На прошлой неделе были опубликованы сразу два исследования об атаках на механизмы Trusted Execution Environment в процессорах Intel и AMD. Произошла довольно необычная ситуация, когда две команды исследователей из США и Европы независимо друг от друга нашли более-менее одинаковую уязвимость в защитном механизме, используя очень похожий метод атаки. Механизм TEE предполагает создание защищенного «анклава» в оперативной памяти: отдельный аппаратный модуль шифрует и расшифровывает данные на лету, затрудняя доступ к ним, даже в том случае, если система скомпрометирована. Один из вариантов TEE, технология Intel Software Guard Extensions (SGX), использовалась в том числе в пользовательских ПК для воспроизведения видео с дисков Blu-ray Ultra HD. Но наиболее актуальны такие технологии в облачных системах, когда модель угроз предполагает отсутствие доверия даже к поставщику сервиса или железа.

Атака Wiretap.fail, предложенная учеными из двух американских университетов, ломает защиту Intel SGX. Ее особенности дают представление о сложности такой атаки. Она предполагает, что потенциальный атакующий имеет полный контроль над ПО и также вмешивается в работу железа для того, чтобы извлечь секреты из работающей на компьютере и защищенной с помощью Intel SGX программы — виртуальной машины или другого ПО. Общая схема атаки выглядит так: вынимаем один модуль памяти стандарта DDR4 и вставляем его в специальный переходник, который подключен к логическому анализатору и позволяет перехватывать данные. «Вредоносная программа» должна обеспечить запись зашифрованных с помощью TEE данных именно в этот модуль.

Важным событием позапрошлой недели стало масштабное заражение npm-пакетов червем Shai-Hulud. Эта вредоносная программа нацелена на разработчиков открытого ПО. Она ставит под угрозу данные для доступа к облачным сервисам, выкладывает в общий доступ приватные репозитории. Данная вредоносная операция может быть квалифицирована как атака на цепочку поставок: взлом популярного npm-пакета приводит к компрометации множества других программных решений. На прошлой неделе специалисты «Лаборатории Касперского» подробно разобрали схему работы зловреда Shai-Hulud. Также с высокой вероятностью был определен «нулевой пациент» — первый зараженный пакет в репозитории npm.

Атака начинается с загрузки зараженного пакета из репозитория npm. После установки автоматически запускается вредоносный скрипт размером более 3 мегабайт с названием bundle.js. Он содержит набор легитимных модулей для работы с облачными сервисами Amazon и Google Cloud Platform, инструменты для взаимодействия с GitHub API, а также имеет функциональность для работы с TruffleHog, свободно распространяемой утилитой для поиска ссылок на конфиденциальные источники данных.

Исследователи из Швейцарской высшей технической школы в Цюрихе опубликовали научную работу, в которой продемонстрировали эффективную атаку типа Rowhammer на модули памяти стандарта DDR5. Атака Rowhammer впервые была предложена в 2014 году. Тогда исследователи воспользовались физическими свойствами микросхем DRAM: оказалось, что значение в определенной ячейке можно изменить путем многократного обращения к соседним рядам ячеек. На тот момент исследование было проведено для модулей памяти стандарта DDR3, но позднее выяснилось, что и для DDR4 атака также актуальна.

Так как атаки Rowhammer эксплуатируют фундаментальные принципы работы микросхем памяти, были разработаны специальные меры противодействия. Технология, известная как Target Row Refresh, принудительно обновляет содержимое ячеек, если замечает многократные обращения к соседним рядам, что значительно затрудняет проведение атаки. В результате модули памяти стандарта DDR5 считались защищенными от Rowhammer с момента поступления в продажу в 2020 году и вплоть до 2024 года, когда еще одно исследование ETH Zurich показало возможность принудительной смены значения в ячейках. Но реально успешной эта атака была против лишь одного модуля памяти из десяти исследованных. Новая атака Phoenix сработала для всех 15 протестированных модулей, а кроме того, исследователи показали несколько вариантов практических атак с использованием данной уязвимости.

В представленных на прошлой неделе новых смартфонах Apple улучшена защита от кибератак с использованием стратегий повреждения данных в оперативной памяти. Уязвимости, приводящие к переполнению буфера или повторному использованию участка оперативной памяти после освобождения, станет гораздо сложнее эксплуатировать благодаря технологии Memory Integrity Enforcement. Об этом компания Apple сообщает в подробной технической статье. Там утверждается, что устройства нового поколения будут гораздо лучше защищены против даже наиболее сложных таргетированных атак. 

В конце августа исследователь Кирилл Бойченко из команды Socket Threat Research Team сообщил об обнаружении вредоносного npm-пакета nodejs-smtp. Пакет маскируется под легитимную библиотеку nodemailer, предназначенную для отправки почтовых сообщений. Он сохраняет требуемую функциональность, что может дополнительно ввести потенциальную жертву в заблуждение. Но также вредоносная программа содержит инструменты для перенаправления криптовалют в кошельки ее создателя. 

На прошлой неделе специалисты «Лаборатории Касперского» опубликовали отчет по эволюции уязвимостей и эксплойтов за второй квартал 2025 года. Это регулярный отчет, данные которого удобно сравнивать с предыдущими периодами, в частности с отчетом за первый квартал этого года. Прежде всего, стоит отметить стабильный рост количества уязвимостей, добавляемых в базу Common Vulnerability Enumeration. В целом это можно считать положительной динамикой: регулярное выявление ошибок в ПО косвенно указывает на улучшение защищенности.  

