В воскресенье, 20 июля, компания Microsoft выпустила срочные патчи, закрывающие две уязвимости в ПО для совместной работы Microsoft SharePoint. Речь идет о корпоративных инсталляциях SharePoint, облачная версия SharePoint Online, входящая в пакет Microsoft 365, не подвержена проблеме. Уязвимости с идентификаторами CVE-2025-53770 и CVE-2025-53771 являются вариантами проблем, обнаруженных еще в мае этого года и пропатченных (как выяснилось, не до конца) в июльском наборе обновлений от Microsoft.
Пользователь
Security Week 2529: атака Rowhammer реализована на видеокартах
4 min
Исследователи из канадского Университета Торонто опубликовали научную работу, в которой показали успешное применение атаки класса Rowhammer на профессиональные видеокарты Nvidia. Атака Rowhammer впервые была показана в 2014 году, она эксплуатирует физические особенности современных микросхем оперативной памяти. Из-за высокой плотности ячеек памяти есть возможность изменять значения в определенных ячейках путем отправления множества запросов по соседним адресам. Такое «простукивание» (отсюда hammer в названии) несколько усложняется и при повышении частоты работы памяти, и в результате применения методов защиты от данной атаки. Тем не менее различные варианты Rowhammer затрагивают даже самые современные модули и чипы RAM.
Security Week 2528: две уязвимости в утилите sudo
3 min
На прошлой неделе компания Stratascale опубликовала информацию сразу о двух уязвимостях в утилите sudo, повсеместно используемой в дистрибутивах на базе Linux для временного изменения набора привилегий пользователя. С помощью sudo можно выполнять команды от имени суперпользователя либо от имени любого другого пользователя в системе. Обе проблемы в некоторых случаях приводят к возможности выполнения локальным пользователем команд с привилегиями root, даже если у него нет на это прав. Уязвимости также являются следствием ошибок в логике работы sudo, которые оставались незамеченными достаточно долго: в одном случае два года, в другом больше 10 лет.
Security Week 2527: серьезная уязвимость в популярных Bluetooth-наушниках
5 min
26 июня исследователи из немецкой компании ERNW сообщили об обнаружении серьезной уязвимости в Bluetooth-модулях тайваньской компании Airoha Technology. Эта компания производит SoC, обеспечивающие передачу данных по протоколу Bluetooth. Такие чипы используются во множестве беспроводных TWS-наушников, включая популярные модели от Sony, JBL и Marshall. Специалисты ERNW пока не публикуют технические детали уязвимостей, чтобы дать время производителям наушников на подготовку патчей. Но понятен главный источник проблемы: проприетарный протокол коммуникации, реализованный в чипах Airoha и доступный без какой-либо авторизации.
Протокол (вполне вероятно, использующийся на этапе разработки и отладки) обеспечивает широчайшие возможности по контролю над устройством, включая чтение и запись в оперативную память устройства, а также модификацию прошивки. Коммуникация возможна с любых устройств (не только привязанных к наушникам) в зоне радиоприема — по протоколу BLE GATT и стандартному BD/EDR. Всего по итогам исследования ERNW были идентифицированы три уязвимости с идентификаторами CVE-2025-20700, CVE-2025-20701 и CVE-2025-20702, но речь идет об одной общей проблеме.
Протокол (вполне вероятно, использующийся на этапе разработки и отладки) обеспечивает широчайшие возможности по контролю над устройством, включая чтение и запись в оперативную память устройства, а также модификацию прошивки. Коммуникация возможна с любых устройств (не только привязанных к наушникам) в зоне радиоприема — по протоколу BLE GATT и стандартному BD/EDR. Всего по итогам исследования ERNW были идентифицированы три уязвимости с идентификаторами CVE-2025-20700, CVE-2025-20701 и CVE-2025-20702, но речь идет об одной общей проблеме.
Использование open source в KasperskyOS
Medium
10 min
Компоненты ПО с открытым исходным кодом сейчас встречаются почти в каждом приложении. Это повышает эффективность разработки, но привносит дополнительные риски, в первую очередь связанные с атаками на цепочку поставок. Создавая операционную систему KasperskyOS, мы в «Лаборатории Касперского» задумались: как сделать переиспользование недоверенного кода безопасным? Эта задача особенно актуальна, когда речь идет о системе, на базе которой строятся продукты для отраслей с повышенными требованиями к кибербезопасности.
В этой статье мы расскажем, какие механизмы в KasperskyOS позволяют снизить риски, характерные для распространенных ОС. А также покажем на реальном примере, как системы на базе Linux и KasperskyOS по-разному справляются с киберугрозами.
Security Week 2526: уязвимость в ASUS Armoury Crate
3 min
На прошлой неделе специалисты команды Cisco Talos сообщили о серьезной уязвимости в программном обеспечении ASUS Armoury Crate. Armoury Crate — универсальная утилита, предназначенная для управления параметрами аппаратного обеспечения, такими как профиль энергопотребления в ноутбуках или параметры подсветки клавиатуры. Утилита установлена на большом количестве устройств, соответственно, любая серьезная уязвимость в ней теоретически может быть использована для проведения масштабной кибератаки. А уязвимость CVE-2025-3464 весьма серьезна, она получила оценку 8,8 балла из 10 по шкале CVSS.
При установке Armoury Crate создает в системе виртуальное устройство Asusgio3, которое затем используется для работы с аппаратным обеспечением. Если до него доберется злоумышленник, то потенциально он сможет получить доступ к данным в оперативной памяти, устройствам ввода-вывода и так далее. Для защиты виртуального устройства внутри ПО ASUS реализована система авторизации, которая, как выяснилось, зависит от единственного вшитого ключа и может быть сравнительно легко взломана.
При установке Armoury Crate создает в системе виртуальное устройство Asusgio3, которое затем используется для работы с аппаратным обеспечением. Если до него доберется злоумышленник, то потенциально он сможет получить доступ к данным в оперативной памяти, устройствам ввода-вывода и так далее. Для защиты виртуального устройства внутри ПО ASUS реализована система авторизации, которая, как выяснилось, зависит от единственного вшитого ключа и может быть сравнительно легко взломана.
Security Week 2525: свежие уязвимости в Secure Boot
3 min
На прошлой неделе были обнародованы детали сразу трех уязвимостей, позволяющих обойти технологию Secure Boot. Данная технология применяется на всех современных ПК (и на других устройствах), и ее целью является контроль целостности кода при запуске системы. Функционирование данного механизма требует взаимодействия множества компаний — разработчиков как программного, так и аппаратного обеспечения. Ошибки отдельных участников этой работы часто делают уязвимой всю экосистему, и примеры таких масштабных (хотя и относительно редко эксплуатируемых) уязвимостей в последнее время демонстрируются достаточно часто.
Первая уязвимость из трех имеет идентификатор CVE-2025-3052 и была обнаружена компанией Binarly в приложении для перепрошивки UEFI — кода, исполняемого до загрузки операционной системы. Приложение было создано компанией DT Research и предназначалось для обновления прошивки ПК, разрабатываемых этой организацией. В приложении содержалась ошибка, позволяющая полностью обойти систему Secure Boot.
Первая уязвимость из трех имеет идентификатор CVE-2025-3052 и была обнаружена компанией Binarly в приложении для перепрошивки UEFI — кода, исполняемого до загрузки операционной системы. Приложение было создано компанией DT Research и предназначалось для обновления прошивки ПК, разрабатываемых этой организацией. В приложении содержалась ошибка, позволяющая полностью обойти систему Secure Boot.
Security Week 2524: кража данных из Salesforce с помощью голосового фишинга
3 min
Команда Google Threat Intelligence на прошлой неделе опубликовала отчет о системных атаках на организации, целью которых является хищение данных из CRM-системы Salesforce. Важной особенностью атаки является использование так называемого vishing или голосового фишинга. Работает атака следующим образом: сотруднику компании звонят на мобильный телефон, представляются специалистом техподдержки и убеждают ввести в интерфейсе Salesforce код для авторизации стороннего приложения.
Приложение, доступ к которому открывает сотрудник компании, является модифицированной версией официальной утилиты Salesforce Data Loader, обеспечивающей возможность автоматизированной выгрузки информации. Данная тактика привела к целой серии успешных взломов с последующей кражей данных компаний.
Приложение, доступ к которому открывает сотрудник компании, является модифицированной версией официальной утилиты Salesforce Data Loader, обеспечивающей возможность автоматизированной выгрузки информации. Данная тактика привела к целой серии успешных взломов с последующей кражей данных компаний.
Security Week 2523: хит-парад уязвимостей за первый квартал 2025 года
3 min
На прошлой неделе исследователи «Лаборатории Касперского» опубликовали очередной отчет по эксплойтам и уязвимостям за первый квартал 2025 года. В отчете приводится как общая статистика по вновь обнаруженным уязвимостям на основе данных из базы CVE, так и данные по наиболее часто используемым эксплойтам в реальных атаках. Свежие данные можно сравнить с отчетом годичной давности за первый квартал 2024 года.
Всего за первый квартал 2025 года в базе CVE появились данные о 6616 новых уязвимостях, из которых 227 признаны критическими. Это заметно меньше, чем в первом квартале 2024 года (соответственно, 9727 и 430). В отчете приведена подробная статистика по типам уязвимостей (CWE, Common Weakness Enumeration) для ядра Linux и продуктов Microsoft. В ядре Linux чаще всего исправлялись ошибки, связанные с разыменовыванием нулевого указателя. На втором месте по «популярности» были уязвимости типа Use After Free, на третьем — проблемы, связанные с некорректной обработкой доступа к ресурсу, с которым взаимодействуют несколько процессов.
Всего за первый квартал 2025 года в базе CVE появились данные о 6616 новых уязвимостях, из которых 227 признаны критическими. Это заметно меньше, чем в первом квартале 2024 года (соответственно, 9727 и 430). В отчете приведена подробная статистика по типам уязвимостей (CWE, Common Weakness Enumeration) для ядра Linux и продуктов Microsoft. В ядре Linux чаще всего исправлялись ошибки, связанные с разыменовыванием нулевого указателя. На втором месте по «популярности» были уязвимости типа Use After Free, на третьем — проблемы, связанные с некорректной обработкой доступа к ресурсу, с которым взаимодействуют несколько процессов.
Security Week 2522: уязвимость в ядре Linux обнаружена с помощью LLM
4 min
Всего две недели назад мы писали о негативных последствиях бездумного использования искусственного интеллекта для поиска уязвимостей, когда разработчикам ПО через сервис Bug Bounty присылают отчеты о несуществующих проблемах. На прошлой неделе появился противоположный пример: исследователь Шон Хилан подробно описал, как он смог обнаружить реальную уязвимость в ядре Linux с использованием LLM o3 компании OpenAI.
Уязвимость CVE-2025-37899 была обнаружена в коде ksmbd, который отвечает за реализацию протокола обмена файлами SMB3. Это уязвимость типа Use-After-Free, и сама по себе она не представляет особого интереса — рейтинг ее опасности по шкале CVSS составляет всего 4 балла из 10. Интерес представляет процесс ее обнаружения — это пример более осмысленного использования языковых моделей для поиска уязвимостей.
Уязвимость CVE-2025-37899 была обнаружена в коде ksmbd, который отвечает за реализацию протокола обмена файлами SMB3. Это уязвимость типа Use-After-Free, и сама по себе она не представляет особого интереса — рейтинг ее опасности по шкале CVSS составляет всего 4 балла из 10. Интерес представляет процесс ее обнаружения — это пример более осмысленного использования языковых моделей для поиска уязвимостей.
