Атаки на серверы Microsoft Exchange | Блог Касперского
Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Исследователи обнаружили целую серию серьезных дырок в технологии Apple AirPlay. Это семейство уязвимостей и потенциальные эксплойты на их основе они назвали AirBorne. Данные баги могут быть использованы по отдельности или в сочетании для проведения беспроводных атак на разнообразную технику, поддерживающую AirPlay.
Речь в первую очередь идет об устройствах Apple, но не только о них: существует целый ряд гаджетов от сторонних производителей, в которые внедрена данная технология, — от умных колонок до автомобилей. Рассказываем подробнее о том, чем эти уязвимости опасны и как защитить свою технику с поддержкой AirPlay от возможных атак.
Что такое Apple AirPlay
Для начала немного поговорим о матчасти. AirPlay — это разработанный Apple набор протоколов, которые используются для стриминга аудио и (все чаще) видео между пользовательскими устройствами. Например, с помощью AirPlay можно стримить музыку со смартфона на умную колонку или дублировать экран ноутбука на телевизоре.
Все это без дополнительных проводов — для стриминга чаще всего используется Wi-Fi или, на худой конец, проводная локальная сеть. Отметим, что AirPlay может работать и без централизованной сети (проводной или беспроводной), используя Wi-Fi Direct, то есть прямое подключение между устройствами.
Логотипы AirPlay для видеостриминга (слева) и аудиостриминга (справа) — если у вас есть техника Apple, то вы их наверняка видели. Источник
Изначально в качестве приемников AirPlay могли выступать только некоторые специализированные устройства. Сначала это были роутеры AirPort Express, которые могли выводить на встроенный аудиовыход музыку из iTunes. Позже к ним присоединились ТВ-приставки Apple TV, умные колонки HomePod и похожие устройства от сторонних производителей.
Однако в 2021 году в Apple решили пойти несколько дальше и встроили приемник AirPlay в macOS — таким образом пользователи получили возможность дублировать экран iPhone или iPad на свои «Маки». В свою очередь, несколько позже функцией приемника AirPlay наделили iOS и iPadOS — на сей раз для вывода на них изображения с VR/AR-очков Apple Vision Pro.
AirPlay позволяет использовать для стриминга как централизованную сеть (проводную или беспроводную), так и устанавливать прямое подключение между устройствами Wi-Fi Direct. Источник
Также следует упомянуть технологию CarPlay, которая, по сути, представляет собой тот же AirPlay, доработанный для использования в автомобилях. В случае с CarPlay приемниками, как несложно догадаться, выступают головные устройства машин.
В итоге за 20 лет своего существования AirPlay из нишевой фичи iTunes превратилась в одну из магистральных технологий Apple, на которую теперь завязан целый набор функций «яблочной» экосистемы. Ну и самое главное: на данный момент AirPlay поддерживается сотнями миллионов, если не миллиардами, устройств, значительная часть которых может выступать в качестве приемников AirPlay.
View the full article
-
Автор KL FC Bot
Злоумышленники все чаще используют для заражения компьютеров Windows технику ClickFix, заставляя пользователей самостоятельно запускать вредоносные скрипты. Впервые применение этой тактики было замечено весной 2024 года. За прошедшее время злоумышленники успели придумать целый ряд сценариев ее применения.
Что такое ClickFix
Техника ClickFix — это, по сути, попытка злоумышленников выполнить вредоносную команду на компьютере жертвы, полагаясь исключительно на приемы социальной инженерии. Злоумышленники под тем или иным предлогом убеждают пользователя скопировать длинную строку (в подавляющем большинстве случаев это скрипт PowerShell), вставить ее в окно запуска программы и нажать Enter, что в итоге должно привести к компрометации системы.
Чаще всего атака начинается со всплывающего окна, имитирующего нотификацию о какой-либо технической проблеме. Чтобы исправить эту проблему, пользователю необходимо выполнить несколько простых действий, которые так или иначе сводятся к копированию какого-то объекта и запуску его через окно Run. Впрочем, в Windows 11 PowerShell можно выполнить и из строки поиска приложений, настроек и документов, которая открывается при нажатии на иконку с логотипом, поэтому жертву просят скопировать что-либо именно туда.
Атака ClickFix — как своими руками заразить собственный компьютер зловредом за три простых шага. Источник
Название ClickFix эта техника получила, поскольку чаще всего в нотификации присутствует кнопка, название которой так или иначе связано с глаголом починить (Fix, How to fix, Fix it) и на которую пользователю надо кликнуть, чтобы решить якобы возникшую проблему или увидеть инструкцию по ее решению. Однако это не обязательный элемент — необходимость запуска могут аргументировать требованием проверить безопасность компьютера или, например, просьбой подтвердить, что пользователь не робот. В таком случае могут обойтись и без кнопки Fix.
