☠️ Развал MITRE, парад уязвимостей и новости APT за неделю
😶 Без лишнего шума в MITRE уволили руководство проектов CTID и ATT&CK EVALS. Это, как и череда проблем с NVD, создаёт определённую пустоту в сфере широко признанной и практически применимой стандартизации киберзащиты.
👾 Сразу несколько ИБ-компаний опубликовали исследования по пересекающимся, но разным кампаниям, использующим BYOVD для отключения СЗИ: наш отчёт по AV-Killer, тот же драйвер плюс ещё один в атаках Akira, ещё драйверы в атаках 8 группировок (IoC на гихабе). Некоторые из этих вредоносных активностей развиваются после эксплуатации дефекта в железках SonicWall. Кстати, вендор заявляет, что это не зиродей, а не полностью проведённое клиентами устранение прошлогоднего дефекта.
😎 Поскольку неделя прошла под знаком BlackHat и DEF CON, то в новостях ИБ доминируют резонансные исследования уязвимостей:
🟢Критический дефект в гибридных инсталляциях Exchange, CVE-2025-53786, позволяет полностью скомпрометировать домен организации. Хотя Microsoft по сути устранила дефект ещё в апреле, в честь публикации исследования ему назначили CVE ID. Бюллетень CISA велит устранить уязвимость за четыре для или отключить устаревшие серверы Exchange от сети. По данным Shadowserver дефекту подвержено почти 30 тысяч серверов.
🟢Уязвимость класса HTTP desync (она же HTTP smuggling) была обнаружена в нескольких крупных CDN, включая Akmai и Cloudflare, и могла приводить к угону пользовательских сессий, размещению вредоносных страниц в кэше CDN и другим неприятностям. CVE-2025-32094 является скорее фундаментальным дефектом протокола, чем ошибкой реализации, поэтому авторы призывают поскорее перейти к HTTP/2.
🟢Ещё один зиродей в WinRAR, CVE-2025-8088, использовался в атаках на российские организации.
🟢Настраивать OAuth в Entra так непросто, что даже Microsoft не может это сделать нормально. Исследователь смог получить доступ к 20 внутренним сервисам Редмонда, включая саму платформу баг баунти. Редмонд щедро заплатил за это $0.
🟢Уязвимость в некоторых веб-камерах, основанных на ядре Linux, например Lenovo, позволяет прошивать их неподписанными образами и использовать для атак BadUSB. Дефект под названием Badcam можно эксплуатировать и локально, и дистанционно, авторы видят его пользу для злоумышленников в организации закрепления в системе.
🟡Новые атаки APT-C-09 на военные и телеком-организации Пакистана.
👮♀️ Стилер Efimer нацелен на кражу криптовалюты но, что более интересно, обладает дополнительной функциональностью, помогающей злоумышленникам распространять его дальше через взлом WordPress-сайтов и размещение на них вредоносных файлов.
❔ Экспресс-редтим набег на свежую GPT-5 показал существенный регресс по линии ИБ: модель гораздо легче подвергнуть джейлбрейку, легче сбить с темы разговора, легче убедить её выдать опасную информацию.
Кстати, NIST передумал публиковать отчёт с 139 методами эффективного взлома ИИ-моделей.
#APT #дайджест @П2Т
0
Показать ещё
