🍁 Ноябрьский Patch Tuesday: 63 бага, 1 зиродей

Microsoft выпустила традиционный пакет обновлений, который после прощального для Windows 10 октябрьского «фейерверка» выглядит скромным. Всего 63 дефекта, из которых 5 критических, и 58 важных — включая зиродей.
29 CVE приводят к повышению привилегий, 16 — к RCE, 11 — к разглашению информации, 3 — DoS и 2 к обходу функций безопасности.

Активно эксплуатируется CVE-2025-62215 (CVSS 7.0), EoP в ядре Windows, позволяющая аутентифицированному атакующему повысить привилегии до system. Подробности атаки не разглашают, её обнаружили внутренние команды MSTIC и MSRC.

Среди уязвимостей, за которыми надо следить и возможно ускоряться с патчингом, отметим:

CVE-2025-62199 (CVSS 7.8) — RCE в Office, работающая из панели предварительного просмотра. Хотя Microsoft оценивает вероятность эксплуатации как невысокую, злоумышленники могут решить иначе. Также в Office устранены две другие RCE: CVE-2025-62205 и -62216.

CVE-2025-60724 (CVSS 9.8) — RCE в GDI+. Для эксплуатации жертва должна открыть на компьютере вредоносный документ со внедрённым метафайлом (wmf). В Редмонде допускают, что можно компрометировать веб-сервисы, загружая вредоносный файл на обработку сервером.

Более вероятной Microsoft считает эксплуатацию трёх дефектов EoP в Windows Ancillary Function Driver for WinSock (CVE-2025-60719, -62213, -62217). Локальный атакующий может повысить привилегии до system.

Ну а мы отметим очередную EoP уязвимость в многострадальном драйвере CLFS — CVE-2025-60709. Учитывая любовь рансомварщиков к этому фрагменту Windows, мы бы не откладывали патчинг.

#Microsoft @П2Т

В отчёте на горячую тему State of AI in security and development нас больше всего заинтересовал подраздел, относящийся к теме ИИ лишь косвенно. Он называется Tool sprawl, то есть беспорядочное разрастание набора ИБ-инструментов.

По итогам опроса практиков appsec и CISO из США и Европы выяснилось, что команды, пережившие за последний год серьёзный инцидент ИБ, в среднем использовали больше инструментов ИБ (5,1), чем те, у кого инцидентов не было (4,2 инструмента).

Средняя опрошенная ИБ-команда тратит 6,1 часа в неделю на приоритизацию и первичную обработку оповещений из ИБ-инструментов, и число закономерно растёт с ростом количества инструментов. Те, у кого их 1-2, успевают разгрести и упорядочить алерты за 4,1 часа, а при 5 и более ИБ-инструментах это число почти удваивается, до 7,8 ч.

Ещё 4,8 часа в неделю съедают ложноположительные оповещения, в зависимости от числа инструментов — от 4,1 до 6,4 часов.

С ростом числа инструментов растёт и время разрешения инцидентов и устранения уязвимостей — с 3,3 до 7,8 дней.

В опросе, учитывая его фокус на разработку ПО, под ИБ-инструментами понимается относительно узкий класс (SAST, DAST, сканеры секретов, и т.п.), именно поэтому число инструментов во всех компаниях оценивается единицами, а не десятками. Но проблема «больше инструментов — ниже эффективность» актуальна для широкого круга задач ИБ.

Расширить арсенал команды ИБ, не снижая её эффективность, позволяет подход, в котором все ИБ-решения взаимодействуют, а телеметрия, оповещения и реагирование доступны через общий интерфейс, как в Kaspersky Symphony XDR.

#советы #CISO @П2Т

😐 С2 на базе OpenAI, новая версия Lockbit, цифровые кражи реальных грузов и другие интересные новости ИБ за неделю

👀 Подробный разбор вредоносной кампании и бэкдора Sesameop, примечательного применением Assistants API от OpenAI для С2. Здесь нет LLM — инфраструктура OpenAI просто используется для передачи зашифрованных команд и ответов.