Security Week 2521: Spectre-подобная уязвимость в процессорах Intel
3 min
На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха (ETH Zurich) опубликовали детали новой аппаратной уязвимости, затрагивающей процессоры Intel шести поколений начиная с 2018 года. Новое исследование стало логическим продолжением предыдущей работы (мы писали о ней здесь), в которой была предложена атака Retbleed. Новая атака, получившая название Branch Privilege Injection, также нацелена на обход защитных механизмов, предложенных после обнаружения уязвимости Spectre v2 еще в 2017 году.
Spectre v2 эксплуатирует «фичу» всех современных процессоров, обеспечивающую спекулятивное выполнение инструкций еще до того, как был получен результат предыдущих вычислений. Как выяснилось в 2017 году, это открывает возможность чтения данных из защищенных областей оперативной памяти. Механизм предсказания ветвлений можно натренировать так, что секретная (обычно недоступная атакующему) информация будет загружена в кэш-память процессора и считана оттуда «по стороннему каналу». Новая работа исследователей ETH Zurich демонстрирует, как можно обойти сразу два разных метода, направленных на защиту от Spectre-подобных атак, реализовав состояние гонки в работе предсказателя ветвлений.
Spectre v2 эксплуатирует «фичу» всех современных процессоров, обеспечивающую спекулятивное выполнение инструкций еще до того, как был получен результат предыдущих вычислений. Как выяснилось в 2017 году, это открывает возможность чтения данных из защищенных областей оперативной памяти. Механизм предсказания ветвлений можно натренировать так, что секретная (обычно недоступная атакующему) информация будет загружена в кэш-память процессора и считана оттуда «по стороннему каналу». Новая работа исследователей ETH Zurich демонстрирует, как можно обойти сразу два разных метода, направленных на защиту от Spectre-подобных атак, реализовав состояние гонки в работе предсказателя ветвлений.
Security Week 2520: ИИ-отчеты о выдуманных уязвимостях
3 min
На прошлой неделе создатель и ведущий разработчик популярной утилиты cURL Дэниел Стенберг поделился примером бессмысленного отчета о несуществующей уязвимости, очевидно сгенерированного при помощи искусственного интеллекта. Стенберг раскритиковал подобную тактику; отметил, что он и его команда буквально завалены такими фейковыми отчетами, на которые приходится тратить время; и пообещал банить ИИ-исследователей в будущем, добавив: «Мы еще не видели ни одного реально полезного отчета, созданного с помощью ИИ».
Хотя примеры эффективного использования ИИ для поиска уязвимостей существуют (вот относительно свежий пример от Microsoft), в данном случае речь идет о феномене, известном как AI Slop: когда ИИ используется бездумно. Ответ на запрос типа «вот код, найди в нем уязвимость» с наибольшими шансами приведет к тому, что нейросеть просто придумает несуществующую проблему. Пример от разработчиков cURL представляет интерес тем, что один из таких отчетов выложили в общий доступ.
Хотя примеры эффективного использования ИИ для поиска уязвимостей существуют (вот относительно свежий пример от Microsoft), в данном случае речь идет о феномене, известном как AI Slop: когда ИИ используется бездумно. Ответ на запрос типа «вот код, найди в нем уязвимость» с наибольшими шансами приведет к тому, что нейросеть просто придумает несуществующую проблему. Пример от разработчиков cURL представляет интерес тем, что один из таких отчетов выложили в общий доступ.
Security Week 2519: уязвимости в протоколе AirPlay
4 min
На прошлой неделе специалисты компании Oligo Security сообщили об обнаружении целого набора уязвимостей в протоколе AirPlay, который используется для передачи аудио- и видеоданных между устройствами по сети и поддерживается как всеми продуктами Apple, так и многочисленными устройствами сторонних производителей. Уязвимости в худшем случае могут приводить к выполнению произвольного кода, например, на компьютере под управлением macOS. Были показаны атаки и на сторонние устройства, оказались затронуты даже автомобильные мультимедийные системы с поддержкой технологии CarPlay.
В отчете Oligo Security достаточно сложно разобраться, в том числе потому, что уязвимостей было найдено много: в итоге около десятка проблем получили идентификаторы CVE. У всех уязвимостей, впрочем, есть общая причина: недостаточная валидация данных, поступающих от потенциально вредоносного инициатора соединения по протоколу AirPlay. Параметры соединения и передачи данных передаются в формате .plist. Манипуляция этими параметрами со стороны атакующего приводит, в зависимости от ситуации, к отказу в обслуживании или даже выполнению произвольного кода на атакуемой системе.
В отчете Oligo Security достаточно сложно разобраться, в том числе потому, что уязвимостей было найдено много: в итоге около десятка проблем получили идентификаторы CVE. У всех уязвимостей, впрочем, есть общая причина: недостаточная валидация данных, поступающих от потенциально вредоносного инициатора соединения по протоколу AirPlay. Параметры соединения и передачи данных передаются в формате .plist. Манипуляция этими параметрами со стороны атакующего приводит, в зависимости от ситуации, к отказу в обслуживании или даже выполнению произвольного кода на атакуемой системе.
Security Week 2518: возвращение Microsoft Recall
4 min
10 апреля компания Microsoft вновь сделала доступной фичу Recall для участников программы бета-тестирования Windows Insider Preview. Microsoft Recall тестируется в рамках обновления Windows 11 до версии 24H2, и существует достаточно высокая вероятность, что эта достаточно спорная функция станет доступной всем пользователям Windows с достаточно современным железом в конце этого года. О Recall мы подробно писали в прошлом году. Тогда она была представлена в рамках набора новых возможностей Windows, так или иначе использующих технологии искусственного интеллекта. Recall регулярно сохраняет скриншоты экрана, распознает содержимое и обеспечивает поиск по этим данным.
Весной прошлого года новая функция вызвала бурное обсуждение на тему неизбежных рисков для приватности пользовательских данных, по результатам которого релиз был отложен. В этом году Recall (судя по всему) возвращается, и в ее работе произошли некоторые позитивные изменения. Версию из Windows Insider Preview проанализировали, в частности в издании Ars Technica. Подробно исследовал ее специалист по безопасности и бывший сотрудник Microsoft Кевин Бьюмон. Краткий вывод у всех публикаций один: стало лучше, но ИИ-функция Microsoft не перестает быть крайне сомнительной с точки зрения безопасности данных пользователя.
Весной прошлого года новая функция вызвала бурное обсуждение на тему неизбежных рисков для приватности пользовательских данных, по результатам которого релиз был отложен. В этом году Recall (судя по всему) возвращается, и в ее работе произошли некоторые позитивные изменения. Версию из Windows Insider Preview проанализировали, в частности в издании Ars Technica. Подробно исследовал ее специалист по безопасности и бывший сотрудник Microsoft Кевин Бьюмон. Краткий вывод у всех публикаций один: стало лучше, но ИИ-функция Microsoft не перестает быть крайне сомнительной с точки зрения безопасности данных пользователя.
Security Week 2517: фишинг от имени Google с валидной подписью DKIM
4 min
Разработчик Ник Джонсон на прошлой неделе поделился (тред в соцсети X, пересказ издания BleepingComputer) примером довольно сложной фишинговой атаки, жертвой которой вполне может стать даже осведомленный о методах работы киберпреступников человек. Заголовок фишингового сообщения выглядел примерно так:
Грозное письмо якобы от Google, отправленное вроде бы с валидного почтового ящика, требует залогиниться в систему поддержки и отреагировать на «судебное предписание». После этого текста следует ссылка на домен sites.google.com. Это — единственная деталь, которая может (и должна) вызвать подозрение, если знать, что страницу с этим URL может создать любой желающий. Кроме того, ссылка в письме неактивна (а почему — стало понятно в ходе расследования), ее нужно вручную скопировать в адресную строку браузера.
Грозное письмо якобы от Google, отправленное вроде бы с валидного почтового ящика, требует залогиниться в систему поддержки и отреагировать на «судебное предписание». После этого текста следует ссылка на домен sites.google.com. Это — единственная деталь, которая может (и должна) вызвать подозрение, если знать, что страницу с этим URL может создать любой желающий. Кроме того, ссылка в письме неактивна (а почему — стало понятно в ходе расследования), ее нужно вручную скопировать в адресную строку браузера.
Security Week 2516: уязвимости в электромобиле Nissan Leaf
4 min
В начале апреля на конференции Black Hat Asia специалисты из компании PCAutomotive продемонстрировали ряд уязвимостей в электромобиле Nissan Leaf. Подробный отчет о проделанной работе планируется к публикации позднее, пока что доступны слайды с презентации на Black Hat и демонстрационное видео. Хотя в исследовании идет речь о довольно распространенной тактике взлома мультимедийной системы автомобиля, его авторы утверждают, что атаку можно развить с потенциально более серьезными последствиями. В частности, обеспечить постоянный доступ к взломанному автомобилю через Интернет, а также в некоторой степени контролировать функциональность автомобиля за пределами системы развлечений. Например, можно крутить рулем. В том числе во время движения.
В презентации на Black Hat исследователи подробно описывают процесс анализа различных электронных систем автомобиля. Целью стал автомобиль Nissan Leaf 2020 модельного года (ZE1). Электронные компоненты были приобретены на автомобильной разборке. В первую очередь требовалось подружить их друг с другом, а для этого — обойти встроенную защиту от кражи. С этой целью был проанализирован обмен данными по CAN-шине, разобрана логика общения между модулями и подготовлен скрипт, отправляющий «правильные» ответы на запросы модуля. Затем началось исследование мультимедийной системы.
В презентации на Black Hat исследователи подробно описывают процесс анализа различных электронных систем автомобиля. Целью стал автомобиль Nissan Leaf 2020 модельного года (ZE1). Электронные компоненты были приобретены на автомобильной разборке. В первую очередь требовалось подружить их друг с другом, а для этого — обойти встроенную защиту от кражи. С этой целью был проанализирован обмен данными по CAN-шине, разобрана логика общения между модулями и подготовлен скрипт, отправляющий «правильные» ответы на запросы модуля. Затем началось исследование мультимедийной системы.
Security Week 2515: уязвимости в загрузчике GRUB2
3 min
На прошлой неделе компания Microsoft отчиталась об обнаружении 11 уязвимостей в загрузчике GRUB2 с открытым исходным кодом. Мотивацией для Microsoft проанализировать опенсорсный проект была потенциально высокая опасность уязвимостей в GRUB: их эксплуатация может привести к компрометации операционной системы и открыть для потенциального атакующего полный доступ к пользовательским данным. Отдельным интересным моментом данного исследовательского проекта стало использование искусственного интеллекта, версии Microsoft Copilot, специально разработанной для устранения прорех в безопасности.
В Microsoft прямо говорят, что использования Security Copilot самого по себе недостаточно для эффективного обнаружения уязвимостей, сервис лишь способен ускорить процесс поиска проблем в исходном коде. Помимо ИИ, в проекте также были задействованы традиционные инструменты, такие как статический анализ кода, фаззинг и ручной анализ. Тем не менее была показана эффективность языковой модели для обнаружения потенциально опасных участков кода, которые затем можно проверить и вручную.
В Microsoft прямо говорят, что использования Security Copilot самого по себе недостаточно для эффективного обнаружения уязвимостей, сервис лишь способен ускорить процесс поиска проблем в исходном коде. Помимо ИИ, в проекте также были задействованы традиционные инструменты, такие как статический анализ кода, фаззинг и ручной анализ. Тем не менее была показана эффективность языковой модели для обнаружения потенциально опасных участков кода, которые затем можно проверить и вручную.
Security Week 2514: утечка данных у Троя Ханта
3 min
25 марта в сервис Have I Been Pwned, собирающий сведения об утечках персональных данных, была добавлена информация о краже базы электронных адресов у основателя этого сервиса Троя Ханта. Данные были украдены из учетной записи на сервисе Mailchimp, которую Трой использовал для рассылки писем на персональном веб-сайте. Хант подробно рассказал о том, как он стал жертвой фишинга, и это очень интересный кейс. На уловки мошенников попался человек с огромным опытом именно в сфере защиты персональных данных.
Главной причиной успеха фишинговой атаки Трой Хант посчитал усталость. Он получил письмо сразу после длительного авиаперелета из Австралии в Великобританию. В сообщении говорилось о том, что на учетную запись в сервисе почтовых рассылок Mailchimp наложены ограничения якобы из-за подозрения в рассылке спама. Кликнув на ссылку в письме, Трой ввел свой логин и пароль, а затем и код двухфакторной аутентификации. Свою ошибку исследователь обнаружил сразу же, сменил пароль доступа, но база из 16 тысяч адресов электронной почты уже была похищена.
Главной причиной успеха фишинговой атаки Трой Хант посчитал усталость. Он получил письмо сразу после длительного авиаперелета из Австралии в Великобританию. В сообщении говорилось о том, что на учетную запись в сервисе почтовых рассылок Mailchimp наложены ограничения якобы из-за подозрения в рассылке спама. Кликнув на ссылку в письме, Трой ввел свой логин и пароль, а затем и код двухфакторной аутентификации. Свою ошибку исследователь обнаружил сразу же, сменил пароль доступа, но база из 16 тысяч адресов электронной почты уже была похищена.
Security Week 2513: атака на GitHub Actions
3 min
Важной новостью в сфере информационной безопасности на прошлой неделе стал взлом репозитория tj-actions/changed-files. Это так называемый рабочий процесс или GitHub Actions, позволяющий выполнять определенные операции над исходным кодом прямо в репозитории GitHub. Инцидент подробно освещался (пост на Хабре, статья в издании Ars Technica, обзорная публикация в блоге «Лаборатории Касперского»), и на то есть причины. Взлом GitHub Actions приводит к практически неизбежной компрометации репозиториев, которые используют этот конкретный обработчик у себя.
Обработчик changed-files, как следует из названия, позволяет отслеживать изменения файлов и затем выполнять определенные действия с исходным кодом. Он использовался как минимум в 23 тысячах репозиториев кода на GitHub. В пятницу 14 марта в код changed-files было внесено вредоносное дополнение, которое первыми обнаружили исследователи из компании Step Security. Они же завели тикет в репозитории проекта. Администрация GitHub сначала выключила доступ к changed-files, а затем вредоносный код был удален — всего он был доступен около суток.
Обработчик changed-files, как следует из названия, позволяет отслеживать изменения файлов и затем выполнять определенные действия с исходным кодом. Он использовался как минимум в 23 тысячах репозиториев кода на GitHub. В пятницу 14 марта в код changed-files было внесено вредоносное дополнение, которое первыми обнаружили исследователи из компании Step Security. Они же завели тикет в репозитории проекта. Администрация GitHub сначала выключила доступ к changed-files, а затем вредоносный код был удален — всего он был доступен около суток.
Security Week 2512: кибератаки на гостиничный бизнес
3 min
На прошлой неделе компания Microsoft опубликовала подробный отчет о кибератаках, ориентированных на владельцев гостиниц, зачастую неизбежно работающих с сервисом Booking.com. Целью атак является кража учетной записи в этом сервисе с последующим доступом к платежным средствам и, возможно, атакам уже на гостей.
Интересной особенностью данной киберкриминальной кампании является использование достаточно популярного в последнее время приема, когда под видом «верификации пользователя» жертве предлагают скопировать и запустить вредоносный скрипт. Для этих атак наконец-то придумали название: ClickFix. Термин намекает на еще один метод маскировки кибератаки: под средство решения каких-то надуманных проблем с компьютером.
Интересной особенностью данной киберкриминальной кампании является использование достаточно популярного в последнее время приема, когда под видом «верификации пользователя» жертве предлагают скопировать и запустить вредоносный скрипт. Для этих атак наконец-то придумали название: ClickFix. Термин намекает на еще один метод маскировки кибератаки: под средство решения каких-то надуманных проблем с компьютером.