
реклама
Быстрый переход
В WinRAR 7.13 исправили уязвимость, через которую хакеры незаметно заражали компьютеры
09.08.2025 [15:09],
Владимир Фетисов
Специалисты ESET обнаружили вредоносную кампанию, в рамках которой члены хакерской группировки используют уязвимость WinRAR для распространения вредоносного программного обеспечения через рассылку фишинговых писем. Разработчики архиватора устранили уязвимость в версии WinRAR 7.13, которую рекомендуется установить пользователям. 
Источник изображения: WinRAR В сообщении сказано, что исследователи обнаружили ранее неизвестную уязвимость WinRAR, которая использовалась хакерами для распространения вредоносного ПО через рассылку фишинговых электронных писем. Речь идёт об уязвимости CVE-2025-8088, которая может эксплуатироваться с помощью особым образом сконфигурированных вредоносных архивных файлов. Обычно WinRAR извлекает файлы из архива в указанную пользователем папку. Однако новая уязвимость позволяет сделать так, чтобы файлы извлекались по указанному злоумышленниками пути. Это позволяет осуществить выполнение вредоносного кода на компьютере жертвы с запущенным архиватором WinRAR. Подробности атаки не разглашаются, но известно, что эксперты ESET «обнаружили предназначенные для фишинга электронные письма с вложениями, содержащими RAR-файлы». Эти архивы использовались для эксплуатации уязвимости CVE-2025-8088. По данным источника, уязвимость использовалась злоумышленниками для распространения вредоноса RomCom. Ранее этот вредонос использовался российскими хакерскими группировками для кражи конфиденциальных данных и установки других вредоносных приложений. Хорошая новость в том, что на прошлой неделе разработчики WinRAR исправили упомянутую уязвимость. Для защиты от потенциальных фишинговых атак через CVE-2025-8088 пользователям рекомендуется использовать WinRAR 7.13. К сожалению, популярный архиватор не поддерживает функцию автоматического обновления, поэтому загрузка и установка новой версии проводится вручную самими пользователями. В описании к обновлению сказано, что проблема затрагивает предыдущие версии WinRAR, версии RAR для Windows, UnRAR и др. При этом проблема не затрагивает Unix-версии архиватора и версию для Android. Хакеры научились обходить защиту Microsoft Defender для загрузки вымогательского ПО на любые ПК с Windows
08.08.2025 [12:26],
Владимир Фетисов
Работающая в сфере информационной безопасности компания GuidePoint Security выпустила предупреждение, в котором говорится, что хакеры научились обходить защиту Microsoft Defender с целью установки и развёртывания вымогательского программного обеспечения Akira. Для этого они используют уязвимость одного из легитимных драйверов. 
Источник изображения: Towfiqu barbhuiya / Unsplash Речь идёт о драйвере rwdrv.sys, который использует утилита ThrottleStop для настройки процессоров Intel. Эксплуатация уязвимости драйвера позволяет получить доступ к ОС Windows на уровне ядра, после чего злоумышленники загружают в систему вредоносный драйвер hlpdv.sys, который вносит изменения в реестр Windows и отключает защитные функции Microsoft Defender. Когда защита отключена, злоумышленникам лишь остаётся загрузить на ПК жертвы вымогателя Akira. По данным GuidePoint, хакеры используют такой двухэтапный подход к распространению вымогательского ПО как минимум с июля текущего года. Чтобы надёжно защитить свой ПК, пользователям рекомендуется задействовать надёжные антивирусные продукты, не полагаясь только на Microsoft Defender. Кроме того, усилить защиту поможет регулярная установка патчей безопасности, в которых разработчики устраняют выявляемые в ходе эксплуатации уязвимости программного обеспечения. Хакеры использовали уязвимость ChatGPT для кражи данных из «Google Диска»
08.08.2025 [04:31],
Анжелла Марина
Исследователи кибербезопасности обнаружили новую атаку под названием AgentFlayer, которая использует уязвимость в ChatGPT для кражи данных из «Google Диска» без ведома пользователя. Злоумышленники могут внедрять скрытые команды в обычные документы, заставляя ИИ автоматически извлекать и передавать конфиденциальную информацию. 
Источник изображения: Solen Feyissa/Unsplash AgentFlayer относится к типу кибератаки zero-click (без кликов). Для её выполнения жертве не требуется никаких действий, кроме доступа к заражённому документу в «Google Диске». Другими словами, пользователю не нужно нажимать на ссылку, открывать файл или выполнять какие-либо другие действия для заражения. Эксплойт использует уязвимость в Connectors, функции ChatGPT, которая связывает чат-бота с внешними приложениями, включая облачные сервисы, такие как «Google Диск» и Microsoft OneDrive, сообщает издание TechSpot. Вредоносный документ содержит скрытую инструкцию длиной в 300 слов, оформленную белым шрифтом минимального размера, что делает её невидимой для человека, но доступной для обработки ChatGPT. Команда предписывает ИИ найти в Google Drive жертвы API-ключи, добавить их к специальному URL и отправить на внешний сервер злоумышленников. Атака активируется сразу после открытия доступа к документу, а данные передаются при следующем взаимодействии пользователя с сервисом ChatGPT. Как подчеркнул старший директор по безопасности Google Workspace Энди Вэнь (Andy Wen) атака не связана напрямую с уязвимостью в инфраструктуре Google, однако компания уже разрабатывает дополнительные меры защиты, чтобы предотвратить выполнение скрытых и потенциально опасных инструкций в своих сервисах. OpenAI, в свою очередь, внедрила исправления после уведомления исследователей о проблеме ранее в этом году. Тем не менее, эксперты предупреждают, что, несмотря на ограниченный объём данных, который можно извлечь за один запрос, данная угроза выявляет риски, связанные с предоставлением искусственному интеллекту бесконтрольного доступа к личным файлам и облачным аккаунтам. ChatGPT превратили в похитителя конфиденциальных данных одним файлом и без единого клика
07.08.2025 [10:57],
Павел Котов
Современные чат-боты на основе моделей генеративного искусственного интеллекта уже не ограничиваются общением с пользователем — они свободно подключаются к сторонним сервисам, чтобы давать персонализированные ответы на запросы. ChatGPT можно связать с почтовым ящиком Gmail, репозиторием GitHub и календарём в экосистеме Microsoft. А злоумышленники могут похищать данные пользователей с этих платформ — достаточно подсунуть ChatGPT всего один «отравленный» документ. 
Источник изображения: Viralyft / unsplash.com Эксперты в области кибербезопасности Майкл Баргури (Michael Bargury) и Тамир Ишай Шарбат (Tamir Ishay Sharbat) продемонстрировали на конференции Black Hat в Лас-Вегасе, как можно эксплуатировать уязвимость службы OpenAI Connectors для кражи данных со сторонних платформ. Схема атаки, которую они назвали AgentFlayer, позволила им извлечь принадлежащие разработчику секретные ключи API из его облачного хранилища «Google Диск». «Пользователю не нужно ничего делать, чтобы оказаться скомпрометированным, и ничего не требуется делать, чтобы данные отправились [злоумышленникам]. Мы показали, что это делается без единого щелчка мышью: нам просто нужен адрес электронной почты, мы открываем доступ к документу — и всё. Так что да, всё очень и очень нехорошо», — цитирует Wired Майкла Баргури. Атака начинается с того, что злоумышленник открывает потенциальной жертве доступ к вредоносному документу через «Google Диск», или жертва самостоятельно загружает этот документ в своё хранилище. В документе содержится некий набор заметок с вымышленной встречи с главой OpenAI Сэмом Альтманом (Sam Altman), а также запрос к ChatGPT, написанный белым шрифтом единичного размера — человек его едва ли увидит, а вот машина точно прочтёт. Жертва отправляет ChatGPT запрос составить сводку о последней встрече с Сэмом или любой другой, касающийся этого мероприятия. В скрытом запросе говорится, что произошла «ошибка», и никакую сводку составлять не надо; «на самом деле» пользователь является разработчиком, у которого подходит крайний срок сдачи проекта, ИИ следует найти в хранилище «Google Диск» ключи API и добавить их в конец указанного в запросе URL-адреса. Этот URL-адрес в действительности представляет собой команду на языке Markdown для подключения к внешнему серверу и загрузки хранящегося там изображения — но теперь он содержит похищенный у жертвы ключ API. Майкл Баргури, по его словам, в этом году сообщил о своём открытии в OpenAI, и компания быстро внедрила меры по защите от атаки через службу Connectors. Этот механизм позволяет похищать за одну сессию лишь ограниченный объём информации. Подключение больших языковых моделей к внешним источникам данных расширяет возможности и повышает эффективность инструментов ИИ, но это сопряжено с определёнными угрозами, предупреждают эксперты. Баг в прошивке Dell позволял встраивать неубиваемые вирусы и обходить вход в Windows — уязвимы сотни моделей
06.08.2025 [17:42],
Павел Котов
Dell исправила уязвимости прошивки ControlVault3, затронувшие более сотни моделей её компьютеров — они позволяли злоумышленникам обходить стандартные механизмы входа в Windows и устанавливать вредоносное ПО, продолжающее работать даже после переустановки системы. 
Источник изображения: Dell / unsplash.com Эксперты подразделения кибербезопасности Cisco Talos обнаружили серию уязвимостей в Dell ControlVault — это аппаратное решение предполагает хранение паролей, биометрических данных и кодов безопасности на плате Unified Security Hub (USH). Уязвимостям присвоили общее название ReVault — они затрагивают прошивку ControlVault3, а также соответствующие API для Windows на ноутбуках Dell Latitude и Precision. Эти модели популярны в сфере кибербезопасности, в государственных учреждениях и в промышленности, где для аутентификации пользуются смарт-картами, сканерами отпечатков пальцев и NFC. В семейство ReVault вошли уязвимости: CVE-2025-24311 и CVE-2025-25050, связанные с переполнением буфера; CVE-2025-25215 — произвольное освобождение памяти; CVE-2025-24922 — переполнение стека; CVE-2025-24919 — уязвимость при восстановлении объектов. Dell выпускала обновления безопасности для устранения уязвимостей семейства ReVault в драйверах и прошивке ControlVault3 с марта по май; компания опубликовала полный список моделей, которые затронула проблема. Объединив эти уязвимости в цепочку, гипотетический злоумышленник мог выполнять в прошивке произвольный код и даже сохранять его так, что он продолжал бы работать после переустановки Windows. Обладая физическим доступом к компьютеру, хакер мог бы миновать стандартный механизм входа в Windows или повысить свои привилегии до администратора. Ещё одно вероятное последствие — взлом системы аутентификации по отпечаткам пальцев, после которой любой отпечаток распознавался бы как верный. В Cisco Talos рекомендовали обновить систему стандартными средствами Windows или скачать новые версии фирменного ПО с сайта Dell; отключить неиспользуемые средства безопасности, в том числе сканеры отпечатков пальцев, считыватели смарт-карт и NFC. Предложено включить в BIOS функцию обнаружения взлома корпуса и функцию Enhanced Sign-in Security (ESS) в Windows, помогающую обнаруживать нестандартное поведение средств защиты. Попытка Microsoft переосмыслить интернет с помощью ИИ натолкнулась на брешь в безопасности протокола NLWeb
06.08.2025 [16:53],
Анжелла Марина
Microsoft обнаружила и устранила критическую уязвимость в своём новом открытом протоколе NLWeb, разработанном для интеграции систем искусственного интеллекта в сайты и веб-приложения, и анонсированном на конференции Build несколько месяцев назад. Уязвимость, обнаруженная исследователями по безопасности Аонаном Гуанем (Aonan Guan) и Лэй Ваном (Lei Wang), позволяла удалённым пользователям без аутентификации получать доступ к конфиденциальным файлам, включая системные конфигурации и API-ключи к OpenAI и Gemini. 
Источник изображения: AI Уязвимость основана на классической ошибке path traversal, также известной как обход каталога. Для её эксплуатации достаточно просто перейти по специально сформированному URL. Хотя исправление было выпущено 1 июля, Microsoft до сих пор не присвоила проблеме идентификатор CVE, что является стандартной практикой в индустрии для отслеживания уязвимостей. При этом, как пишет The Verge, исследователи неоднократно призывали компанию опубликовать CVE, подчёркивая, что это позволило бы разработчикам быстрее и надёжнее отреагировать на угрозу, особенно учитывая, что протокол NLWeb пока не получил широкого распространения. Гуань, старший инженер по облачной безопасности в компании Wyze, который проводил исследование независимо от своей основной работы, отметил, что утечка файла .env в традиционных веб-приложениях в любом случае представляет серьёзную опасность, но в случае с ИИ-агентами последствия становятся катастрофическими. По его словам, такие файлы содержат ключи доступа к языковым моделям, включая GPT-4, которые формируют «когнитивный механизм» агента, и их компрометация означает, что злоумышленник может не просто украсть учётные данные, но и подменить или клонировать поведение ИИ, что чревато масштабным финансовым ущербом из-за несанкционированного использования API-интерфейса. Представитель Microsoft Бен Хоуп (Ben Hope) заявил, что компания оперативно исправила проблему в открытом репозитории. По его словам, сама Microsoft не использует уязвимый код в своих продуктах, а клиенты, применяющие репозиторий, автоматически получат защиту после обновления. Тем не менее, Гуань предупредил, что разработчики, использующие NLWeb, обязаны самостоятельно обновить сборку, иначе любое публичное развёртывание останется подверженным атакам. Google наконец устранила уязвимости в Android-драйверах Qualcomm, обнаруженные в январе
05.08.2025 [16:20],
Павел Котов
В обновлении безопасности Android за август 2025 года Google исправила шесть уязвимостей операционной системы, в том числе две, которые были обнаружены в драйверах к чипам Qualcomm и использовались в целевых атаках. 
Источник изображения: Kelly Sikkema / unsplash.com Две уязвимости за номерами CVE-2025-21479 и CVE-2025-27038 были обнаружены экспертами по кибербезопасности в отделе разработки Android в конце января 2025 года. Первая из-за ошибки в проверке прав доступа могла вызывать сбой в работе памяти при выполнений определённой последовательности команд на графическом процессоре. Вторая относилась к типу «use-after-free» и предполагала обращение к области памяти, которая была «освобождена» после прорисовки графики в браузере Chrome на подсистеме Adreno, что могло привести к ошибке в работе программы, сбою в работе памяти и выполнению вредоносного кода. В июне Qualcomm предупредила, что уязвимости могут эксплуатироваться злоумышленниками, а соответствующие исправления драйвера OEM-производителем предоставили ещё месяцем ранее. В августовских обновлениях Android компания Google также закрыла критическую уязвимость в компоненте System, которая в сочетании с рядом других позволяла производить атаки, не требующие взаимодействия с пользователем. В этом месяце вышли два пакета исправлений безопасности для Android: от 1 и 5 августа: последний включает в себя все исправления из первого набора, а также исправления для сторонних компонентов и компонентов ядра с закрытым исходным кодом, которые могут применяться на всех устройствах Android. Первыми обновления безопасности получили устройства Google Pixel, а другим производителям часто требуется дополнительное время, чтобы их протестировать и адаптировать под собственные конфигурации оборудования. В Google нашли брешь, позволявшую кому угодно навсегда удалять из поиска любые ссылки
01.08.2025 [11:06],
Анжелла Марина
Злоумышленники воспользовались уязвимостью в поисковой системе Google для исключения из выдачи ссылок на статьи независимого журналиста Джека Полсона (Jack Poulson). Как пишет TechSpot, механизм, изначально предназначенный для обновления устаревших ссылок, оказался подвержен манипуляциям, что приводит к исчезновению материалов без их фактического удаления с сайтов. 
Источник изображения: AI Полсон, освещавший в 2021 году арест генерального директора компании Premise Data Делвина Мориса Блэкмана (Delwin Maurice Blackman) по обвинению в домашнем насилии, обнаружил, что его материалы перестали отображаться в результатах поиска, даже при точном вводе заголовков в кавычках. Он сообщил о проблеме в Фонд защиты свободы прессы (Freedom of the Press Foundation), где расследованием занялся заместитель директора по аудитории организации Ахмед Зидан (Ahmed Zidan). 
Источник изображения: techspot.com Выяснилось, что злоумышленник многократно подавал запросы через инструмент Google, указывая в них URL статей с изменённым регистром букв, например, с заглавной вместо строчной. Каждый такой запрос ссылался на несуществующую страницу, что приводило к ошибке 404, а далее, вместо того, чтобы просто проигнорировать неработающую ссылку, поисковый робот Google исключал её из индекса. Таким образом, действующие материалы перестали показываться в поиске, хотя сами сайты оставались доступными. Представители Google подтвердили существование бага, но не раскрыли, сколько всего было подано подобных запросов. Специалисты предполагают, что подобную тактику могли использовать интернет-агентства по управлению репутацией компаний или просто технически подкованные пользователи, действующие от имени заинтересованной стороны ради того, чтобы скрыть нежелательные публикации под видом технического обновления. Исследователь обнаружил крайне опасную уязвимость в Safari — Apple оценила находку всего в $1000
31.07.2025 [17:43],
Павел Котов
Apple поощряет экспертов в области кибербезопасности находить уязвимости в её продуктах и сообщать о них — вознаграждение может составить до $2 млн. Но один из исследователей, который выявил в браузере Safari критическую уязвимость с рейтингом 9,8 из 10, утверждает, что получил за это всего $1000.  В 2022 году Apple обновила свою программу вознаграждений за обнаружение уязвимостей и объявила, что средний размер выплаты составляет $40 000, а в двадцати случаях за выявление «серьёзных проблем» предложила и шестизначные суммы. Так, студент, успешно взломавший камеры Mac и iPhone, получил $175 000. С другой стороны, обнаружившему критическую ошибку в Safari пользователю перечислили всего $1000. Уязвимость за номером CVE-2025-30466 была исправлена в Safari 18.4 из комплекта мартовских обновлений iOS/iPadOS 18.4 и macOS 15.4. Это уязвимость типа универсального межсайтового скриптинга (Universal Cross-Site Scripting — UXSS), которая позволяет злоумышленнику выдавать себя за добросовестного пользователя и получать доступ к его данным. Открывший её эксперт продемонстрировал, как её можно использовать для доступа к iCloud и приложению камеры в iOS. Скромный размер вознаграждения в $1000, по одной из версий, объясняется тем, что для запуска эксплойта этой уязвимости пользователь должен совершить какое-либо действие. Степень участия пользователя при атаке является одним из критериев, применяемых при назначении вознаграждения. Apple, возможно, верно оценила реальную угрозу эксплуатации уязвимости, но опасность низких выплат состоит в том, что это может побудить экспертов не сообщать о них в компанию, а продавать их на чёрном рынке. Тысячи камер Hikvision остаются уязвимы ко взлому почти год — доступ к ним активно продают в даркнете
30.07.2025 [18:31],
Сергей Сурабекянц
Осенью прошлого года в камерах видеонаблюдения Hikvision была обнаружена опасная уязвимость CVE-2021-36260, которой Национальный институт стандартов и технологий США (NIST) присвоил критический рейтинг — 9,8 из 10. Несмотря на высокий уровень угрозы, более 80 000 затронутых устройств до сих пор остаются уязвимыми. Исследователи зафиксировали многочисленные случаи эксплуатации эксплойта и попытки продажи украденных учётных данных. 
Источник изображения: Rob Sarmiento / unsplash.com Hikvision (Hangzhou Hikvision Digital Technology) — китайский государственный производитель оборудования для видеонаблюдения. География клиентов компании охватывает более ста стран, включая США, несмотря на то что Федеральная комиссия по связи США (FCC) ещё в 2019 году назвала Hikvision «неприемлемым риском для национальной безопасности США». По словам старшего директора по анализу угроз компании Cybrary Дэвида Мейнора (David Maynor), камеры Hikvision «содержат легко эксплуатируемые системные уязвимости или, что ещё хуже, используют учётные данные по умолчанию». По его словам, не существует надёжного способа провести экспертизу на наличие взлома или подтвердить, что злоумышленнику был закрыт доступ. «Более того, мы не заметили никаких изменений в позиции Hikvision, которые могли бы свидетельствовать об усилении безопасности в рамках цикла разработки», — добавил Мейнор. Пользуясь неведением и ленью пользователей, киберпреступники находят уязвимые устройства с помощью специальных поисковых систем, таких как Shodan или Censys. Проблема усугубляется тем, что камеры Hikvision по умолчанию поставляются с несколькими вариантами предустановленных паролей, которые пользователи не изменяют при установке. Масштабы причинённого ущерба пока неясны. Авторы отчёта могут лишь предполагать, что «китайские группы, такие как MISSION2025/APT41, APT10 и её филиалы, потенциально могут использовать уязвимости в этих устройствах для достижения своих целей (включая конкретные геополитические соображения)». Во многом эта проблема свойственна всей отрасли, а не только Hikvision. «Устройства Интернета вещей, такие как камеры, не всегда так же просто и понятно защитить, как приложения на телефоне, — пояснил специалист по защите конфиденциальности Comparitech Пол Бишофф (Paul Bischoff). — Обновления не устанавливаются автоматически; пользователям необходимо загружать их вручную […] В то время как ваш телефон сообщит о наличии обновления и, вероятно, установит его автоматически при следующей перезагрузке, устройства Интернета вещей таких удобств не предлагают». Microsoft нашла уязвимость в macOS, позволявшую обойти защиту TCC и украсть данные пользователя
29.07.2025 [09:28],
Анжелла Марина
Специалисты Microsoft Threat Intelligence обнаружили уязвимость в системе поиска Spotlight, встроенной в macOS, которая позволяла злоумышленникам получать доступ к конфиденциальным данным пользователей. Эксперты компании назвали этот метод атаки Sploitlight, поскольку он использует плагины Spotlight для обхода защитных механизмов Apple.  По сообщению MacRumors, проблема заключалась в возможности обхода системы Transparency, Consent, and Control (TCC), предназначенной для контроля доступа приложений к личной информации. Уязвимость позволяла злоумышленникам извлекать кешированные данные, включая точные геолокационные сведения, метаданные фото и видео, информацию о распознавании лиц из медиатеки, историю поиска, ИИ-сводки писем и пользовательские настройки. Несмотря на то, что Apple изолирует плагины Spotlight в так называемой песочнице и ограничивает их доступ к защищённым файлам, исследователи Microsoft нашли способ модифицировать набор приложений, которые Spotlight использует для индексации, что позволяло извлекать содержимое защищённых файлов. Microsoft оперативно уведомила Apple о найденной уязвимости, и разработчики исправили её в обновлениях macOS Sequoia 15.4 и iOS 18.4, выпущенных 31 марта. По данным компаний, эксплойт не был использован в реальных атаках, поскольку проблема была устранена до публичного раскрытия. В документации к обновлению Apple указала, что уязвимость устранили за счёт улучшенной фильтрации данных. Помимо этого, Apple исправила две другие уязвимости, обнаруженные Microsoft. Они связаны с проверкой символических ссылок и управлением состоянием системы. В масштабном взломе серверов SharePoint может быть повинна утечка из Microsoft
26.07.2025 [13:37],
Павел Котов
Microsoft намеревается провести проверку, не послужила ли её собственная система раннего оповещения об уязвимостях источником утечки, которая привела к масштабному взлому ресурсов SharePoint. К этой системе подключены компании, специализирующиеся на вопросах кибербезопасности, и софтверный гигант пытается установить, не воспользовались ли ей злоумышленники до того, как началось устранение выявленных в SharePoint уязвимостей. 
Источник изображения: BoliviaInteligente / unsplash.com «В рамках нашей стандартной процедуры мы изучим этот инцидент, выявим области для улучшения и широко развернём эти улучшения», — цитирует Bloomberg заявление представителя Microsoft; он также отметил, что партнёрские программы помогают компании в обеспечении безопасности. Вину за серию взломов SharePoint в Microsoft возложили на китайских хакеров, которых, по версии корпорации, поддерживают власти страны. В программе Microsoft по активной защите (Microsoft Active Protections Program — MAPP) участвуют не менее десятка китайских компаний. Она существует уже 17 лет, и каждому новому участнику приходится доказывать, что он является поставщиком решений в области кибербезопасности и не производит хакерских инструментов, в том числе ПО для тестирования на проникновения в системы. Подписав соглашение о неразглашении, такие компании получают информацию о новых исправлениях уязвимостей за 24 часа до того, как их публикует сама Microsoft. Наиболее доверенные участники программы получают сведения ещё на пять дней раньше. В специализирующейся на вопросах кибербезопасности японской компании Trend Micro подтвердили, что получили уведомление о двух опасных уязвимостях SharePoint по каналу MAPP и подумали о возможности утечки; но и сейчас не сомневаются в ценности программы. Жертвами серии атак стали более 400 корпораций и государственных учреждений по всему миру — вплоть до Национального управления по ядерной безопасности США, ответственного за разработку и обслуживание ядерного оружия. Массовый взлом, по версии Microsoft, организовали китайские хакерские группировки Linen Typhoon, Violet Typhoon и Storm-2603. 
Источник изображения: Alex Carmona / unsplash.com Об уязвимостях SharePoint впервые сообщил в мае этого года эксперт вьетнамской компании Viettel Динь Хо Ань Хоа (Dinh Ho Anh Khoa) на берлинской конференции Pwn2Own, там же он передал все документы представителю Microsoft и получил вознаграждение в $100 000. Компании потребовались около 60 дней, чтобы разработать средство исправления уязвимостей, но 7 июля, накануне публичного выпуска патча, хакеры произвели масштабную атаку на серверы SharePoint. Они могли их выявить самостоятельно и начать эксплуатировать в тот самый день, когда Microsoft распространила оповещение среди членов MAPP, но это, по мнению экспертов, было бы немыслимым совпадением — более вероятным представляется сценарий, что кто-то поделился информацией с киберпреступниками. MAPP уже оказывалась источником утечек. В 2012 году Microsoft обвинила китайскую компанию Hangzhou DPtech в раскрытии информации о серьёзной уязвимости в Windows и исключила её из программы. В 2021 году Microsoft заподозрила минимум двух китайских партнёров по MAPP в утечке сведений об уязвимости серверов Exchange, что привело к крупномасштабной атаке, организованной, по версии корпорации, китайской группировкой Hafnium. Тогда взлому подверглись десятки тысяч серверов Exchange, в том числе ресурсы, принадлежащие Европейской службе банковского надзора и парламента Норвегии. После инцидента 2021 года корпорация рассматривала возможность пересмотреть механизмы работы MAPP, но чем это тогда закончилось, неизвестно. В 2021 году в Китае начал действовать закон, обязывающий любую компанию или исследователя в области кибербезопасности в срок 48 часов докладывать обо всех обнаруженных уязвимостях систем в Министерство промышленности и информационных технологий страны. Некоторые китайские компании, например, Beijing CyberKunlun Technology Co Ltd., являются одновременно членами MAPP и участниками местной правительственной программы — «Национальной базы уязвимостей». При этом, отмечают эксперты, отсутствует прозрачность в отношении того, как китайские компании соблюдают баланс между своими обязательствами в рамках программы Microsoft и обязательствами в соответствии с законами Китая. Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить
22.07.2025 [19:33],
Анжелла Марина
Компании по всему миру начали срочно обновлять свои системы после того, как службы безопасности Google и Microsoft сообщили о масштабной кибератаке, использующей критическую уязвимость в программном обеспечении Microsoft SharePoint. Уязвимость CVE-2025-53770 была обнаружена на прошлой неделе и сразу же получила классификацию «нулевого дня». Это означает, что хакеры начали её эксплуатировать до того, как Microsoft успела выпустить патч. 
Источник изображения: Luther.M.E. Bottrill/Unsplash По сообщению TechCrunch, проблема затронула программное обеспечение сервера SharePoint, который широко используются организациями по всему миру для хранения и обмена внутренними документами. Уязвимость позволяет злоумышленникам похищать закрытые ключи, а затем устанавливать вредоносное ПО, с помощью которого происходит проникновение к корпоративным файлам и другим системам в пределах одной сети. Впервые «дыра» в SharePoint была обнаружена в мае на конкурсе хакеров в Берлине, организованный компанией по кибербезопасности Trend Micro с целью обнаружения ошибок в популярном программном обеспечении. После чего, в прошлом месяце, Microsoft выпустила исправляющий патч. Однако, как утверждает Reuters, патч оказался неэффективен и не устранил проблему. По крайне мере, представители компании во вторник не смогли предоставить агентству комментарий относительно исправления ошибки и эффективности патча. Microsoft в своём блоге сообщила, что за атаками стоят как минимум три хакерские группы, связанные с Китаем. Две из них — Linen Typhoon и Violet Typhoon — ранее уже фигурировали в расследованиях компании. Первая специализируется на краже интеллектуальной собственности, вторая — на сборе конфиденциальной информации для целей шпионажа. Третья группа, которую Microsoft обозначила как Storm-2603, менее изучена, но, по данным компании, ранее была замешана в атаках с использованием вымогательского ПО. Активность этих групп в связи с эксплуатацией уязвимости в SharePoint зафиксирована как минимум с 7 июля, то есть за несколько недель до публичного раскрытия уязвимости. Чарльз Кармакал (Charles Carmakal), технический директор подразделения реагирования на инциденты Mandiant, входящего в Google, в письме изданию TechCrunch также подтвердил, что по меньшей мере один из участников атак связан с хакерскими группами, действующими в интересах Китая. По его словам, угроза продолжает нарастать, а число скомпрометированных систем может быть значительным. Десятки организаций, в том числе в государственном секторе, уже подтвердили факт взлома. Представитель посольства Китая в Вашингтоне пока не ответил на запрос о комментарии. При этом ранее китайское правительство неоднократно отвергало обвинения в проведении кибератак, хотя и не всегда прямо опровергало свою причастность к отдельным инцидентам. Уязвимость в Microsoft SharePoint привела к компрометации систем не менее 100 компаний, а также госорганов США
21.07.2025 [22:05],
Владимир Фетисов
Не так давно Microsoft опубликовала предупреждение, сообщив, что хакеры активно используют уязвимость нулевого дня программного продукта SharePoint для компрометации локальных серверов разных организаций и компаний. Оценка масштаба инцидента продолжается, но уже известно, что злоумышленникам удалось скомпрометировать системы около 100 организаций. Об этом пишет Reuters со ссылкой на данные двух организаций, которые помогли раскрыть вредоносную кампанию. 
Источник изображения: Desola Lanre-Ologun / Unsplash Активность хакеров обнаружила нидерландская ИБ-компания Eye Security, когда заметила подозрительную активность, направленную против одного из своих клиентов. После этого специалисты провели сканирование интернета с помощью инструмента организации Shadowserver Foundation, что позволило им выявить около 100 жертв вредоносной кампании. Это было сделано ещё до того, как проблема приобрела широкую известность. «Кто знает, что делали другие злоумышленники с тех пор, чтобы внедрить новые бэкдоры», — считает Вайша Бернард (Vaisha Bernard), специалист Eye Security. Он отказался назвать организации, которые подверглись хакерской атаке, но добавил, что соответствующие органы были своевременно уведомлены об инциденте. В Shadowserver Foundation подтвердили цифру в 100 пострадавших, добавив, что многие из них находятся в США и Германии, а также, что среди жертв есть правительственные организации. Другой исследователь сказал, что, вероятно, до сих пор вредоносная кампания была делом рук одного хакера или группы хакеров. «Возможно, ситуация быстро изменится», — считает Рейф Пиллинг (Rafe Pilling), глава подразделения по анализу угроз британской ИБ-компании Sophos. Microsoft уже выпустила патч для исправления уязвимости SharePoint, а также рекомендовала клиентам не затягивать с его установкой. Кто стоит за вредоносной кампанией, пока неизвестно. ФБР сообщило, что ведомство осведомлено о проблеме и тесно сотрудничает со своими федеральными партнёрами в рамках расследования, не назвав каких-либо подробностей. Британский национальный центр кибербезопасности сообщил об «ограниченном количестве» целей хакеров на территории королевства. По данным системы Shodan, позволяющей идентифицировать подключаемое к интернету оборудование, более 8000 серверов в сети теоретически уже могли быть взломаны хакерами. В число этих серверов входят системы, принадлежащие крупным промышленным предприятиям, банкам, аудиторским компаниям, медицинским и государственным учреждениям в США и ряде других стран. Хакеры взломали тысячи серверов по всему миру через уязвимость в Microsoft SharePoint
21.07.2025 [15:39],
Владимир Фетисов
Microsoft опубликовала предупреждение, в котором говорится об активных атаках хакеров на серверное оборудование компании, а также о выпуске патча для исправления сложившейся ситуации. Речь идёт об уязвимости нулевого дня в программном обеспечении SharePoint, которая подвергает риску десятки тысяч серверов по всему миру. 
Источник изображения: Bender / Unsplash Специалисты компании Eye Security, работающей в сфере информационной безопасности, обнаружили упомянутую уязвимость 18 июля. С её помощью злоумышленники могут получить доступ к локальным серверам SharePoint с целью кражи криптографических ключей, что даёт им несанкционированный доступ к инфраструктуре жертв. Наличие криптографических ключей позволяет злоумышленникам выдавать себя за легитимных пользователей даже после перезагрузки скомпрометированного сервера или установки патча. Это означает, что уже скомпрометированные серверы могут представлять опасность для бизнеса даже после установки исправления. Отмечается, что проблема не затрагивает облачную версию сервиса SharePoint Online, которая доступна на платформе Microsoft 365. Хакеры могут использовать уязвимость SharePoint для кражи конфиденциальных данных, включая учётные данные пользователей. Они также могут перемещаться внутри скомпрометированной сети, используя сервисы, которые часто подключаются к SharePoint, такие как Outlook, Teams и OneDrive. Предполагается, что эксплойт создан на основе двух уязвимостей, которые были продемонстрированы на конкурсе хакеров Pwn2Own в мае. К настоящему моменту Microsoft выпустила исправление для серверов SharePoint 2019 и SharePoint Subscription Edition, а также продолжает работать над патчем для SharePoint 2016. Агентство по кибербезопасности и защите инфраструктуры (CISA) США продолжает оценку масштабов проблемы. В ведомстве заявили, что все скомпрометированные серверы необходимо отключить от интернета до тех пор, пока не станет ясен масштаб проблемы. По данным The Washington Post, уязвимость SharePoint активно используется хакерами для атак на федеральные агентства и муниципальные учреждения США и других стран, а также на энергетические и телекоммуникационные компании, университеты и другие организации по всему миру. |
© 1997—2026 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