🟢 Как ИИ используют для ускорения реверс-инжиниринга на примере ВПО Xloader. Интересен не столько анализ ВПО, сколько детальные измерения, какие фазы анализа живым аналитиком удалось ускорить благодаря комплексу ИИ-инструментов.

🌚 Анализ малоизвестного, но широко используемого китаеязычными злоумышленниками бэкдора VShell, одним из основных его операторов является группа UNC5174. Бэкдор эволюционировал из простого open source инструмента в проприетарный шпионский фреймворк с 1500 активными С2 в сети. Основное применение бэкдора — шпионаж. (PDF).

🟢Детальный разбор арсенала APT Cavalry Werewolf, применяемого в атаках на российские организации. Группа предпочитает open source, а также бэкдоры с функциональностью обратного шелла.

🟢Подробный разбор истории группы и развития шифровальщика Dragonforce.

🟣Подробный анализ применения виртуализации и Hyper-V для создания на Windows-машине изолированной среды с Alpine Linux в атаках APT Curly COMrades. ВПО CurlyShell и CurlCat работало в виртуалке и эффективно избегало обнаружения.

🔵Атаки Clickfix теперь адаптированы и для Mac.

🟢Анализ шифровальщика Lockbit 5.0, переписанного для лучшей модульности и уклонения от СЗИ.

🔵Разбор шифровальщика новой вымогательской группировки Cephalus.

🟣Обзор мобильных угроз 2025 года: число вредоносных транзакций (вроде перехвата 2FA) на Android повысилось на 67% благодаря банкерам и инфостилерам. Вредоносные приложения в Google Play прорывались 239 раз.

🟡Масштабная операция Европола под названием Operation Chargeback накрыла группу злоумышленников, которые с помощью мошеннических подписок списали 300 млн евро с кредитных карт 4,3 млн европейцев. Примечательно, что среди злоумышленников были менеджеры четырёх немецких платёжных провайдеров, которые пять лет закрывали глаза на мошеннические операции.

🤫 Интересное чтение на вечер: цифровая трансформация краж в грузоперевозках. Организованные преступные группы компрометируют компьютерные сети логистических компаний, чтобы от их имени заключать контракты на перевозку грузов, а затем похищать перевозимые товары.

#APT #дайджест @П2Т

🗿 Exchange hardening, сезон 2025

Можно бесконечно смотреть на то, как горит огонь, течёт вода и атакующие эксплуатируют ошибки конфигурации Exchange. Но даже если положить конец этому безобразию невозможно, уменьшить его масштабы очень желательно.

Ощутимый вклад в это благое дело на днях внесли ИБ-регуляторы англоязычных стран, опубликовав пятнадцатистраничное руководство Microsoft Exchange Server Security Best Practices.

Документ разделён на два больших раздела — Prevention posture и Harden authentication and encryption.

В первом даны рекомендации по минимальному набору безопасных настроек со ссылками на ещё более подробные security baselines от CIS, DISA и Microsoft, адаптированные для конкретных версий Exchange. Также перечислены встроенные инструменты защиты и механизмы оперативного обновления, которые авторы рекомендуют активировать.

В разделе про харденинг, которому уделено две трети документа, рекомендованы более сложные настройки и изменения, значительно повышающие стойкость сервера к современным атакам:
🟢актуальные конфигурации TLS и переход на HSTS;
🟢активация extended protection (EP);
🟢переход с NTLM на Kerberos;
🟢внедрение OAuth2 и ADFS;
🟢подпись потоков данных PowerShell сертификатами;
🟢защита от CSRF с помощью загрузок вложений со специальных доменов (download domains);
🟢полноценное использование RBAC;
🟢детектирование поддельных заголовков P2 FROM.

Тем, кто продолжает пользоваться Exchange, стоит взять этот чеклист на вооружение.

#советы #Microsoft @П2Т