15.06.2025 05:38
Chumikov 0 806 Источник

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

1) ChatGPT помог обойти Secure Boot и запустить Linux на защищенном планшете.

Энтузиаст превратил заблокированный планшет Panasonic Toughpad FZ-A2 в полноценную Linux-машину, обойдя связку FRP и SecureBoot. Казалось бы, классическая история про кастом, но здесь всё иначе: дамп BIOS отправили ChatGPT с просьбой отключить защиту, получили рабочий патч и успешно прошили обратно.

Нейросеть справилась с редактированием бинарного образа BIOS — задачей, которая требует глубокого понимания низкоуровневых структур данных и может поставить в тупик даже опытного реверс-инженера. ChatGPT не только корректно интерпретировал содержимое прошивки, но и внёс точечные изменения для деактивации SecureBoot.

/** Важно понимать, что искусственному интеллекту не нужны языки программирования как таковые. ИИ их использует сейчас, потому что заказчик - человек и результат в виде кода на том или ином языке программирования - это то, что человек изначально просит и то, что он понимает (и то не всегда). ИИ может, и для него это гораздо эффективнее, сразу генерить машинный код (сразу инструкции для процессора). Имхо, данная новость показывает, что мы всё ближе к восстанию машин )

2) Linux Foundation представляет децентрализованный менеджер плагинов WordPress.

Это ответ на недавние разногласия, возникшие после юридического конфликта между коммерческими хостинг-провайдерами WordPress Automattic и WP Engine после того, как первый запретил последнему доступ к платформе WordPress.org, используемой всеми сайтами WordPress для поддержания плагинов и тем в актуальном состоянии.

В свете этих проблем Linux Foundation представила FAIR Package Manager — нейтральную к поставщикам систему распространения плагинов, которая не зависит от одного источника для доставки и обновлений плагинов и тем.

/** Хорошая новость и хорошее разрешение спора. Выигрывают потребители и пользователи, а это - самое главное.

3) Павел Дуров дал второе интервью Такеру Карлсону.

Ключевое по нашей теме:

  • В США существует процедура, которая фактически позволяет заставить любого инженера в компании тихо встроить бэкдор в приложение. Если сотрудник скажет об этом начальству —тюрьма;

  • Наибольший риск для личной конфиденциальности, по мнению Дурова, способность государств следить за телефонами и другими личными девайсами. Так, на iOS и Android существуют уязвимости нулевого дня, о которых знают правительства и секретные службы;

  • И да, через них следили за самим Дуровым. Это одна из причин, почему он практически не пользуется телефоном уже год.

/** Самое ужасное - это первый пункт. Представляете, сколько уязвимостей закладывается специально по просьбе американского правительства? Думаю, что данный принцип действует абсолютно в любом ПО в интерасах страны его (это ПО) создавшей.

4) С начала 2025 года девять российских компаний, в том числе четыре разработчика софта, стали жертвами атак через Outlook Web App.

Злоумышленники получали доступ к учётным данным, незаметно вписывая вредоносный код в страницы входа Microsoft Exchange Server.

Чаще всего злоумышленники внедряли вредоносный JavaScript прямо в обработчик кнопки входа clkLgn, перехватывая логины и пароли в момент аутентификации.

Передача данных с логинами и паролями происходила по-разному: где-то сохраняли файл прямо на сервере, где-то — отправляли данные через DNS-туннели или даже через телеграм-ботов.

/** Очень интересный вектор атаки. Не буду выпендриваться, но первый раз вижу, что куда-то можно встроить вредоносный скрипт прям в страницу авторизации. У этой схемы столько плюсов! Microsoft такой Microsoft. Идея - шикарная. Запомнил!

5) 84% российских компаний подвержены внешним атакам.

Компания F6 провела исследование и представила «Отраслевой Индекс кибербезопасности F6».

Ключевые выводы:

  • Самый высокий уровень защищенности — компании финансового сектора. Осознавая, что являются целью №1 для злоумышленников, такие организации вкладывают много ресурсов на защиту и управление внешней поверхностью.

  • Самый низкий уровень защищенности — ритейл-компании. Они обладают огромной внешней поверхностью атаки: сайты, мобильные приложения, платежные платформы, сторонние сервисы, API-интеграции. Отсутствие зрелой кибербезопасности превращает всю инфраструктуру в уязвимую сеть.

  • Самый высокий уровень глобальной опасности — компании ТЭК. Почти половина организаций ТЭК максимально уязвимы, и это уже не просто риск, а угроза национальной безопасности. Вмешательство во внутренние системы и работу оборудования может спровоцировать аварии на объектах с высоким уровнем опасности.

  • Самая обширная цифровая поверхность — ИТ-сектор. Среднее число активов почти 6 000 на компанию, а максимум превышает 239 000 — это крупнейшая цифровая поверхность и огромная зона риска.

ЧИТАТЬ ОТЧЕТ

Исследование F6 показало, что подавляющее большинство крупнейших компаний России из семи ключевых отраслей остаются уязвимыми перед внешними киберугрозами. 42% компаний получили критически низкие оценки (0–4), что доказывает: построение процессов автоматизированного ASM не просто рекомендация, а обязательное условие устойчивости бизнеса в условиях растущих киберугроз.

/** Название новости странное. Уверен, что внешним атакам подвержены всё же 100% компаний, у которых какая-то часть инфры присутствует в интернете. Мне это исследование просто в очередной раз показало, что тема кибербезопасности будет крайне востребована в России на горизонте ближайших 5 лет точно!

6) Kaspersky поделился статистикой по уязвимостям в первом квартале 2025 года.

Вот некоторые важные цифры и факты:

  • Рейтинги самых эксплуатируемых проблем в ядре Linux и продуктах Microsoft возглавили разыменование нулевого указателя (Null Pointer Dereference) и уязвимости, связанные с некорректным использованием динамической памяти (Use After Free). В основе этих проблем лежат схожие принципы, поэтому часто наблюдались случаи «портирования» механизмов атак с Linux на Windows.

  • Доля опубликованных эксплойтов к браузерам увеличилась на 3,63 процентных пункта по сравнению с предыдущим кварталом. Также выросло число эксплойтов к уязвимостям в продуктах Microsoft Office — с 2,08% до 9,68%.

  • Обнаружена проблема в свойствах ярлыков Windows: параметры LNK-файлов не отображаются в проводнике полностью, что позволяет злоумышленникам незаметно добавлять вредоносные команды в поле «Объект».

Больше в отчёте на Securelist.

/** А вот этот отчёт я смотрел очень внимательно. Почему? Да просто интересно. Там есть выводы, которые расширили мою картинку мира. Например:

В целом многие CWE из TOP 10 для программных решений Microsoft и ядра Linux совпадают или являются аналогичными, а значит, уязвимости основаны на схожих принципах. Поэтому мы часто сталкиваемся с «портированием» механизмов атак для Linux на Windows и наоборот: злоумышленники адаптируют рабочие эксплойты под другую операционную систему.

7) /** И немного про патчи и обновления этой недели. Надо отметить, что эта неделя была богата на них:

Патч Microsoft за июнь 2025 года, который вышел во вторник, исправляет уязвимость нулевого дня и 66 уязвимостей. В этом патче также исправлены десять «критических» уязвимостей, восемь из которых связаны с удаленным выполнением кода, а две — с повышением привилегий.

Kali Linux 2025.2 Release - Kali Menu Refresh, BloodHound CE & CARsenal и многое другое.

Обновления безопасности Google за июнь 2025 года для Android устраняют многочисленные уязвимости. Самая серьезная из проблем – уязвимость высокого уровня в компоненте "Система", которая позволяет злоумышленнику, не имеющему дополнительных прав на выполнение кода, локально повышать привилегии.

Google также исправила активно эксплуатируемую уязвимость нулевого дня в Google Chrome.

GitLab выпустила версии GitLab Community и Enterprise 18.0.2, 17.11.4 и 17.10.8 для устранения множества уязвимостей безопасности и настоятельно рекомендовала всем администраторам немедленно выполнить обновление.

/** Обновляемся!

Безопасной вам недели!

Подписывайтесь на мой канал в Телеграм!

Предыдущая неделя <-- weekSecNews

Комментарии (0)