Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Июньским вторничным обновлением компания Microsoft среди прочих проблем закрыла CVE-2025-33053, RCE-уязвимость в Web Distributed Authoring and Versioning (WebDAV, расширении протокола HTTP). Microsoft не называет ее критической, однако три факта намекают на то, что установить свежие патчи стоит как можно скорее:
достаточно высокий рейтинг по шкале CVSS 3.1 — 8,8; замечена эксплуатация в реальных атаках; Microsoft озаботилась выпуском патчей для ряда устаревших, более не поддерживаемых версий своей операционной системы. Что за уязвимость CVE-2025-33053 и что такое WebDAV?
В какой-то момент пользователям Интернета потребовался инструмент, позволяющий совместно работать над документами и управлять файлами на удаленных веб-серверах. Для решения этой задачи специальная рабочая группа создала DAV, дополнение к протоколу HTTP. Поддержка нового протокола была реализована в том числе в штатном для Windows браузере Microsoft Internet Explorer.
Казалось бы, в начале 2023 года Internet Explorer был окончательно отключен, однако как мы уже писали, браузер все еще жив. Ряд его механизмов до сих пор используется в сторонних приложениях, да и в новом браузере Microsoft Edge. Поэтому злоумышленники продолжают искать уязвимости, которые можно проэксплуатировать при помощи IE. CVE-2025-33053 — одна из таких. Она позволяет атакующим запустить произвольный код, если жертва кликнет по ссылке и перейдет на контролируемый ими WebDAV-сервер. То есть все что требуется от атакующих — убедить жертву в необходимости перейти по ссылке.
Точный принцип работы эксплойта под эту уязвимость пока публично не раскрыт, однако по информации исследователей, нашедших CVE-2025-33053, эксплуатация происходит за счет манипуляций с рабочей директорией «легитимного инструмента Windows».
View the full article
-
Автор KL FC Bot
Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:
CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи; CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта; CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный. Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.
На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.
View the full article
-
Автор KL FC Bot
Исследователи опубликовали технические детали и код, демонстрирующий эксплуатацию уязвимости (PoC) CVE-2025-6019 в библиотеке libblockdev, которая позволяет атакующему получить права root в большинстве дистрибутивов Linux. На данный момент эксплуатация этой уязвимости в реальных атаках не замечена, однако поскольку PoС опубликован, злоумышленники могут взять ее на вооружение в любой момент.
При каких условиях эксплуатируется CVE-2025-6019?
Библиотека libblockdev служит для низкоуровневых операций с блочными устройствами (например, с жесткими дисками) в Linux. Эксплуатации уязвимости CVE-2025-6019 происходит при обращении к демону udisks2 (служащему для управления накопителями), при условии что злоумышленникам удалось получить привилегии активного пользователя, присутствующего у компьютера (allow_active).
Почти все современные популярные сборки Linux включают udisks — энтузиасты уже проверили возможность эксплуатации уязвимости CVE-2025-6019 на Ubuntu, Debian, Fedora и openSUSE. В теории привилегии allow_active могут быть только у пользователя, физически пользующегося компьютером. Однако по факту в арсенале атакующего могут быть средства, позволяющие получить allow_active удаленно.
Например, нашедшие CVE-2025-6019 исследователи изначально продемонстрировали ее в цепочке эксплуатации, где права allow_active получают через еще одну уязвимость, CVE-2025-6018, которая содержится в конфигурации подключаемых модулей аутентификации (PAM). CVE-2025-6018 присутствует как минимум в openSUSE Leap 15 и SUSE Linux Enterprise 15, но может быть релевантна и для других сборок.
View the full article
-
Автор KL FC Bot
Умный дом сегодня — это не фантастика из фильмов конца девяностых, а реальность практически каждого жителя мегаполиса. Умные розетки, колонки и телевизоры можно встретить практически в любой современной квартире. А что касается новых домов, то их иногда и вовсе сразу же строят умными, получаются умные жилые комплексы. Их жители могут с единого приложения управлять не только внутриквартирными приборами, но и внешними: домофоном, камерами, шлагбаумами, счетчиками и датчиками пожарной сигнализации.
Но что будет, если в таком приложении окажется дыра в безопасности? Ответ знают наши эксперты из Global Research and Analysis Team (GReAT). Мы обнаружили уязвимость в приложении Rubetek Home и рассказали, что могло бы случиться с безопасностью владельцев умных квартир и домов — но, к счастью, не случилось.
Что за уязвимость
Уязвимость заключалась в отправке чувствительных данных в процессе логирования работы приложения. Разработчики использовали Telegram Bot API для сбора аналитики и отправки файлов с отладочной информацией от пользователей в приватный чат команды разработки при помощи Telegram-бота.
Проблема в том, что отправляемые файлы, помимо системной информации, содержали в себе персональные данные пользователей, а также, что более критично, Refresh-токены, необходимые для авторизации в аккаунте пользователя, чей токен был получен. У потенциальных атакующих была возможность переслать все эти файлы себе при помощи того же Telegram-бота. Для этого они могли получить его Telegram-токен и идентификатор нужного чата из кода приложения, а после перебрать порядковые номера сообщений, содержащих такие файлы.
View the full article
-
Автор KL FC Bot
Мошенники постоянно что-нибудь «раздают»: то бесплатные подписки в Telegram, то криптовалюту, то NFT-кроссовки. В новой схеме все по-простому: «раздают» сразу деньги — точнее, делятся способом, как их якобы законно можно получить.
Жулики с помощью ИИ создали двухминутный ролик, где «журналИИсты» и одна знаменитость рассказывают байки: «Каждый человек может получить компенсацию, для этого нужно всего лишь…». Читайте эту историю, чтобы узнать, что просят сделать жертв и как теперь мошенники завлекают людей в свои схемы.
Как действуют мошенники
В рамках этой кампании были разработаны фишинговые сайты, на которых как раз и размещалось видео. Вы не сможете найти его на YouTube или других видеохостингах (извините, но ради вашей безопасности мы тоже им не поделимся), потому что там подобный ИИ-контент довольно-таки быстро удаляют. С подконтрольными злоумышленникам сайтами все сложнее, особенно когда ссылки на них рассылают в почте и мессенджерах.
Теперь о самом интересном: о видео. Выглядит оно как свежий выпуск бразильских новостей, но с одним нюансом. Новости — фейковые, они «сняты» без согласия журналистов. Мошенники в качестве фактуры использовали настоящий выпуск новостей, на который наложили закадровую озвучку, сделанную с помощью ИИ, а также синхронизировали движения губ с новым текстом. Итак, ИИ-клоны реальных журналистов рассуждают о «нарушениях», допущенных одним из популярнейших банков страны.
«Банковские балансы клиентов уменьшаются без всякой причины или даже полностью обнуляются». «Несправедливо блокируются счета». «Процентные ставки по кредитам завышаются». Часть фейковой статьи, созданной ИИ для этой схемы
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти