Информационная безопасность *

Два «крита» в Windows: как эксперты Positive Technologies спасли мир миллионы устройств

Лето 2025 года началось с неприятного сюрприза для пользователей Windows — Microsoft экстренно выпустила патчи для двух опасных уязвимостей, найденных исследователями из Positive Technologies. Обе баги могли привести к серьезным последствиям: от краха системы до полного захвата контроля над компьютером. 

VHD-файл как билет в админ-клуб 

💥 Недостаток безопасности CVE-2025-49689 получил оценку 7,8 балла по шкале CVSS 3.1. 

Сергей Тарасов, руководитель группы анализа уязвимостей в экспертном центре безопасности Positive Technologies (PT Expert Security Center, PT ESC) Positive Technologies обнаружил, что злоумышленник может получить полный контроль над вашим компьютером, если вы откроете специально подготовленный виртуальный диск (VHD). 

📌 Как это работает? Вам присылают «безобидный» VHD-файл (например, якобы архив с документами). Вы его открываете — и вуаля, злоумышленник уже админ в вашей системе.

📌 Где прячется угроза? В драйвере файловой системы NTFS. Затронуты Windows 10, 11 и серверные версии.

Статистика страха: Таких уязвимых устройств в сети — 1,5+ миллиона, больше всего в США и Китае. 

У Сергея есть подробная статья на эту тему в блоге команды PT SWARM.

📌 Что делать? 

• Срочно обновиться. 

• Не открывать VHD-файлы от неизвестных отправителей. 

Один клик — и система падает

💥 Уязвимость CVE-2025-49686 получила 7,8 балла по шкале CVSS 3.1 и затронула 17 операционных систем

Марат Гаянов (эксперт из PT ESC) нашел другую проблему: если запустить вредоносную программу, можно положить всю систему. 

📌 Суть бага: Ошибка в сетевом драйвере приводит к краху Windows. 

📌 Чем опасно? Представьте: сотрудник открывает «документ», и вся корпоративная сеть ложится. 

 ⚠️ Особо опасен для компаний — атака не требует прав админа. 

📌 Что делать? 

• Опять же — обновить Windows. 

• Использовать средства защиты для управления уязвимостями и EDR-решения для обнаружения атак. 

Positive Technologies vs Microsoft: из истории борьбы с багами 

Это не первый случай, когда российские эксперты помогают Microsoft закрывать дыры: 

• 2019 — обнаружили две критические уязвимости, дающие доступ к данным (CVE-2019-0726 и CVE-2019-0697). 

• 2024 — нашли баг, позволяющий стать админом (CVE-2024-43629).  

Вывод

Если вы еще не обновили Windows — сделайте это прямо сейчас. А если ваш IT-отдел говорит «и так сойдет», покажите им эту статью. 😉 

P.S. Интересно, сколько еще таких багов плавает в Windows?..

Как немножко хакнуть Мосрег⁠⁠

Всем привет!

При оформлении заявлений в детский сад на детей на uslugi.mosreg.ru столкнулся с тем, что если ранее было подано заявление и нужно какие-то данные в нём поправить, то выбрать год зачисления ребёнка в ДС можно только следующий. То есть, мы подали в 2024, а теперь можно выбрать только 2026 год, потому что текущий нельзя.

Мне показалось это не очень удобным, решил немножко изучить фронтенд сайта и обнаружил, что валидации на простановку года нет :)

В видео подробнее, как обойти ограничение

P.S. На записи не видно контекстного меню в браузере, когда нажимаешь ПКМ, нас интересует последний пункт "Просмотреть код"

Обзоры Anti-Malware

В обзорах Anti-Malware рассказали об InfoWatch DCAP — решении для контроля над неструктурированными данными и правами доступа и InfoWatch Activity Monitor — системе мониторинга действий сотрудников за ПК.

ИБ-ДАЙДЖЕСТ INFOWATCH

Крупнейшая кибератака на банки Бразилии
Сотрудник C&M Software продал хакерам аутентификационную информацию для доступа к системе компании через свой компьютер — в результате кибератаки со счетов были украдены сотни миллионов реалов.

Новые документы по безопасности КИИ
ЭАЦ InfoWatch подготовил актуальный на июнь 2025 перечень нормативных актов по безопасности КИИ.

Финляндия извлекла урок из кибератаки
Национальный центр кибербезопасности Финляндии поделился практическими методами противодействия атакам на базе инцидента ИБ в администрации Хельсинки — тогда хакерам удалось похитить около 10 млн документов и ПДн 300 тыс. жителей города.

ИСКЛЮЧЕНИЕ БЛОКИРОВОК ДЛЯ KNOX СЕРВИСОВ: ENROLLMENT SQUID

Захотелось пустить трафик Android устройства Samsung при первом включении через прокси и посмотреть его логи. Куда на самом деле оно ходит и для чего. Дело в том, что корпоративные политики безопасности некоторых организаций ограничивают права доступа сотрудников в интернет из внутренней сети компании. Однако, когда компания начинает использовать KNOX сервисы, то необходимо разрешить доступ к их серверам.

Cуществует официальная инструкция от Samsung. Она определяет список доменов или IP адресов, необходимых для первоначального включения мобильного устройства или factory reset, когда происходит настройка облачных KNOX сервисов: Knox Mobile Enrollment, Knox Configure, Knox Manage и так далее. Менять корпоративные политики компании и делать whitelist всех возможных IP дело затруднительное, потому что облачные KNOX сервисы используют в большинстве своём Amazon AWS с динамическим распределением IP адресов, а список диапазонов чрезвычайно большой.

Поэтому IT-служба безопасности может сделать простой DMZ (demilitarized zone) Ubuntu Squid прокси для его использования внутри сети организации c разрешённым доступом ко всем диапазонам IP. Прокси, который будет пропускать трафик и использоваться исключительно для целевых доменов, необходимых, чтобы активировать устройства.

Squid.conf настройки

acl enrollment_domains dstdomain .samsung.com .samsungknox.com .secb2b.com .samsunggsl.com

На разные домены нижнего уровня этих четырех адресов KNOX B2B сервисов идут обращения при первом включении устройств. Также необходим трафик и на google сервисы:

 .google.com
.gstatic.com
.gvt1.com
.gvt2.com
.gvt3.com
.googleapis.com
.googleusercontent.com

Для полного счастья Android Setup Wizard, чтобы он не переживал, список можно дополнить иными сервисными адресами, без которых он может обойтись, но так или иначе «стучится» по ссылкам, содержащим следующие строки:

.samsungdm.com
.samsungapps.com
.samsungmobile.com
.bixbyllm.com
.sbixby.com
.samsung-sm-ds.com
.ospserver.net (сервера обновлений)
.samsungcloud.com
.samsungcloudplatform.com

И http_access deny !enrollment_domains, чтобы использовался прокси только для активации устройств или обновлений. Помимо ситуации с политиками компании может оказаться так, что ограничивают право доступа в интернет не корпоративные политики, а провайдер. Тогда на линии провайдера, который работает хорошо, вы ставите такой прокси и пускаете через него enrollment трафик, как в описанном примере. По мотивам обзора новинок XCover7 Pro и TabActive5 Pro

DCAP как необходимый компонент комплексной защиты: как бизнесу сохранить данные и не повестись на маркетинговые уловки

После ухода крупных западных вендоров ПО для ИБ с российского рынка многие отечественные разработчики начали воспроизводить их архитектуру и пытаться копировать функциональность. Но на практике многие решения теряют заявленную ценность — ведь они разработаны под другую логику работы бизнеса, с учетом других процессов и связанных с ними рисков.

В статье для ICT Online руководитель направления DCAP ГК InfoWatch Олег Митичкин рассказывает, как сейчас в России развиваются DCAP-системы и удается ли им учесть российскую специфику и требования регуляторов.

Подключайтесь к вебинару по сетевой безопасности в ЦОД

В 12:00 (мск) в прямом эфире расскажем, как повысить безопасность инфраструктуры и приложений. Рассмотрим тонкости построения доступа к системе и сетевую архитектуру при использовании IaaS. Особенно полезно будет пользователям выделенных серверов и облачных сервисов Selectel.

Программа вебинара

• Роль NGFW в эшелонированной защите приложений и данных компании, обзор решений сетевой безопасности Selectel.

• Ключевые сценарии применения NGFW для задач бизнеса.

• Демонстрация кейсов.

• Вопросы и ответы.

Ждем всех, кто управляет инфраструктурой или отвечает за ее безопасность. 

Смотреть трансляцию

📱на YouTube

📱в VK

Задача о поиске флага на видеосервере

Эта задача для тех, кто любит сложности и не боится искать верное решение, перебирая разные подходы. И особенно полезна тем, кто готовится к CTF-турнирам. Мы подготовили ее по следам соревнования Selectel для специалистов по информационной безопасности.

Условие
На видеосервере находятся очень ценные изображения, но для их просмотра необходимо пройти авторизацию! А для этого вам понадобится флаг — строка в формате slcctf{}.

Задача
Найдите флаг. Чтобы выполнить задание, перейдите на страницу http://watcher.slcctf.fun/.

Предлагайте свое решение в комментариях или подсмотрите его в Академии Selectel.

Тайные битвы на фронтах ИБ: DLP против стеганографии

Почему стеганография у производителей DLP‑систем была нелюбимой падчерицей? Как совершенствуются СЗИ из-за изменения структуры утечек в компаниях и прокачки навыков злоумышленников? Какие встречаются приемы по сокрытию конфиденциальных файлов?

В нашей новой статье ведущий кейс‑аналитик InfoWatch Эликс Смирнов рассказывает об истории и методах стеганографии, а также о том, как DLP-системы детектируют скрытую информацию.

🔒 Ваш сервис готов к "Кузнечику"?

У нас в РФ есть ГОСТ 34.12-2018, в котором описана реализация этого алгоритма и еще одного "Магма" - это импортозамещение международного AES.

Как думаете, как скоро дадут приказ переходить на данные алгоритмы?

Вебинар по использованию DLP-системы — уже завтра

8 июля в 11:00 начнется вебинар InfoWatch на тему «Интенсив по анализу событий в DLP-системе: методика и практика». 

Вебинар будет полезен ИТ и ИБ специалистам с небольшим опытом работы с DLP. Обучение поможет:

• выявлять скрытые инциденты в «серой зоне»;

• использовать расширенный анализ и запросы;

• строить графы связей и применять предиктивную аналитику;

• визуализировать результаты — просто и наглядно.

Регистрация.

Как обеспечить надежную защиту персональных данных клиентов в облаке и избежать финансовых и репутационных потерь? Разберем на вебинаре.

📆 Когда: 10 июля в 11:00 мск

📍 Где: онлайн

С 30 мая 2025 года в России ужесточилась ответственность за нарушения в работе с персональными данными — штрафы выросли в разы.

На вебинаре от экспертов по методологии кибербезопасности Cloud.ru вы узнаете:

• почему защита персональных данных — это не только про штрафы, но и про доверие клиентов;

• изменения ответственности: ужесточение требований при обеспечении безопасности данных в информационных системах;

• стратегия безопасности облака: что проверяют регуляторы? Какие нарушения чаще всего находят при проверках? Основные источники рисков;

• аудит IT-процессов: какие параметры контролировать для митигации рисков в случае инцидентов;

• практика Cloud.ru: меры защиты данных в облаке (от шифрования до мониторинга инцидентов).

Будет полезно руководителям и сотрудникам ИБ-служб, IT-директорам, архитекторам инфраструктуры, юристам и всем, кто хранит данные клиентов в облаке.

Зарегистрироваться 👈

Штраф - не только за утечку персональных данных, но и за иные пользовательские данные

30.05.2025 в силу вступили поправки в КоАП 13.11. Среди прочего - добавлены пункты про утечку идентификаторов (п 12-14). И здесь же - пояснение что такое "идентификаторы":

уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.

Возможно, причина в том, что на практике юридический вопрос "что есть персональные данные" компании трактуют очень субъективно (оставляя на откуп триажерам и не привлекая юристов). И законодатель решил, что теперь всё, что так или иначе относится к пользователю - если не персональные данные, так идентификаторы (id пользователя, номер транзакции, размер платежа и т.д.).

Пример из собственной практики: один известный банк на мой отчёт в багбаунти об утечке данных индивидуальных предпринимателей (совокупность: ФИО, телефон, размер перевода, электронные почты - личная и компании) ответил:

раскрывается нечувствительная и общедоступная информация о мерчанте. Платежных карт там нет, адрес email и телефон юрлица являются публичными данными.

Это при том, что согласно статьи 5 ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" от 08.08.2001 N 129-ФЗ - в общедоступных гос реестрах нет телефонного номера, а адрес электронной почты - только при указании таких сведений в заявлении о государственной регистрации.

Вот что бывает, когда вопросы юридического характера адресуют техническим специалистам.

Я работаю в финтехе AppSec инженером. В т.ч. участвую в триаже закрытой багбаунти программы. И со своей стороны стараюсь влиять на безопасность кода: в т.ч. так, чтоб и идентификаторы лишний раз не утекали.

Присоединяйтесь к публичной программе Bug Bounty Альфа-Банка на платформе BI.ZONE

Теперь у багхантеров есть возможность протестировать сервисы Альфа-Банка на предмет уязвимостей и получить вознаграждение. Размер вознаграждения зависит от критичности найденной уязвимости.

Максимальная сумма вознаграждения составляет 400 тысяч рублей.

Альфа-Банк выплачивает вознаграждение за выявление разных уязвимостей, таких как:

• удалённое выполнение кода (Remote Code Execution, RCE),

• проблемы контроля доступа (Broken Access Control, IDOR, Broken Session Management), 

• ошибки аутентификации и авторизации (Missing Authorization, Improper Authorization), 

• захват учётной записи (Account Takeover), 

• раскрытие конфиденциальной информации (Sensitive Data Exposure) и многих других.

Для исследования доступны веб- и мобильные приложения сервисов Альфа-Онлайн, Альфа-Инвестиции, Альфа-Бизнес и другие ресурсы.

По ссылке присоединяйтесь к публичной программе обнаружения уязвимостей в наших сервисах.

ИБ-ДАЙДЖЕСТ INFOWATCH

Сотрудника обвинили в краже данных

На бывшего работника Coupang Play подали иск об утечке коммерческой тайны, которую он слил перед увольнением из компании.

Дайджест новостей по биометрическим ПДн

ЭАЦ InfoWatch подготовили подборку материалов об использовании биометрических ПДн и биометрических технологий в мире.

Новая киберугроза для нефтегаза и энергетики

Центр исследований Trellix обнаружил новую APT-программу ClickOnce, используемой при фишинговых атаках на предприятия энергетического сектора.

Утечка ПДн из страховой Aflac

Против компании подали уже 11 коллективных исков после кибератаки, которая привела к краже данных ее клиентов, бенефициаров, сотрудников и агентов.

Инциденты ИБ во время конфликта на Востоке

Обострение наземного конфликта повлекло развитие взаимных кибератак на различные организации противников.

NotCVE-2025-0003 и NotCVE-2025-0004

Продолжаю по мере сил пополнять базу проекта NotCVE информацией о проблемах безопасности, которым разработчики не желают присваивать CVE (делал заметку об этом проекте). В этот раз одна проблема в компиляторе Go привела к регистрации сразу 2-х записей:

• NotCVE-2025-0003

• NotCVE-2025-0004

Т.к. помимо самого компилятора Go, пострадал и Kubernetes:

The Go team has released a fix in Go versions 1.21.11 and 1.22.4 addressing a symlink race condition when using os.RemoveAll. The Kubernetes Security Response Committee received a report that this issue could be abused in Kubernetes to delete arbitrary directories on a Node with root permissions by a local non-root user with the same UID as the user in a Pod.

Из сообщения в гитхабе Kubernetes видно насколько заразительна тенденция вместо регистрации CVE называть фикс проблемы безопасности хардерингом:

The Go team has not issued a CVE for this, as it is considered a hardening issue, and the SRC is following that decision as well.

Собственно, в случае с Docker в этом году было то же самое, для них это тоже хардеринг (моё обращение в MITRE так и не привело к появлению CVE, поэтому я зарегистрировал NotCVE-2025-001).

Как видно, ситуации, когда проблемы безопасности не приводят к появлению CVE случаются не редко. А некоторые разработчики даже пытаются оспаривать назначение CVE.

Обучающий вебинар по DLP-системе

Приглашаем на первый вебинар из летней практической серии Академии InfoWatch — «Интенсив по анализу событий в DLP-системе: методика и практика». Он пройдет 8 июля с 11:00 до 12:00.

Научим работать с DLP-системой на практике. Покажем, как находить важное даже там, где на первый взгляд все в порядке и в так называемой «серой зоне», где может скрываться нерегламентированная передача информации.

Разберем пошаговую методику анализа событий в зависимости от задачи и отработаем на практике последовательность действий.

Регистрация.

Представлен обновлённый проект Awesome Black Hat Tools, где собраны все инструменты, которые когда-либо были представлены на ИБ-конференциях Black Hat. Инструменты аккуратно структурированы по странам, где проходила конференция, по годам и категориям Red Teaming, Blue Teaming, OSINT & Recon, Exploit Development, Malware Analysis, DFIR & Forensics, Threat Intelligence, ICS/IoT/SCADA и Application Security (AppSec).

Также все презентации с выступлений Black Hat, начиная с 2023 года, собраны на отдельной странице GitHub.

АГЕНТЫ И АГЕНТНАЯ ЭКОНОМИКА. 02.07.25.

Микро-дайджест недели. Интересные мысли и инсайты.

=> В конце июня вышло 2 интересных отчета:

Отчет Menlo Ventures "2025: The State of Consumer AI", который представляет комплексный анализ состояния потребительского ИИ на основе опроса более 5000 американцев. Ключевые инсайты вынес в отдельную статью.

Отчет 2025 State of AI Report: The Builder’s Playbook это комплексное исследование состояния разработки ИИ-продуктов, основанное на опросе 300 руководителей технологических компаний в апреле 2025 года. Совсем кратенько ниже:

• Зрелость ИИ-продуктов: ИИ-нативные компании значительно опережают ИИ-интегрированные в цикле разработки - 47% ИИ-нативных продуктов уже достигли стадии масштабирования против 13% у ИИ-интегрированных компаний. Только 1% ИИ-нативных компаний находятся на стадии до запуска против 11% ИИ-интегрированных.

• Выбор моделей: При выборе базовых моделей для клиентских продуктов точность является главным приоритетом (74% респондентов), за ней следуют возможность тонкой настройки (57%) и приватность (41%). Для внутренних задач стоимость становится главным фактором (74%), затем точность (72%) и приватность (50%).

• Методы обучения: RAG (66-68%) и файн-тюнинг (67-69%) являются наиболее распространенными техниками адаптации моделей.

• Бюджеты разработки: ИИ-интегрированные компании выделяют ~10-20% своего R&D бюджета на разработку ИИ, при этом большинство планируют увеличить расходы в 2025 году.

• Бюджеты на внутреннюю ИИ-продуктивность планируется почти удвоить в 2025 году, составляя 1-8% от общей выручки. R&D бюджеты остаются наиболее распространенным источником финансирования.

• Разработка приложений: LangChain и инструменты Hugging Face доминируют как фреймворки оркестрации, около 70% респондентов используют частные или кастомные LLM API.

• Основные специализации: 88% компаний имеют AI/ML инженеров, 72% - data scientists, 54% - ИИ-продактов.

• Рынок очень быстро растет, при этом ИИ-нативные компании показывают значительные преимущества в скорости разработки и масштабировании по сравнению с традиционными компаниями, интегрирующими ИИ в существующие продукты.

=> OpenAI приобрел Crossing Minds, которые специализировались на максимально глубоком понимании намерений людей и рекомендательных алгоритмах. Их платформа позволяла компаниям на лету подбирать релевантные товары, интеллектуально увеличивать средний чек, персонализировать коммуникацию, а также обеспечивать позитивный пользовательский опыт в Е-com.

=> Агентный ИИ это возможность для создания более интеллектуальных, эффективных и автономных приложений. На контрасте - небольшая ода в стиле Болливуд и инженерный прикладной мануал для сборки когнитивных (контекстных) пайплайнов в мультиагентных системах.

=> Следующий рубеж для ИИ это не уровень интеллекта. Это доверие. Исследователь из США, довольно известный в узких кругах кибербеза, представил архитектуру Cognitive Trust, для митигации угроз Агентного ИИ. Такая система не только наблюдает за тем, что делают ИИ-агенты, но и стремится понять, почему они ведут себя определенным образом. Более подробно в его работе на ResearchGate.

=> У меня были в наставничестве ребята, которые делали российскую ИИ-игрушку. Увы, этот проект инвестор прикрыл, но мне вот попался на глаза Dino. Классная штука, точно такая же бизмодель.

=> Скорость изменений такова, что то, во что не верилось еще 6 месяцев назад, сейчас уже не звучит так фантастически. А значит завтра это может стать и нашей актуалочкой. From chatbots to collaborators: How AI agents are reshaping enterprise work.

=> И напоследок два небольших стартапа, решающих узкие джобы (JTBD) в музыкальной индустрии:

• Подбирать больше не надо, сервис мгновенно превращает любой аудиоклип или музыку из ролика в ноты.

• А этот сервис, любую песню разложит на отдельные дорожки для каждого муз инструмента.

  И таких нерешенных задачек - миллионы.

***

О новых ИИ бизнес-моделях и нерешенных задачах: Айвентор и Фред

Предыдущие материалы и выпуски дайджеста, там до сих пор много интересных инсайтов.

ИБ-ДАЙДЖЕСТ INFOWATCH

Утечки информации в строительстве

ЭАЦ InfoWatch собрал дайджест кибератак на застройщиков в Саудовской Аравии, США, Канаде — последствия инцидентов ИБ в этой отрасли становятся все критичнее.

Руководителя обвиняют в краже данных

Производитель колбасы Hormel Foods подала иск против конкурента и 2 бывших топ-менеджеров, обвинив их в краже рецептов колбасы, методах ее производства и маркетинговой стратегии.

Рост применения ИИ в кибербезе

Консалтинговая компания Capgemini в свежем отчете собрала 5 ключевых тенденций применения ИИ в кибербезопасности в 2025 году.

Взлом гиганта ИТ в здравоохранении

Хакеры похитили у ИТ-фирмы Episource ПДн более 5,4 млн человек, включая записи о лечении.

Утечка ПДн сотрудников банка

Группировка World Leaks похитила и опубликовала данные порядка 130 тыс. сотрудников швейцарского банка UBS.

Штраф из-за ошибки системы распознавания лиц

Житель Джорджии получил компенсацию в $2000 за неправомерный арест из-за ошибки системы распознавания лиц Clearview AI.

Кибератака на металлургов

Металлургическая компания Nucor подтвердила утечку данных из-за кибератаки, но отрицает ее финансовые последствия для бизнеса.