20 августа компания Apple выпустила внеочередное обновление для мобильных операционных систем iOS и iPadOS до версии 18.6.2. Обновление закрывает единственную уязвимость с идентификатором CVE-2025-43300. Проблема была обнаружена в подсистеме ImageIO, ответственной за обработку изображений. Уязвимость позволяла реализовать сценарий записи произвольных данных за пределами выделенного диапазона.

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали очередной отчет, в котором анализируются приемы, применяемые мошенниками в фишинговых сообщениях и разного рода сетевом мошенничестве. Предыдущая публикация по этой теме вышла в 2022 году, поэтому главной темой в новом обзоре стало активное использование технологий искусственного интеллекта. Начать можно с очевидного изменения: благодаря ИИ качество текстов в фишинговых сообщениях значительно повысилось. Если раньше сообщения мошенников часто содержали ошибки и опечатки, то теперь рассылаются максимально убедительные и правдоподобные письма.

На прошлой неделе в Лас-Вегасе прошла очередная парная конференция DEF CON / Black Hat. На этих двух мероприятиях регулярно проходят презентации интересных исследований в сфере информационной безопасности. Этот год не стал исключением, и сегодня мы расскажем о нескольких примечательных докладах: о безопасности Wi-Fi в общественном транспорте, об уязвимости сейфов с электронными замками, о проблемах в ноутбуках Dell, а также о способах взлома корпоративной инфраструктуры при помощи искусственного интеллекта.

На прошлой неделе команда исследователей-безопасников Google Project Zero сообщила об изменениях в процедуре раскрытия информации об уязвимостях. Ранее, еще в 2021 году, Project Zero приняла существующую модель раскрытия информации: поставщикам ПО, в котором была обнаружена уязвимость, давалось 90 дней на выпуск патча, плюс 30 дней отводилось на распространение заплатки клиентам и партнерам. Теперь к этой процедуре добавился еще один пункт: через неделю после уведомления вендора о проблеме, Google Project Zero будет публично раскрывать информацию о том, что уязвимость в определенном продукте была обнаружена.

Обнаруженная в середине июля атака ToolShell стала одним из самых серьезных событий в сфере корпоративной IT-безопасности этого лета. Не до конца пропатченные уязвимости в Microsoft SharePoint привели к взлому большого количества standalone-инсталляций, до того как производитель ПО выпустил патч. За восемь дней, прошедших с момента выпуска патчей, исследователи Microsoft зафиксировали множество атак, в ряде случаев приводящих к шифрованию данных с последующим требованием выкупа.

В воскресенье, 20 июля, компания Microsoft выпустила срочные патчи, закрывающие две уязвимости в ПО для совместной работы Microsoft SharePoint. Речь идет о корпоративных инсталляциях SharePoint, облачная версия SharePoint Online, входящая в пакет Microsoft 365, не подвержена проблеме. Уязвимости с идентификаторами CVE-2025-53770 и CVE-2025-53771 являются вариантами проблем, обнаруженных еще в мае этого года и пропатченных (как выяснилось, не до конца) в июльском наборе обновлений от Microsoft.

Исследователи из канадского Университета Торонто опубликовали научную работу, в которой показали успешное применение атаки класса Rowhammer на профессиональные видеокарты Nvidia. Атака Rowhammer впервые была показана в 2014 году, она эксплуатирует физические особенности современных микросхем оперативной памяти. Из-за высокой плотности ячеек памяти есть возможность изменять значения в определенных ячейках путем отправления множества запросов по соседним адресам. Такое «простукивание» (отсюда hammer в названии) несколько усложняется и при повышении частоты работы памяти, и в результате применения методов защиты от данной атаки. Тем не менее различные варианты Rowhammer затрагивают даже самые современные модули и чипы RAM.

На прошлой неделе компания Stratascale опубликовала информацию сразу о двух уязвимостях в утилите sudo, повсеместно используемой в дистрибутивах на базе Linux для временного изменения набора привилегий пользователя. С помощью sudo можно выполнять команды от имени суперпользователя либо от имени любого другого пользователя в системе. Обе проблемы в некоторых случаях приводят к возможности выполнения локальным пользователем команд с привилегиями root, даже если у него нет на это прав. Уязвимости также являются следствием ошибок в логике работы sudo, которые оставались незамеченными достаточно долго: в одном случае два года, в другом больше 10 лет.

Компоненты ПО с открытым исходным кодом сейчас встречаются почти в каждом приложении. Это повышает эффективность разработки, но привносит дополнительные риски, в первую очередь связанные с атаками на цепочку поставок. Создавая операционную систему KasperskyOS, мы в «Лаборатории Касперского» задумались: как сделать переиспользование недоверенного кода безопасным? Эта задача особенно актуальна, когда речь идет о системе, на базе которой строятся продукты для отраслей с повышенными требованиями к кибербезопасности.

В этой статье мы расскажем, какие механизмы в KasperskyOS позволяют снизить риски, характерные для распространенных ОС. А также покажем на реальном примере, как системы на базе Linux и KasperskyOS по-разному справляются с киберугрозами.