0day Alert
11.1K subscribers
116 photos
1 video
730 links
Заявление в РКН № 7218246762. Анализируем и делимся новейшими уязвимостями в ПО и системах, предоставляя рекомендации по их устранению.
Download Telegram
Выявлен новый тип атак через iMessage в iOS

🔍Специалисты с конца 2024 года фиксировали серию необычных инцидентов на iPhone представителей политических кампаний, СМИ и правительств США и ЕС. Анализ выявил крайне редкие сбои iOS, характерные для Zero Click атак через iMessage — класса эксплойтов, не требующих взаимодействия пользователя.

⚙️Форензика скомпрометированных устройств позволила обнаружить неизвестную уязвимость в системном процессе «imagent», получившую обозначение NICKNAME. Механизм атаки связан с функцией установки никнеймов в контактах iOS — при отправке большого числа быстрых обновлений возникает ошибка use-after-free, позволяющая выполнить произвольный код.

🎯Сбои были зафиксированы исключительно на устройствах высокоценных целей — лишь в 0.0001% логов из 50 000 проанализированных iPhone. Все жертвы либо ранее подвергались атакам группировки Salt Typhoon, либо занимались деятельностью, представляющей интерес для китайских властей.

#ios #iphone #уязвимость #безопасность

@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
5🤔3👍2
Защита на словах: как Secure Boot подставил миллионы компьютеров

🔍 Secure Boot задумывался как самая первая линия обороны — ещё до запуска операционной системы. Но на практике именно в этот момент ОС оказывается уязвима. Подписанная Microsoft BIOS-утилита, созданная для одного устройства, благодаря универсальному сертификату внезапно стала работать на любом ПК. Это открывает прямой путь к внедрению вредоносного кода до старта ядра.

💣 Суть уязвимости CVE-2025-3052 — в работе с переменной IhisiParamBuffer, записываемой в энергонезависимую память. Отсутствие валидации позволяет атакующему с правами администратора подменить поведение загрузки. По сути, эксплойт выключает Secure Boot, давая зелёный свет буткиту — вредоносному загрузчику, невидимому для антивирусов и самой ОС.

📉 Проблема не в баге, а в доверительной архитектуре. Один подписанный компонент ломает всю модель. Обновление dbx частично закрывает дыру, но фундаментальные вопросы остаются: стоит ли по-прежнему полагаться на централизованную модель доверия, если она не защищает даже на этапе загрузки?

#secureboot #uefi #уязвимость #инфобез

@ZerodayAlert
👍7
Встроенные утилиты Windows использовались для скрытого взлома

🧩 Уязвимость CVE-2025-33053 — не просто ошибка в обработке пути. Это иллюстрация более широкой проблемы: среды выполнения и приоритетов поиска исполняемых файлов в Windows. Возможность заставить «iediagcmd.exe» обратиться не к системному каталогу, а к внешнему WebDAV-серверу, открывает путь к любой замене — при этом сама утилита подписана и не вызывает подозрений.

🧠 Такая схема требует не только инженерного расчёта, но и стратегического понимания, как можно встроиться в доверенный контекст. Не используется ни один традиционный скрипт — атака полностью строится на встроенных компонентах ОС. Это возвращает нас к старому, но снова актуальному вопросу: насколько безопасна сама операционная среда без внешних загрузчиков?

🧱 Тот факт, что PDF инициирует запуск C++-загрузчика с внедрением в Edge через ZwAllocateVirtualMemory — это не эстетика вредоносного кода, это архитектурное оружие. Его целью может быть не только компрометация, но и обход любых механизмов защиты, построенных на мониторинге внешней активности.

#horusagent #stealthfalcon #webdav #windows

@ZerodayAlert
😢2💩1🕊1
Zero-Click в Copilot

📎 EchoLeak — первая уязвимость, где искусственный интеллект сам инициирует утечку. Пользователь ничего не открывает, не нажимает и не подозревает. А Copilot уже отправил часть внутренних данных за пределы компании.