Пример инструкции для подтверждения, что вы не робот. Источник
От реализации к реализации схема может немного отличаться, но чаще всего атакующие выдают жертве следующую инструкцию:
нажать кнопку для копирования решающего проблему кода; нажать сочетание клавиш [Win] + [R]; нажать сочетание [Ctrl] + [V]; нажать [Enter]. Что при этом происходит на самом деле? Первый шаг скопирует в буфер обмена какой-то невидимый пользователю скрипт. Второй — откроет окно Run («Выполнить»), которое в Windows предназначено для быстрого запуска программ, открытия файлов и папок, а также ввода команд. На третьем этапе в него из буфера обмена будет вставлен скрипт PowerShell. Наконец, на последнем этапе этот код будет запущен с текущими привилегиями пользователя.
В результате выполнения скрипта на компьютер загружается и устанавливается какой-либо зловред — конкретная вредоносная нагрузка разнится от кампании к кампании. То есть получается, что пользователь своими руками запускает вредоносный скрипт в собственной системе и заражает свой компьютер.
View the full article
-
Автор KL FC Bot
Когда год назад Microsoft анонсировала функцию «фотографической памяти» Recall для компьютеров Copilot+ PC, эксперты ИБ забили тревогу. Многочисленные недостатки Recall серьезно угрожали конфиденциальности, и в Редмонде отложили запуск, чтобы доработать решение. Видоизмененный Recall появился в сборках Windows Insider Preview с апреля 2025 года, а в мае 2025 года стал широко доступен на компьютерах, имеющих нужное оборудование. Суть Recall не изменилась — компьютер запоминает все ваши действия, постоянно делая скриншоты и распознавая с применением OCR их содержимое. Но защита этих данных серьезно улучшена. Насколько это меняет общую ситуацию с Recall и стоят ли некоторые его удобства возможной потери контроля над личной информацией?
Что изменилось во втором выпуске Recall
Со времен первого анонса, о котором мы подробно писали, в Microsoft адресно проработали основные претензии экспертов ИБ.
Во-первых, Recall теперь активируется только с разрешения пользователя при первоначальной настройке системы. Интерфейс не навязывает пользователям выбор визуальными трюками вроде выделения кнопки «Да».
Во-вторых, файлы базы данных Recall теперь шифруются, а хранение ключей и криптографические операции организованы на базе аппаратного модуля защиты TPM, так что их извлечение стало значительно сложнее.
В-третьих, специальный фильтр пытается не сохранять ни скриншоты, ни тексты, если на экране находится потенциально секретная информация: окно браузера в режиме инкогнито, окно ввода платежных данных, карточки в менеджере паролей и так далее. Важен акцент на слове «пытается» — все тестеры описывают многочисленные случаи, когда конфиденциальные данные проскочили фильтр и оказались в базе распознавания.
View the full article
-
Автор KL FC Bot
Атаки на open source чаще всего сводятся к публикации новых вредоносных пакетов в репозиториях. Атака, произошедшая 14 марта, из другой лиги — злоумышленники скомпрометировали популярный процесс (GitHub Action) tj-actions/changed-files, который применяется более чем в 23000 репозиториев. Инцидент получил номер CVE-2025-30066, этой уязвимости подвержены все репозитории, в которых использовался заражённый процесс changed-files. Хотя администрация заблокировала changed-files, а затем откатила его к безопасной версии, все, кто пользовался им должны провести реагирование на инцидент, а сообщество разработчиков — извлечь из него более общие уроки.
Что такое GitHub Actions
Рабочие процессы (GitHub Actions) упрощают разработку ПО при помощи автоматизации типовых задач DevOps. Они могут стартовать при наступлении каких-то событий в GitHub, например коммитов. У GitHub есть условный «магазин приложений», в котором можно взять готовый процесс и применить его в своём репозитории, например популярны процессы для автоматической инсталляции вспомогательных инструментов. Чтобы интегрировать в свой сборочный конвейер CI/CD такой готовый процесс GitHub, достаточно всего одной строчки кода.
View the full article
-
Автор KL FC Bot
В мартовском вторничном патче компания Microsoft закрыла целых шесть уязвимостей, которые активно эксплуатируются злоумышленниками. Четыре из этих уязвимостей связаны с файловыми системами, причем три из них имеют одинаковый триггер, что может указывать на их использование в одной атаке. Детали их эксплуатации пока (к счастью) неизвестны, однако свежее обновление крайне рекомендуется к немедленной установке.
Уязвимости в файловых системах
Две из уязвимостей в системе NTFS позволяют злоумышленникам получить доступ к частям кучи (heap), то есть к динамически распределяемой памяти приложений. Что интересно, первая из них, CVE-2025-24984 (4,6 по шкале CVSS) подразумевает физический доступ злоумышленника к атакуемому компьютеру (он должен вставить в USB-порт подготовленный вредоносный накопитель). Для эксплуатации второй уязвимости типа Information Disclosure Vulnerability, CVE-2025-24991 (CVSS 5,5), злоумышленникам необходимо каким-то образом заставить локального пользователя подключить вредоносный виртуальный жесткий диск (VHD).
Точно также активизируются и две другие уязвимости, связанные с файловыми системами CVE-2025-24985, в драйвере файловой системы Fast FAT и CVE-2025-24993 в NTFS. Вот только их эксплуатация приводит к удаленному запуску произвольного кода на атакуемой машине (RCE). У обеих уязвимостей CVSS рейтинг составляет 7,8.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти