На прошлой неделе компания Microsoft выпустила очередной кумулятивный набор патчей для своих продуктов. В соответствии с общей тенденцией на увеличение количества обнаруживаемых уязвимостей за единицу времени, данный релиз исправляет рекордные 206 уязвимостей, из них 39 имеют статус критических. Если делить заплатки по категориям, то 63 патча закрывают уязвимости, ведущие к повышению привилегий, 56 багов обеспечивают выполнение произвольного кода, еще 30 могут приводить к утечке информации.

Наиболее опасная уязвимость имеет идентификатор CVE-2026-45657, близкий к максимальному рейтинг опасности 9,8 балла по шкале CVSS. Это ошибка в ядре Windows при обработке сетевых пакетов данных, результатом эксплуатации которой может быть удаленное выполнение произвольного кода, затрагивает она Windows 11, а также Windows Server 2022 и 2025. Такого же высокого рейтинга удостоились еще две проблемы — CVE-2026-47291 и CVE-2026-44815, они также относятся к сетевому стеку в Windows, соответственно затрагивая драйвер HTTP.sys и встроенный клиент DHCP. Кроме того, была закрыта уязвимость, позволяющая обойти BitLocker, ранее раскрытая анонимом, известным как Nightmare Eclipse. Об этом многомесячном противостоянии стоит поговорить подробнее.

Исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносного ПО Argamal, распространяемого на специализированных ресурсах вместе с хентай-играми. Данная вредоносная кампания была обнаружена в этом году, хотя некоторые связанные с ней DLL-файлы существовали как минимум с 2024 года.

Игры с вредоносным довеском, как правило, заливались на публичный файлообменник, ссылки на который публиковались на тематических веб-сайтах. Распространялись они и через торрент-трекеры. Во всех случаях это был архив с полностью функциональной игрой, которая дополнялась модифицированной библиотекой ffmpeg.dll.

На прошлой неделе исследователи из Грацского технического университета в Австрии опубликовали научную работу, в которой предложили метод отслеживания пользовательской активности через браузер. Варианты атак, в которых вкладка с вредоносным сайтом может, например, определять, какие страницы открыты по соседству, предлагались и ранее, но полагались в основном на особенности работы браузеров. Новая атака FROST также использует особенности браузеров, но основным каналом утечки оказываются не они, а производительность накопителя данных.

Общая схема атаки выглядит следующим образом: пользователя заманивают на вредоносную страницу, которая при помощи стандартных технологий браузеров реализует активный и регулярный обмен данными на SSD. Производительность SSD ниже, чем у оперативной памяти, что вызывает определенные задержки при обмене, когда к накопителю также обращаются другие программы и веб-сайты. Как выяснилось, паттерны этих задержек позволяют с достаточно высокой надежностью выявлять не только запущенные на ПК программы, но и посещаемые веб-сайты.

На прошлой неделе компания Cloudflare поделилась своими впечатлениями о работе ИИ-модели Claude Mythos. Эта модель разработана компанией Anthropic, и в данный момент доступ к ней предоставляется «по приглашениям» в рамках проекта Project Glasswing. Одной из причин такого закрытого процесса тестирования является достаточно высокая эффективность ИИ-ассистента при поиске и обнаружении уязвимостей. Независимые подтверждения этой эффективности уже были опубликованы ранее, например от команды разработчиков браузера Mozilla Firefox.

В отличие от отчета Mozilla, Cloudflare в своей публикации не приводит примеры обнаруженных уязвимостей. Говорится только о том, что Mythos тестировалась на кодовой базе Cloudflare и что уязвимости действительно были обнаружены. Зато Cloudflare не ограничивается простым тезисом о том, что для эффективной работы ИИ-модели требуется разработка соответствующей обвязки, а подробно описывает, на какие этапы внутри этой обвязки разбивается автоматизированный поиск уязвимостей.

Привет, Хабр!

Когда мы говорим о доверенной операционной системе, быстро выясняется: одного защищенного кода недостаточно. ОС нужна точка опоры еще до того, как начнет работать она сама, — компонент или механизм, с которого начинается доверие ко всей системе. Его называют Root-of-Trust, или корнем доверия.

Для KasperskyOS это практическая инженерная задача. Мы строим ОС на принципах конструктивной безопасности, а значит, доверие должно быть заложено в архитектуру с самого начала, в том числе на уровне взаимодействия с аппаратной платформой. И здесь начинается самое интересное: у разных платформ корень доверия может быть устроен по-разному.

Меня зовут Антон Рыбаков, я руковожу разработкой функций безопасности KasperskyOS в «Лаборатории Касперского». В этой статье разберем, какими бывают корни доверия, как мы работаем с разными реализациями в KasperskyOS и почему для индустрии все острее становится вопрос унификации: единых требований, общего языка описания и понятных правил оценки Root-of-Trust. 

На прошлой неделе стало известно о трех новых уязвимостях нулевого дня в Windows. Обычно термин zero-day применяется в случае, если уязвимость на момент обнаружения используется в реальных атаках, но в данном случае имеет место другая ситуация. Данные о проблемах в открытом доступе опубликовал аноним, называющий себя Nightmare Eclipse. Уязвимости снабжены демонстрационным кодом, который вполне возможно применить для реальных атак, — и это при отсутствии патча от производителя. Отсюда и квалификация zero-day, намеренно созданная человеком, который, судя по его риторике, затаил некую обиду на Microsoft.

Наибольший интерес представляет проблема YellowKey — это ошибка в логике работы системы шифрования BitLocker (подробное описание в издании Ars Technica, новость на Хабре). При наличии физического доступа к компьютеру или ноутбуку YellowKey позволяет полностью обойти шифрование и получить прямой доступ к данным. Эксплойт работает так: нужно записать набор файлов на флешку, подключить ее к компьютеру, загрузить его в режиме Recovery. Дальнейшая последовательность действий открывает консоль, в которой будет предоставлен полный доступ к зашифрованному хранилищу данных.

На прошлой неделе разработчики браузера Mozilla Firefox опубликовали детальный отчет об использовании искусственного интеллекта для поиска уязвимостей (оригинальный пост, новость на Хабре). Публикации предшествовал краткий анонс в конце апреля: тогда стало известно, что в Mozilla получили доступ к ИИ-модели Claude Mythos компании Anthropic, которая пока недоступна публично всем желающим. В анонсе разработчики браузера не стеснялись в хвалебных эпитетах, предрекая скорый конец уязвимостям нулевого дня — когда разработчик ПО обнаруживает баг, который уже эксплуатируется в реальных атаках.

В новой публикации приведены конкретные примеры в виде 12 уязвимостей. Всего в релизе Firefox 150 была закрыта 271 проблема, все они были найдены с применением Claude Mythos. Если добавить уязвимости, найденные и закрытые другими методами (в том числе обнаруженные с помощью других ИИ-моделей), всего за апрель получится 423 патча, в то время как за весь предыдущий год было закрыто 353 проблемы, так или иначе влияющих на безопасность работы браузера. Из 271 уязвимости, найденной с помощью ИИ, 180 имеют рейтинг sec-high — это внутренняя квалификация Mozilla, указывающая на высокую (но не максимальную) опасность проблемы. Такие баги могут быть эксплуатированы без дополнительных сложностей — например, пользователя достаточно будет заманить на подготовленную страницу.

Важной новостью прошлой недели стало обнародование данных об опасной уязвимости в ядре Linux, получившей название Copy Fail (мини-сайт, новость на Хабре), которая открывает относительно простой способ локального повышения привилегий. Авторы оригинального исследования не стесняются рекламировать ИИ-ассистент для анализа кодовой базы, который нашел данную проблему в течение часа. Исследователи «Лаборатории Касперского» провели анализ уязвимости и предложили варианты обнаружения атак с ее использованием.

Уязвимость получила идентификатор CVE-2026-31431 и рейтинг 7,8 балла по шкале CVSS. Ошибка была внесена в код модуля ядра algif_aead еще в 2017 году: тогда была внедрена поддержка оптимизаций in-place при работе системы шифрования AEAD. Это, в свою очередь, привело к дефекту обработки буферов, что дало потенциальному атакующему возможность контролируемо изменять содержимое кэша любого файла, доступного для чтения.

Представьте ситуацию: к 30 годам человек добился всего. Желал быть тимлидом и стал им. На работе сплошь успехи. Полностью соответствует всем ожиданиям, которые на него возлагают общество, коллеги, друзья и близкие. Но счастливым себя не чувствует: вместо этого энергии становится меньше, все чаще ощущается апатия, теряется интерес к работе. В общем, тот самый «кризис переходного возраста» во всей красе, только в профессиональном плане. Я провел в этом состоянии больше полутора лет, и я до сих пор в процессе.

Привет! Меня зовут Саша Шиндин, я руководитель группы проектного управления мобильных решений в «Лаборатории Касперского», а эта статья про то, как подобный кризис проживать. Не претендую тут на роль эксперта — просто хочу поделиться своим опытом переосмысления карьеры и не только ее.

Служба каталогов Active Directory остается одной из самых популярных целей как среди злоумышленников, так и среди специалистов по Red Teaming и пентестеров. С выходом новых версий операционных систем семейства Windows продолжают появляться новые векторы атак на AD, например атаки на Delegated Managed Service Accounts (dMSA) в 2025-м.

В ходе каждой атаки есть этап сбора информации, обнаружение которого является более сложной задачей, чем кажется на первый взгляд. Согласно аналитическому отчету нашего сервиса MDR за 2025 год в целом обнаружение данного этапа атак затруднено из-за большого количества ложных срабатываний, что снижает качество обнаружения и уменьшает вероятность предотвращения атаки, особенно в больших инфраструктурах с тысячами активов.

Меня зовут Степан Ляхов, я работаю старшим инженером SOC в «Лаборатории Касперского». В этой статье я хочу рассмотреть один из самых популярных инструментов для сбора информации о домене Active Directory, разобрать, какие следы он оставляет в журналах и как обнаружить его активность.

Исследователи «Лаборатории Касперского» изучили тактику распространения вредоносных программ через официальный магазин приложений App Store для устройств Apple. В марте этого года в китайском App Store были обнаружены более двух десятков приложений, мимикрирующих под популярные программы для работы с криптовалютой. Для обхода проверок при публикации приложения в них заложена какая-то рудиментарная функциональность, обычно даже не имеющая никакого отношения к криптовалютам. Но главной задачей такой программы после установки является открытие браузера и направление пользователя на страницу, с которой будет установлена уже настоящая вредоносная программа методом добавления Enterprise-профиля на устройство.

Злоумышленники воспользовались особенностями App Store в Китае, из-за которых некоторые официальные приложения для работы с криптовалютой там недоступны. Всего было найдено 26 программ, маскирующиеся под популярные криптокошельки, в частности под MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. В ряде случаев название приложения было случайным, но в описании утверждалось, что из-за ограничений в Китае в нем «спрятано» официальное ПО для работы с каким-либо сервисом.

9 апреля был взломан веб-сайт cpuid.com, с которого распространяются популярные утилиты CPU-Z, HWMonitor и PerfMonitor. В течение примерно 18 часов ссылки на загрузку этих утилит были подменены на вредоносные. Специалисты «Лаборатории Касперского» провели анализ данной кибератаки, в ходе которой на компьютеры жертв устанавливалось ПО для кражи персональных данных.

Модифицированные инсталляторы содержали оригинальный легитимный дистрибутив соответствующей утилиты и вредоносную библиотеку CRYPTBASE.DLL. Она отвечает за подключение к командному серверу и запуск следующей стадии атаки. Интересным моментом является тот факт, что организаторы атаки повторно использовали командный сервер, который ранее был замечен в совсем другой атаке: в марте он был задействован при распространении поддельной версии популярного FTP-клиента FileZilla.

На прошлой неделе были опубликованы сразу три научные работы, так или иначе предлагающие варианты атаки Rowhammer для видеокарт Nvidia. Подобные атаки часто имеют чисто научный интерес, но не в этом случае: во всех работах показаны методы эксплуатации с реально опасными последствиями вплоть до получения прав суперпользователя на целевой системе. Новые атаки были испытаны на видеокартах с видеопамятью стандарта GDDR6, в частности на GeForce RTX3060 и RTX6000. Именно для RTX6000 и подобных моделей новые атаки наиболее актуальны, так как это промышленный видеоускоритель, часто используемый в облачных решениях с общим доступом к вычислительным ресурсам. Именно там перехват контроля над системой‑хостом со стороны клиента представляет наибольшую опасность.

Самая первая атака Rowhammer была впервые продемонстрирована в 2014 году в отношении модулей памяти DDR3. Возможность изменения данных в ячейках памяти при обращении к соседним рядам ячеек была известна и ранее, но именно 12 лет назад эту особенность применили для целевого изменения данных в оперативной памяти так, чтобы, например, создать условия для выполнения произвольного кода или похитить секретные данные. С тех пор были предложены как методы противодействия подобным атакам, так и способы их обхода. Последним достижением академических исследователей стала демонстрация атаки «класса» Rowhammer на новейшие модули памяти стандарта DDR5.

Хабр, привет! Меня зовут Никита Евдокимов, я работаю старшим разработчиком в «Лаборатории Касперского», а также являюсь мейнтейнером репозитория Kaspresso. Это наш фреймворк для тестирования пользовательских интерфейсов на Android, основанный на Kakao, Espresso и UI Automator.

Недавно в нем появилась новая функция: сравнение скриншотов. С ней можно записывать скриншоты приложения, а на последующих прогонах автотестов сравнивать их с новыми скриншотами и отслеживать изменения в интерфейсе. В статье я пошагово покажу, как с ней работать, со скриншотами и примерами кода.

Материал подойдет для как опытных, так и начинающих специалистов в области автотестирования, а также для дизайнеров: функция облегчает автоматическое тестирование, с ней быстрее и проще проверять, соответствует ли разработанное приложение макету.

Громкой новостью прошлой недели стал взлом библиотеки LiteLLM, используемой в качестве посредника для коммуникации с большим количеством языковых моделей (сообщение от разработчиков, новость на Хабре). Через другое вредоносное приложение на Python была взломана учетная запись мейнтейнера проекта, после чего сразу две версии LiteLLM (1.82.7 и 1.82.8) с вредоносными модулями были загружены в репозиторий PyPI. Отчет с анализом вредоносного кода опубликовали эксперты «Лаборатории Касперского».

В версии 1.82.7 вредоносный код был встроен в файл proxy_server.py. В версии 1.82.8 дополнительно появился .pth-файл, благодаря которому вредоносный код выполнялся при каждом запуске интерпретатора, даже если зараженная библиотека не использовалась. После запуска зараженный скрипт начинал рекурсивный обход рабочих директорий в системе жертвы. В каждой директории скрипт просматривал содержимое файлов, которое выводил в буфер stdout и сохранял в файл для последующей отправки на командный сервер злоумышленников. Далее скрипт собирал информацию о системе и также сохранял в файл. После этого он переходил к поиску конфиденциальных данных, включая следующие типы: 

Исследователи компании Eclypsium в свежем отчете сообщают об обнаружении целого набора уязвимостей в четырех пользовательских адаптерах IP-KVM. Такие адаптеры, как следует из названия, позволяют удаленно управлять компьютером, эмулируя клавиатуру, мышь и внешний дисплей. Компрометация таких адаптеров, соответственно, позволяет полностью перехватить контроль над управляемым устройством. В Eclypsium справедливо предположили, что дешевые (от 30 до 100 долларов) пользовательские устройства будут хуже защищены, чем аналогичные решения для применения в корпоративных сетях.

На прошлой неделе исследователь Крис Азиз опубликовал информацию о новом способе обхода систем безопасности, якобы позволяющем протаскивать вредоносное ПО под видом обычного ZIP-архива. В свойствах каждого архива в этом формате есть поле Compression Method. При желании данные в архиве можно вовсе не сжимать, и тогда в этом поле будет прописано 0 (STORED). Обычный сжатый архив имеет свойство DEFLATE compressed. Защитному решению или архиватору данный статус указывает на то, что архив нужно сначала распаковать.

«Метод», предложенный Азизом, максимально простой. Устанавливаем в поле Compression Method статус STORED (сжатие отсутствует) для обычного архива со сжатием данных, у которого в норме должен быть флаг DEFLATE Compressed. Собственно, на этом все. Защитные решения доверяют описанию архива и сканируют его как контейнер с несжатыми данными. Так как на самом деле данные заархивированы, вредоносное содержимое не будет прочитано. Что открывает возможность «протаскивания» вредоносного кода на компьютер жертвы с последующим выполнением. Но именно на стадии выполнения вредоносного кода казалось бы стройная идея исследователя быстро рушится.

Эксперты «Лаборатории Касперского» опубликовали итоговый отчет по угрозам для мобильных устройств за 2025 год. Всего за прошлый год было предотвращено более 14 миллионов атак с использованием вредоносного или рекламного ПО. Было обнаружено около 815 тысяч вариантов вредоносных программ, из которых 255 тысяч относились к банковским троянам. Большая часть вредоносного ПО относится к классу Adware (62%) и RiskTool (19%), троянские программы составили чуть больше 17% от общего количества зловредов, банковские трояны — 9%. При этом, по сравнению с 2024 годом, количество вредоносных программ, наносящих реальный урон, выросло, а доля нежелательного рекламного ПО снизилась.

Отдельный интерес представляют приведенные в отчете примеры неординарного вредоносного ПО, обнаруженного в 2025 году. Это, например, выявленный в конце 2025 года бэкдор Keenadu, который встраивался прямо в прошивки ряда поддельных Android-смартфонов. В отчете также отмечен IoT-ботнет Kimwolf (обзор на китайском языке), нацеленный на приставки Android TV. Зараженные устройства в дальнейшем использовались для проведения DDoS-атак.

Совсем недавно мы писали о приписываемой северокорейской группировке атаке, целью которой были разработчики ПО, находящиеся в процессе поиска работы. На прошлой неделе исследователи компании Microsoft опубликовали отчет о еще одной похожей атаке. В более раннем исследовании основное внимание было уделено социальной инженерии, в то время как Microsoft подробно рассказывает о технической стороне атаки.

Общая схема атаки показана на скриншоте выше. В процессе интервью разработчику присылают ссылку на код веб-приложения, написанного с использованием фреймворка Next.js. Код хранился на сервисе Bitbucket. Организаторы атаки предусмотрели несколько вариантов выполнения вредоносного кода, содержащегося в проекте. Например, может использоваться автоматизация для Visual Studio Code, которая дает команду на выполнение сразу после того, как разработчик открыл проект и обозначил его как доверенный.

У нас в «Лаборатории Касперского» есть команда анализа защищенности, занимающаяся поиском уязвимостей в самых разнообразных системах. В ней работают эксперты, способные исследовать практически любое устройство (и публикующие технические заметки о своих находках). Но в жизни практически каждого исследователя безопасности прошивок однажды наступает момент, когда он или она сталкивается с новым или не особо известным микроконтроллером или свежей процессорной архитектурой с кастомными расширениями. В последнее время такие моменты наступают все чаще — за прошедшие несколько лет рынок наполнился огромным количеством новых чипов из Поднебесной, в частности, на базе RISC-V, со своими собственными расширениями и реализациями ядер. И вот не так давно на анализ нашим исследователям попало устройство c таким чипом на базе RISC-V, c базовым набором инструкций RV32I и расширением P (причем еще и не последней версии), добавляющим короткие SIMD-операции (Packed-SIMD Instructions).

То, что наши эксперты видели его впервые — абсолютно нормально. Но, по всей видимости, его впервые видел и IDA Pro — инструмент, которым пользуются наши исследователи. Поэтому им пришлось не только изучить ранний черновик расширения P (оно же Packed-SIMD Extension), но также реализовать поддержку IDA Pro ряда инструкций из него и произвести лифтинг, то есть трансляцию инструкций в промежуточное представление или язык, понятные декомпилятору. Именно этим опытом они и решили поделиться в данной статье.

Но прежде чем переходить к описанию решения этих задач, стоит понять, с чем мы имеем дело, поэтому начать следует со знакомства с документацией по архитектуре RISC-V.