🧬 Вся атака строится на обмане модели: обычное письмо проходит фильтры и ждёт, пока сотрудник обратится к ИИ. В этот момент включается RAG, подгружает текст, и LLM вставляет чувствительную информацию в ответ. Markdown-ссылка уходит наружу — браузер открывает её автоматически.

📉 Microsoft устранила уязвимость, но фундаментальные риски остались. ИИ слишком широк в восприятии, а защита — слишком узка. Без контроля контекста и фильтрации запросов такие атаки станут частью новой реальности.

#copilot #zeroclick #уязвимость #ии

@ZerodayAlert
😁53🔥2
Apple закрыла брешь, используемую для скрытых Zero Click атак через iCloud

🔒Apple устранила уязвимость CVE-2025-43200 в приложении Messages 10 февраля 2025 года. Ошибка позволяла проводить zero-click атаки через специально подготовленные iCloud-ссылки без взаимодействия с пользователем.

🎯 Брешь использовалась для заражения iPhone двух европейских журналистов шпионским ПО Graphite. Инструмент слежки разработан израильской компанией Paragon и позволяет получать доступ к сообщениям, камере, микрофону и местоположению устройства.

⚖️ После скандала компания Paragon объявила о прекращении всех контрактов с итальянскими государственными структурами. Италия отказалась от независимой проверки использования Graphite, сославшись на соображения национальной безопасности.

#apple #уязвимость #шпионскоепо #журналисты

@ZerodayAlert
5🤔1
CISA официально признала опасную уязвимость ядра Linux активно эксплуатируемой

🚨 Американское агентство по кибербезопасности CISA добавило в список активно эксплуатируемых уязвимостей опасную дыру в ядре Linux — CVE-2023-0386. Это баг в подсистеме OverlayFS, который хакеры активно используют в реальных атаках, хотя патч вышел ещё в начале 2023 года.

⚙️ Уязвимость позволяет атакующему создать файл с флагом SUID в директории вроде /tmp и получить полные права root-пользователя. Такой способ атаки настолько простой, что его легко автоматизировать и использовать в массовых кампаниях — именно это и показало исследование Datadog.

📅 Из-за растущих рисков CISA обязала все федеральные ведомства поставить обновления до 8 июля 2025 года. Под угрозой особенно серверы с публичным доступом, облачные платформы и CI/CD-системы, которые зависят от правильной работы механизмов изоляции Linux.

#linux #cisa #уязвимость #кибербезопасность

@ZerodayAlert
😱8👍3🤩2🐳1
🔧 Архиватор стал точкой входа: WinRAR снова под угрозой

🗂 Уязвимость CVE-2025-6218 в WinRAR — наглядное напоминание, что даже привычные утилиты могут стать элементом атаки. Благодаря манипуляциям с путями внутри архива злоумышленник получает возможность подкинуть файлы прямиком в автозагрузку или системные каталоги Windows. И это срабатывает без всплывающих предупреждений.

🔍 Технический нюанс — обход стандартного поведения архиватора за счёт поддельных относительных путей. Сценарий кажется простым: пользователь распаковывает архив — троян сам устанавливает себя в нужное место. Причём эксплойт работает с правами текущего пользователя, что вполне достаточно для кражи паролей и скрытого удержания доступа.

🛡 Исправление уже доступно, но привычка игнорировать обновления — самая уязвимая часть безопасности. Особенно учитывая популярность WinRAR и постоянное внимание к нему со стороны атакующих. Если ещё не обновились — самое время.

#winrar #cve #уязвимость #безопасность

@ZerodayAlert
7👍3😁1
🛡 Офисные устройства — новый рубеж в атаке на инфраструктуру

📠 Слабые звенья давно переместились за пределы серверных. Теперь точкой входа в вашу сеть может стать... обычный принтер. Особенно если его пароль сгенерирован по наивному, легко просчитываемому алгоритму — как в случае с уязвимостью CVE-2024-51978.

🧩 Проблема гораздо шире, чем кажется. Помимо уязвимости с паролем, эксперты нашли ещё семь лазеек — от утечки данных до полного сбоя устройств. Все они могут быть объединены злоумышленниками в цепочку для комплексной атаки.

💡 Вывод прост, но тревожен: периферия давно вышла из-под внимания IT-служб, а производители продолжают экономить на безопасности. Пришло время пересмотреть подход к защите даже самых "обычных" устройств.

#brother #уязвимости #инфобезопасность #сетевыеугрозы

@ZerodayAlert
🤡3
📡 Bluetooth снова под прицелом — теперь через наушники

💡 Вы думали, что уязвимые "умные" устройства — это камеры и замки? А как насчёт ваших наушников? Оказалось, что популярные модели с чипами Airoha несут куда больший риск, чем просто перехват музыки. Через эти уязвимости злоумышленник может заполучить контроль над вашим смартфоном.

⚙️ Проблема кроется в глубокой архитектуре: отсутствие проверки соединений, слабые протоколы и возможность извлечения ключей связи. Сценарии атак уже продемонстрированы — подмена устройств, перехват вызовов и превращение смартфона в микрофон для шпионажа.

🔧 Производители пока только готовят обновления, а пользователи остаются без защиты. Особенно опасна перспектива скрытой перепрошивки устройств, когда Bluetooth-уязвимость превращается в платформу для "самораспространяющихся" вредоносных программ.

#bluetooth #уязвимость #прослушка #гаджеты

@ZerodayAlert
👍4🤔3
🔒 Ещё одна 0day-брешь в Chrome: что скрывается за CVE-2025-6554?

🛠 Google снова закрывает дыру в безопасности браузера Chrome — и не просто теоретическую, а активно эксплуатируемую. Ошибка типа «путаница типов» (Type Confusion) в движке V8 — классическая лазейка, через которую можно запустить произвольный код прямо в вашей системе. В этот раз уязвимость уже попала на вооружение злоумышленников.

🎯 Почему это важно? Потому что движок V8 — сердце не только Chrome, но и всего, что построено на Chromium: от Edge до Яндекс Браузера. Ошибки такого уровня — это не просто сбои, а реальная возможность вмешательства в работу устройства, обхода изоляции процессов и установки шпионских программ без ведома пользователя. И, что особенно тревожно, проблема вскрылась благодаря команде Google TAG, которая обычно ловит следы кибершпионов и спецслужб.

📉 Обновления вышли, но CVE-2025-6554 — уже четвёртая подобная угроза в этом году. Это явно не случайность, а тревожный тренд: атакующие активно тестируют границы защищённости браузеров. Если вы работаете с конфиденциальной информацией — обновление должно быть для вас приоритетной задачей.

#chrome #v8 #уязвимость #обновления

@ZerodayAlert
🤡54🤮1
0️⃣ Обнаружена эксплуатация новой 0day уязвимости в серверах Exchange

🔓 Кибергруппировка NightEagle эксплуатирует ранее неизвестную 0day уязвимость в Microsoft Exchange для получения machineKey сервера. С помощью этого ключа хакеры проводят удалённую десериализацию и устанавливают вредоносное ПО на серверы любой совместимой версии Exchange.

🎯 Группа целенаправленно атакует ведущие китайские компании в сфере высоких технологий, производства чипов, квантовых разработок и искусственного интеллекта. Для подбора нужной версии Exchange злоумышленники последовательно перепробовали все популярные версии на рынке, демонстрируя высокий уровень подготовки.

💻 Хакеры используют уникальный вредонос, работающий исключительно в памяти и остающийся невидимым для систем защиты. Все атаки происходят строго с 21:00 до 6:00 по пекинскому времени, что указывает на вероятное происхождение группы из Северной Америки.

#0day #exchange #кибератаки #китай

@ZerodayAlert
🤡43👍1
⚠️ Размытые границы привилегий: TSA бьёт по актуальным процессорам AMD

🧠 В чём суть проблемы? TSA демонстрирует, что даже строгое разграничение прав на уровне ОС и гипервизоров может быть обойдено. Уязвимость проявляется не на уровне логики программ, а в самой сути исполнения инструкций — при ложной интерпретации статуса операций загрузки данных.

🔬 Почему это тревожно? Потому что подобные ошибки нельзя «залатать» патчем — они встроены в само поведение процессора. Преждевременный доступ к кэшам или регистраторам — результат микрооптимизаций, которые в погоне за скоростью оборачиваются риском. И TSA-SQ с TSA-L1 как раз показывают, где тонко.

📉 Тренд, который нельзя игнорировать — развитие побочных каналов из «экзотики» превращается в системную угрозу. От Meltdown до TSA: атаки становятся всё более узкоспециализированными, но и более реалистичными. Каждое новое открытие — это не просто уязвимость, а звоночек к пересмотру архитектурных приоритетов.

#amd #tsa #cpu #уязвимость

@ZerodayAlert
👍8🤡2
0-day пробил Nippon Steel: снова утечка, снова молчание

💣 Уязвимость в сетевом железе — и хакеры уже внутри. Nippon Steel, один из крупнейших металлургических концернов мира, снова стала жертвой атаки. Сотни тысяч персональных данных — партнёры, сотрудники, клиенты — оказались в чужих руках. Всё началось с 0-day бага, которым злоумышленники воспользовались ещё в марте. Пока бизнес обсуждал слияние с US Steel, кто-то уже читал рабочую переписку топ-менеджеров.

🕵️ В компании говорят, что всё под контролем: сервер отрубили, угрозу локализовали, облака не пострадали. Но есть нюанс — это второй инцидент за полгода. В феврале BianLian уже утащили 500 гигабайт данных и, по слухам, получили за это выкуп. Тогда страница с утечкой внезапно исчезла. Теперь всё повторяется по сценарию двойного шантажа — сначала взлом, потом молчание.

⚠️ Nippon Steel — глобальный игрок. А значит, атака на неё — это не просто про киберпреступность, а про бизнес и геополитику. Сегодня 0-day ломает сетевое устройство, а завтра рушит сделку на миллиарды. И если кто-то думает, что защита — это вопрос IT-отдела, то этот кейс — наглядный ответ.

#0day #ransomware #утечка #кибератака
@CyberStrikeNews
🤡3
🛡 GPUHammer: уязвимость, которую нельзя исправить патчем

🚧 Не всё, что вычисляется — безопасно. GPUHammer — первая реализация RowHammer-атаки против графических ускорителей, и это делает её особенно опасной. В отличие от CPU, GPU часто работают в многопользовательских средах без должной изоляции. Это создаёт новые векторы атак, в том числе в арендуемых облаках и VDI.

🔎 Цель — сама структура модели. Один искажённый бит в весах ИИ может разрушить всю модель, а значит, речь идёт не просто о сбое, а о контролируемой деградации. Это открывает путь к новым формам атак: от отравления данных до подмены логики принятия решений. И самое опасное — всё это происходит ниже уровня операционной системы и инструментов мониторинга.

🧱 Архитектура становится уязвимостью. Даже если вы включите ECC, это лишь частично решит проблему — с потерями в производительности и объёме памяти. А другие современные атаки вроде CrowHammer указывают на то, что криптография, машинное обучение и инфраструктура доверия всё чаще бьются о границы аппаратной реальности. Нам нужно думать уже не о защите данных, а о защите самой возможности их обработки.

#hardwaresecurity #gpuhammer #искусственныйинтеллект #уязвимости

@ZerodayAlert
🤯7🔥42😱1
⚒️Материнские платы Gigabyte подвержены уязвимостям на уровне SMM

В прошивке UEFI более 240 моделей плат Gigabyte обнаружены четыре критические уязвимости, позволяющие атакующему получить привилегии уровня System Management Mode. Это наивысший уровень доступа в x86-архитектуре, недоступный для операционной системы и традиционных средств защиты.

Ошибки касаются обработчиков OverClockSmiHandler, SmiFlash и доступа к SMRAM. Все они позволяют произвольную запись в защищённые области памяти, что может привести к установке стойкого вредоносного кода с сохранением даже после переустановки ОС. Проблема затрагивает платформу AMI и усугубляется тем, что патчи были доступны по NDA, а часть устройств уже признана устаревшими.

Вендор не выпустил публичных обновлений. Пользователям рекомендуется использовать инструмент Binarly Risk Hunt для выявления уязвимостей и проверять наличие прошивок вручную. В корпоративной и критической инфраструктуре наличие уязвимых плат следует считать фактором высокого риска.


#gigabyte #uefi #firmware #уязвимости

@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
👎4😁4🥱31🤩1
📉 Песочница под угрозой: 0day-брешь в Chrome нарушает главный принцип браузерной безопасности

🧱 Технология «песочницы» десятилетиями считалась краеугольным камнем безопасности браузеров. Но CVE-2025-6558 в Chrome нарушает этот принцип: злоумышленник может покинуть изолированную среду, просто подкинув вредоносный фрагмент в графический стек. Это не просто баг — это концептуальный удар по архитектуре безопасности браузера.

⚙️ Проекты вроде ANGLE выступают связующим звеном между веб-контентом и аппаратным обеспечением. И это тонкая прослойка, где одна ошибка — и вы уже не в браузере, а в ядре ОС. Такие уязвимости почти неотличимы от уязвимостей драйверов и при этом легко попадают в цепочки таргетированных атак.

📊 Мы наблюдаем тренд: уязвимости перемещаются ближе к аппаратному уровню, особенно в тех зонах, где разработчики привыкли полагаться на прослойки и абстракции. Защита «на верхах» уже не справляется. Нужно уделять внимание рендер-стекам, архитектуре драйверов и их взаимодействию с браузером как с системой, а не как с приложением.

#chrome #google #браузер #кибератаки

@ZerodayAlert
🤡5😁43
🦑 Критическая брешь в Squid: риск удалённого захвата сервера

🛑 RCE-уязвимость в Squid затрагивает один из базовых элементов интернет-инфраструктуры — HTTP-прокси, на котором держатся корпоративные сети, CDN и операторские шлюзы. Проблема кроется в переполнении буфера при обработке URN-запросов, что открывает путь к удалённому исполнению кода без аутентификации. Под ударом миллионы систем, где Squid служит звеном между клиентом и веб-сервером.

⚙️ Уязвимость охватывает почти все активно используемые версии, включая серии 4.x, 5.x и 6.x до выхода 6.4. Техническая особенность в том, что атака инициируется через малосложное сетевое соединение, а в процессе эксплуатации возможна утечка до 4 КБ оперативной памяти прокси, где могут находиться токены, ключи и другие чувствительные данные. Для атакующего это — возможность совместить удалённое выполнение кода с кражей критической информации в одном сценарии.

📉 Инцидент демонстрирует, что даже зрелые проекты с многолетней историей могут содержать уязвимости, критичные для всей экосистемы. Обновление до 6.4 или блокировка URN-запросов — минимальные меры, но стратегически важнее выстраивать постоянный процесс аудита сетевых компонентов, которые традиционно считались стабильными.

#squid #cve #уязвимость #прокси

@ZerodayAlert
👍4🔥3🤡1
SonicWall в осаде: Akira эксплуатирует неизвестную 0-day?

🔍 Группировка Akira в июле развернула настоящую охоту на SSL VPN от SonicWall, и картина выглядит тревожно. Злоумышленники подключаются не через обычных провайдеров, а через хостинг-платформы — хитрый трюк, который маскирует вредоносный трафик под облачную активность.

⚡️ После получения доступа злоумышленники работают по заранее отработанной схеме, которую исследователи отслеживают с октября 2024 года. Сначала полное уничтожение всех резервных копий — без права на восстановление, затем молниеносное шифрование критически важных данных. За год с небольшим хакеры выколотили из жертв более 42 миллионов долларов по данным ФБР.

🎯 Рекомендация Arctic Wolf временно отключить SSL VPN отражает серьёзность ситуации — исследователи фиксируют активные атаки с 15 июля и пока не могут точно определить вектор проникновения. В качестве альтернативных мер предлагается усилить мониторинг через расширенное ведение журналов и блокировку VPN-подключений с хостинговых адресов до выхода патчей.

#zeroday #sonicwall #вымогательство #уязвимость

@ZerodayAlert
🔥4👍2🤡1
0️⃣ Zero-Click-атака на ChatGPT: интеграция с внешними сервисами открывает новые векторы для взлома

🕵️ Исследователи продемонстрировали атаку AgentFlayer на систему Connectors в ChatGPT, которая позволяет боту просматривать файлы в Google Drive. Злоумышленники могут спрятать вредоносную инструкцию в обычном документе, используя белый цвет текста и минимальный размер шрифта — для человека она незаметна, но ИИ легко её прочтёт.

🔓 Для обхода защитного механизма url_safe исследователи использовали легитимные URL от Microsoft Azure Blob Storage. Когда пользователь просит ChatGPT подвести итоги встречи, модель следует скрытой инструкции и отправляет найденные API-ключи на сервер злоумышленников через поддельную ссылку на изображение.

🛡 OpenAI оперативно внедрила меры защиты после получения отчёта о проблеме, ограничив поведение Connectors в подобных сценариях. Google заявил, что развитие защит от промпт-инъекций стало одним из ключевых векторов стратегии информационной безопасности компании.

#chatgpt #промптинъекции #ии #кибербезопасность

@ZerodayAlert
😁71👍1🤔1
🪲 Старая брешь, новые возможности для атак

🔍 Исходно описанный в 2022 году Retbleed считался опасным, но управляемым риском. Новая же реализация меняет картину: усовершенствованные методы спекулятивного исполнения позволяют считывать память произвольных процессов с высокой скоростью и точностью. На практике это означает, что атака может быть запущена из среды с минимальными правами — вплоть до браузерной песочницы.

🌐 Для дата-центров и облаков последствия критичны. Виртуальная машина, принадлежащая злоумышленнику, получает возможность читать содержимое памяти хост-системы и других виртуальных машин, минуя любые логические границы. Это подрывает основополагающую модель безопасности, на которой держится многопользовательская инфраструктура.

⚠️ Попытка защититься жёсткими барьерами ветвлений оборачивается колоссальными издержками: падение производительности может достигать 60 %. Для высоконагруженных систем это неприемлемо. История Retbleed показывает, что архитектурные изъяны не исчезают с течением времени, а, напротив, становятся инструментом всё более изощрённых атак.

#retbleed #amd #уязвимость #виртуализация

@ZerodayAlert
🤯41
🚀Кибербезопасность космических технологий под угрозой из-за уязвимостей в ПО

🛰 На конференции Black Hat исследователи из VisionSpace Technologies продемонстрировали возможность вывода спутников из строя через программные уязвимости. Этот метод оказался значительно дешевле и проще традиционного противоспутникового оружия.

📈 За последние два десятилетия количество активных спутников выросло с менее чем 1000 до примерно 12300 аппаратов. Основную долю составляют устройства Starlink, но также увеличилось число военных платформ на фоне геополитической напряженности.

🔓 В открытых системах управления спутниками обнаружены десятки критических уязвимостей, включая 5 в NASA Yamcs, 7 в OpenC3 Cosmos и 4 в Core Flight System. Некоторые из них позволяют получить полный контроль над орбитальными аппаратами через простые неаутентифицированные запросы.

#спутники #кибербезопасность #уязвимости #космос

@ZerodayAlert
9🔥5🤡1