Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Июньским вторничным обновлением компания Microsoft среди прочих проблем закрыла CVE-2025-33053, RCE-уязвимость в Web Distributed Authoring and Versioning (WebDAV, расширении протокола HTTP). Microsoft не называет ее критической, однако три факта намекают на то, что установить свежие патчи стоит как можно скорее:
достаточно высокий рейтинг по шкале CVSS 3.1 — 8,8; замечена эксплуатация в реальных атаках; Microsoft озаботилась выпуском патчей для ряда устаревших, более не поддерживаемых версий своей операционной системы. Что за уязвимость CVE-2025-33053 и что такое WebDAV?
В какой-то момент пользователям Интернета потребовался инструмент, позволяющий совместно работать над документами и управлять файлами на удаленных веб-серверах. Для решения этой задачи специальная рабочая группа создала DAV, дополнение к протоколу HTTP. Поддержка нового протокола была реализована в том числе в штатном для Windows браузере Microsoft Internet Explorer.
Казалось бы, в начале 2023 года Internet Explorer был окончательно отключен, однако как мы уже писали, браузер все еще жив. Ряд его механизмов до сих пор используется в сторонних приложениях, да и в новом браузере Microsoft Edge. Поэтому злоумышленники продолжают искать уязвимости, которые можно проэксплуатировать при помощи IE. CVE-2025-33053 — одна из таких. Она позволяет атакующим запустить произвольный код, если жертва кликнет по ссылке и перейдет на контролируемый ими WebDAV-сервер. То есть все что требуется от атакующих — убедить жертву в необходимости перейти по ссылке.
Точный принцип работы эксплойта под эту уязвимость пока публично не раскрыт, однако по информации исследователей, нашедших CVE-2025-33053, эксплуатация происходит за счет манипуляций с рабочей директорией «легитимного инструмента Windows».
View the full article
-
Автор KL FC Bot
Исследователи опубликовали технические детали и код, демонстрирующий эксплуатацию уязвимости (PoC) CVE-2025-6019 в библиотеке libblockdev, которая позволяет атакующему получить права root в большинстве дистрибутивов Linux. На данный момент эксплуатация этой уязвимости в реальных атаках не замечена, однако поскольку PoС опубликован, злоумышленники могут взять ее на вооружение в любой момент.
При каких условиях эксплуатируется CVE-2025-6019?
Библиотека libblockdev служит для низкоуровневых операций с блочными устройствами (например, с жесткими дисками) в Linux. Эксплуатации уязвимости CVE-2025-6019 происходит при обращении к демону udisks2 (служащему для управления накопителями), при условии что злоумышленникам удалось получить привилегии активного пользователя, присутствующего у компьютера (allow_active).
Почти все современные популярные сборки Linux включают udisks — энтузиасты уже проверили возможность эксплуатации уязвимости CVE-2025-6019 на Ubuntu, Debian, Fedora и openSUSE. В теории привилегии allow_active могут быть только у пользователя, физически пользующегося компьютером. Однако по факту в арсенале атакующего могут быть средства, позволяющие получить allow_active удаленно.
Например, нашедшие CVE-2025-6019 исследователи изначально продемонстрировали ее в цепочке эксплуатации, где права allow_active получают через еще одну уязвимость, CVE-2025-6018, которая содержится в конфигурации подключаемых модулей аутентификации (PAM). CVE-2025-6018 присутствует как минимум в openSUSE Leap 15 и SUSE Linux Enterprise 15, но может быть релевантна и для других сборок.
View the full article
-
Автор KL FC Bot
Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:
CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи; CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта; CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный. Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.
На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.
View the full article
-
Автор KL FC Bot
Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
Мотивы перехода на passkeys в компании
Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.
View the full article
-
Автор KL FC Bot
Современные злоумышленники всеми силами пытаются выдать свою активность за какие-либо нормальные процессы. Они используют легитимные инструменты, организовывают связь между зловредом и серверами управления через публичные сервисы, маскируют запуск вредоносного кода под действия пользователя. С точки зрения традиционных защитных решений такая активность практически незаметна. Однако если анализировать поведение конкретных пользователей или, например, служебных учетных записей, то можно выявить определенные аномалии. Именно в этом и заключается метод выявления киберугроз под названием UEBA — User and Entity Behavior Analytics (поведенческий анализ пользователей и сущностей). И именно он реализован в последней версии нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform.
Как работает UEBA в рамках SIEM
Согласно определению, UEBA, или «поведенческий анализ пользователей и сущностей», это технология выявления киберугроз, основанная на анализе поведения пользователей, а также устройств, приложений и иных объектов в информационной системе. В принципе, такая технология может работать в рамках любого защитного решения, однако, на наш взгляд, наиболее эффективно ее использование на уровне SIEM-платформы. Используя машинное обучение для установления «нормального поведения» пользователя или объекта (машины, сервиса и так далее), SIEM-система, оснащенная правилами детектирования UEBA, может анализировать отклонения от типичного поведения. Это, в свою очередь, позволит своевременно обнаруживать APT, целевые атаки и инсайдерские угрозы.
Именно поэтому мы оснастили нашу SIEM-систему KUMA пакетом правил UEBA, предназначенным для комплексного выявления аномалий в процессах аутентификации, в сетевой активности и при запуске процессов на рабочих станциях и серверах, работающих под управлением Windows. Это позволило сделать систему умнее в плане выявления новых атак, которые сложно обнаружить с помощью обычных правил корреляции, сигнатур или индикаторов компрометации. Каждое правило в пакете правил UEBA основано на профилировании поведения пользователей и объектов. Сами правила делятся на два типа.
Статистические правила, которые рассчитываются с использованием межквартильного размаха для выявления аномалий на основе данных о текущем поведении. Правила на основе исторических данных, которые фиксируют отклонения от нормального поведения, определяемого путем анализа опыта предыдущей работы учетной записи или объекта. При обнаружении отклонений от исторических норм или статистических ожиданий происходит генерация алертов, а также повышается риск-оценка соответствующего объекта (пользователя или хоста). О том, каким образом наше SIEM-решение использует ИИ для риск-оценки объектов, можно прочитать в одной из прошлых статей.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти