Новая волна фишинга на российские компании
Представители российских компаний получают фишинговые письма от имени различных ведомств. В этих письмах содержится вложение — электронный документ на бланке несуществующей организации. В документе говорится, что сотрудники ведомства планируют провести консультации с работниками компании по вопросам информационной безопасности и защиты персональных данных.
В «документе» указано, что содержание консультаций является конфиденциальным и не подлежит разглашению. Руководителю организации, получившему письмо, предлагается предупредить своих подчинённых о предстоящем звонке.
После этого сотрудникам компании звонят злоумышленники, выдающие себя за специалистов по информационной безопасности.
Подробнее: https://extrim-security.ru/news-ib/tpost/io4k3ya8v1-novaya-volna-fishinga-na-rossiiskie-komp
Представители российских компаний получают фишинговые письма от имени различных ведомств. В этих письмах содержится вложение — электронный документ на бланке несуществующей организации. В документе говорится, что сотрудники ведомства планируют провести консультации с работниками компании по вопросам информационной безопасности и защиты персональных данных.
В «документе» указано, что содержание консультаций является конфиденциальным и не подлежит разглашению. Руководителю организации, получившему письмо, предлагается предупредить своих подчинённых о предстоящем звонке.
После этого сотрудникам компании звонят злоумышленники, выдающие себя за специалистов по информационной безопасности.
Подробнее: https://extrim-security.ru/news-ib/tpost/io4k3ya8v1-novaya-volna-fishinga-na-rossiiskie-komp
extrim-security.ru
Новая волна фишинга на российские компании
Под видом повышения уровня грамотности ИБ злоумышленники рассылают фишинговые письма
🖇 Исследователи кибербезопасности обнаружили новый вариант программы-вымогателя для Linux под названием Play, предназначенный для атак на среды VMware ESXi. Это событие показывает, что группа расширяет свои атаки на Linux, что увеличивает количество потенциальных жертв и повышает эффективность переговоров о выкупе.
Программа Play, появившаяся на рынке в июне 2022 года, известна своей тактикой двойного вымогательства, шифрованием систем после извлечения конфиденциальных данных и требованием оплаты в обмен на ключ дешифрования.
Производство, профессиональные услуги, строительство, ИТ, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость - основные отрасли пострадавший компаний.
Анализ фирмы по кибербезопасности Linux-варианта Play основан на архивном файле RAR, содержащем другие инструменты, использованные в предыдущих атаках. Дальнейший анализ показал, что группа программ-вымогателей Play, вероятно, использует сервисы и инфраструктуру, распространяемые Prolific Puma, для помощи в избежании обнаружения при распространении вредоносного ПО.
Подробнее: https://extrim-security.ru/news-ib/tpost/zf16ep7vd1-novii-linux-variant-play-ransomware-nats
Программа Play, появившаяся на рынке в июне 2022 года, известна своей тактикой двойного вымогательства, шифрованием систем после извлечения конфиденциальных данных и требованием оплаты в обмен на ключ дешифрования.
Производство, профессиональные услуги, строительство, ИТ, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость - основные отрасли пострадавший компаний.
Анализ фирмы по кибербезопасности Linux-варианта Play основан на архивном файле RAR, содержащем другие инструменты, использованные в предыдущих атаках. Дальнейший анализ показал, что группа программ-вымогателей Play, вероятно, использует сервисы и инфраструктуру, распространяемые Prolific Puma, для помощи в избежании обнаружения при распространении вредоносного ПО.
Подробнее: https://extrim-security.ru/news-ib/tpost/zf16ep7vd1-novii-linux-variant-play-ransomware-nats
extrim-security.ru
Новый Linux-вариант Play Ransomware, нацеленный на системы VMware ESXi
Исследователи кибербезопасности обнаружили новый вариант программы-вымогателя для Linux под названием Play (или Balloonfly, PlayCrypt), который предназначен для атак на среды VMware ESXi
💢 Сервис для сокращения ссылок goo.gl от Google прекратит работу в 2025 году.
В 2018 году сервис был закрыт для пользователей и разработчиков из-за появления множества аналогов и изменений в интернете. В 2019 году Google отключил создание новых ссылок, аналитику и управление в сервисе.
С 23 августа 2024 года для части ссылок будет отображаться промежуточная страница с уведомлением о скором прекращении работы.
А после 25 августа 2025 года все адреса goo.gl перестанут работать окончательно и будут возвращать только ошибку 404.
Подробнее: https://extrim-security.ru/news-ib/tpost/ft13jx6ax1-google-zakrivaet-svoi-servis-dlya-sokras
В 2018 году сервис был закрыт для пользователей и разработчиков из-за появления множества аналогов и изменений в интернете. В 2019 году Google отключил создание новых ссылок, аналитику и управление в сервисе.
С 23 августа 2024 года для части ссылок будет отображаться промежуточная страница с уведомлением о скором прекращении работы.
А после 25 августа 2025 года все адреса goo.gl перестанут работать окончательно и будут возвращать только ошибку 404.
Подробнее: https://extrim-security.ru/news-ib/tpost/ft13jx6ax1-google-zakrivaet-svoi-servis-dlya-sokras
extrim-security.ru
Google закрывает свой сервис для сокращения URL goo[.]gl
Компания Google объявила, что в 2025 году сервис для сокращения ссылок goo[.]gl окончательно прекратит свою работу.
🪐✨ Исследователи разработали метод обнаружения дипфейков, с помощью анализа отражения света в глазах. Методика основана на астрономии и адаптирует инструменты изучения галактик для изучения отражения световых вспышек в глазах людей.
Разница заключается в том, что во время настоящей съемки, при освещении одним и тем же источником света, блики в глазах будут практически одинаковые. В то же время, при искусственной генерации изображения, блики будут отличаться. 👀
Используя способ астрономов изучать последовательность распределения света со снимков телескопов, можно автоматически сравнить сходства между левым и правым глазом.
Подробнее: https://extrim-security.ru/news-ib/tpost/mtigc4h8o1-astronomi-otkrili-metod-obnaruzheniya-po
Разница заключается в том, что во время настоящей съемки, при освещении одним и тем же источником света, блики в глазах будут практически одинаковые. В то же время, при искусственной генерации изображения, блики будут отличаться. 👀
Используя способ астрономов изучать последовательность распределения света со снимков телескопов, можно автоматически сравнить сходства между левым и правым глазом.
Подробнее: https://extrim-security.ru/news-ib/tpost/mtigc4h8o1-astronomi-otkrili-metod-obnaruzheniya-po
extrim-security.ru
Астрономы открыли метод обнаружения подделок ИИ
Методика адаптирует инструменты изучения галактик для изучения отражения световых вспышек
☠️ Уязвимость нулевого дня в приложении Telegram для Android, известная как "EvilVideo", позволяет злоумышленникам отправлять вредоносные данные в формате Android APK, маскируя их под видеофайлы.
Продажа эксплойта началась 6 июня 2024 года, и уязвимость была исправлена в версии 10.14.5. Эксплойт использует API Telegram для создания сообщений, которые выглядят как видео. Пользователи, у которых отключена автоматическая загрузка, могут получить вредоносный файл, просто нажав на предварительный просмотр видео. Чтобы установить его, жертве необходимо разрешить установку неизвестных приложений.
Исправление Telegram в версии 10.14.5 теперь правильно отображает APK-файлы в предварительном просмотре, предотвращая обман пользователей. Пользователям, которые подозревают, что могли загрузить вредоносный файл, рекомендуется выполнить сканирование файловой системы с помощью пакета мобильной безопасности.
Подробности: https://extrim-security.ru/news-ib/tpost/tm4jrkbl61-proklyatie-lenti-ispolzovanie-uyazvimost
Продажа эксплойта началась 6 июня 2024 года, и уязвимость была исправлена в версии 10.14.5. Эксплойт использует API Telegram для создания сообщений, которые выглядят как видео. Пользователи, у которых отключена автоматическая загрузка, могут получить вредоносный файл, просто нажав на предварительный просмотр видео. Чтобы установить его, жертве необходимо разрешить установку неизвестных приложений.
Исправление Telegram в версии 10.14.5 теперь правильно отображает APK-файлы в предварительном просмотре, предотвращая обман пользователей. Пользователям, которые подозревают, что могли загрузить вредоносный файл, рекомендуется выполнить сканирование файловой системы с помощью пакета мобильной безопасности.
Подробности: https://extrim-security.ru/news-ib/tpost/tm4jrkbl61-proklyatie-lenti-ispolzovanie-uyazvimost
extrim-security.ru
Проклятые ленты: использование уязвимости EvilVideo в Telegram для Android
Исследователи ESET обнаружили эксплойт Telegram нулевого дня для Android, который позволяет отправлять вредоносные файлы, замаскированные под видео
🦠 В январе на Львов обрушилась кибератака, оставив жителей без отопления на два дня. Атака была направлена на системы управления технологическими процессами (ICS) с использованием нового вируса FrostyGoop.
Атака затронула муниципальную компанию, обслуживающую более 600 жилых зданий, и привела к отключению горячей воды. Последствия кибератаки устраняли почти два дня. Специалисты Dragos, изучив вирус, отметили его уникальность: FrostyGoop стал первым вирусом, использующим протокол Modbus TCP для атак на сети операционных технологий.
Подробнее: https://extrim-security.ru/news-ib/tpost/ice1su3gb1-frostygoop-hakeri-otklyuchili-otoplenie
Атака затронула муниципальную компанию, обслуживающую более 600 жилых зданий, и привела к отключению горячей воды. Последствия кибератаки устраняли почти два дня. Специалисты Dragos, изучив вирус, отметили его уникальность: FrostyGoop стал первым вирусом, использующим протокол Modbus TCP для атак на сети операционных технологий.
Подробнее: https://extrim-security.ru/news-ib/tpost/ice1su3gb1-frostygoop-hakeri-otklyuchili-otoplenie
extrim-security.ru
FrostyGoop: хакеры отключили отопление в 600 зданиях в разгар зимы
Dragos раскрывает детали работы вредоноса, нацеленного на ICS-системы.
☁️ Исследователи кибербезопасности обнаружили уязвимость в Google Cloud Platform, позволяющую злоумышленникам повышать привилегии и получать доступ к конфиденциальным данным.
Уязвимость, названная ConfusedFunction, может использоваться для доступа к различным сервисам, включая облачную сборку, хранилище, реестр артефактов и реестр контейнеров. Учетная запись службы облачной сборки, создаваемая в фоновом режиме, может стать причиной вредоносной деятельности из-за своих чрезмерных разрешений.
После ответственного раскрытия Google обновил поведение по умолчанию, но изменения не распространяются на существующие экземпляры.
Подробнее: https://extrim-security.ru/news-ib/tpost/t84u7kc891-issledovateli-viyavili-uyazvimost-confus
Уязвимость, названная ConfusedFunction, может использоваться для доступа к различным сервисам, включая облачную сборку, хранилище, реестр артефактов и реестр контейнеров. Учетная запись службы облачной сборки, создаваемая в фоновом режиме, может стать причиной вредоносной деятельности из-за своих чрезмерных разрешений.
После ответственного раскрытия Google обновил поведение по умолчанию, но изменения не распространяются на существующие экземпляры.
Подробнее: https://extrim-security.ru/news-ib/tpost/t84u7kc891-issledovateli-viyavili-uyazvimost-confus
extrim-security.ru
Исследователи выявили уязвимость ConfusedFunction в облачной платформе Google
Злоумышленники могут использовать эту уязвимость для получения доступа к различным сервисам
🤡 На прошлой неделе стало известно о целых пяти инцидентах со взломом компаний, которые занимаются информационной безопасностью! Алексей Лукацкий выпустил краткий обзор на все пять случаев.
- Fractal ID стала жертвой утечки данных через API, 0,5% пользовательской базы было скомпрометировано.
- Leidos столкнулась с утечкой внутренних документов из-за взлома подрядчика Diligent.
- KnowBe4 наняла северокорейского хакера, который загрузил вредоносный код на ноутбук.
- CrowdStrike стала жертвой кражи списка индикаторов компрометации из своей инфраструктуры.
- Аванпост подтвердил взлом, но детали пока неизвестны.
Читать статью полностью
- Fractal ID стала жертвой утечки данных через API, 0,5% пользовательской базы было скомпрометировано.
- Leidos столкнулась с утечкой внутренних документов из-за взлома подрядчика Diligent.
- KnowBe4 наняла северокорейского хакера, который загрузил вредоносный код на ноутбук.
- CrowdStrike стала жертвой кражи списка индикаторов компрометации из своей инфраструктуры.
- Аванпост подтвердил взлом, но детали пока неизвестны.
Читать статью полностью
🦾 Специалисты из F.A.C.C.T. Threat Intelligence обнаружили новые киберугрозы от группировки XDSpy, направленные на российские компании.
Злоумышленники используют фишинговые письма с предложением скачать RAR-архив, содержащий легитимный исполняемый файл с расширением .exe и вредоносную динамически подключаемую библиотеку msi.dll.
Эта библиотека служит загрузчиком, отвечающим за запуск файла полезной нагрузки, который классифицируется как XDSpy.DSDownloader.
Подробнее: https://extrim-security.ru/news-ib/tpost/dhh96outd1-obnaruzheni-ataki-gruppi-xdspy-s-ispolzo
Злоумышленники используют фишинговые письма с предложением скачать RAR-архив, содержащий легитимный исполняемый файл с расширением .exe и вредоносную динамически подключаемую библиотеку msi.dll.
Эта библиотека служит загрузчиком, отвечающим за запуск файла полезной нагрузки, который классифицируется как XDSpy.DSDownloader.
Подробнее: https://extrim-security.ru/news-ib/tpost/dhh96outd1-obnaruzheni-ataki-gruppi-xdspy-s-ispolzo
extrim-security.ru
Обнаружены атаки группы XDSpy с использованием нового загрузчика XDSpy.DSDownloader
Методы атаки включают рассылку фишинговых писем с предложением скачать RAR-архив
📨 Субъект угрозы SideWinder, предположительно связанный с Индией, начал новую кампанию кибершпионажа, нацеленную на порты и морские объекты в Индийском океане и Средиземном море.
SideWinder использует фишинг-рассылку для доставки вредоносных полезных данных, которые запускают цепочки атак. После открытия файла-приманки он использует известную брешь в системе безопасности CVE-2017-0199 для установления контакта с вредоносным доменом, который маскируется под Генеральное управление портов и судоходства Пакистана "reports.dgps-govtpk.com", чтобы извлечь RTF-файл.
Документ RTF загружает документ, который использует CVE-2017-11882, еще одну многолетнюю уязвимость в редакторе Microsoft Office Equation Editor, с целью выполнения шелл-кода, отвечающего за запуск кода JavaScript.
Подробнее: https://extrim-security.ru/news-ib/tpost/9mdx9eliz1-novie-kiberataki-sidewinder-natseleni-na
SideWinder использует фишинг-рассылку для доставки вредоносных полезных данных, которые запускают цепочки атак. После открытия файла-приманки он использует известную брешь в системе безопасности CVE-2017-0199 для установления контакта с вредоносным доменом, который маскируется под Генеральное управление портов и судоходства Пакистана "reports.dgps-govtpk.com", чтобы извлечь RTF-файл.
Документ RTF загружает документ, который использует CVE-2017-11882, еще одну многолетнюю уязвимость в редакторе Microsoft Office Equation Editor, с целью выполнения шелл-кода, отвечающего за запуск кода JavaScript.
Подробнее: https://extrim-security.ru/news-ib/tpost/9mdx9eliz1-novie-kiberataki-sidewinder-natseleni-na
extrim-security.ru
Новые кибератаки SideWinder нацелены на морские объекты во многих странах
Кампания кибершпионажа, предположительно связанная с Индией, использует фишинг и уязвимости Microsoft Office
📲 Специалисты по мобильной безопасности из компании Zimperium обнаружили более 107 000 уникальных образцов вредоносного ПО для перехвата одноразовых паролей (ОТР) на устройствах Android.
Злоумышленники используют различные методы для распространения вредоносного ПО, включая обманчивую рекламу, ботов Telegram и фишинговые письма.
После установки вредоносного приложения, оно запрашивает разрешение на доступ к входящим SMS-сообщениям, перехватывает их и отправляет информацию на сервер командования и контроля.
Подробнее: https://extrim-security.ru/news-ib/tpost/dd5vn5i581-mobilnaya-ugroza-krazha-sms-soobschenii
Злоумышленники используют различные методы для распространения вредоносного ПО, включая обманчивую рекламу, ботов Telegram и фишинговые письма.
После установки вредоносного приложения, оно запрашивает разрешение на доступ к входящим SMS-сообщениям, перехватывает их и отправляет информацию на сервер командования и контроля.
Подробнее: https://extrim-security.ru/news-ib/tpost/dd5vn5i581-mobilnaya-ugroza-krazha-sms-soobschenii
extrim-security.ru
Мобильная угроза: Кража SMS-сообщений в масштабах планеты
Пользователи Android устройств снова под угрозой кражи данных
🌐 В мире кибербезопасности появилась новая угроза - атака "Легкой наживы" (Easy Money), которая использует слабости в системе доменных имен (DNS) для захвата доменов без взлома учетных записей владельцев. Более миллиона доменов оказались уязвимыми для этой атаки.
Злоумышленники могут использовать захваченные домены для распространения вредоносного ПО, фишинга и спама. Проблема заключается в неправильной конфигурации у регистраторов, которые могут использовать устаревшие методы проверки, позволяющие злоумышленникам подделывать запросы на изменение DNS-записей.
Подробнее: https://extrim-security.ru/news-ib/tpost/kcxnfdf9h1-legkaya-nazhiva-novaya-ugroza-dlya-domen
Злоумышленники могут использовать захваченные домены для распространения вредоносного ПО, фишинга и спама. Проблема заключается в неправильной конфигурации у регистраторов, которые могут использовать устаревшие методы проверки, позволяющие злоумышленникам подделывать запросы на изменение DNS-записей.
Подробнее: https://extrim-security.ru/news-ib/tpost/kcxnfdf9h1-legkaya-nazhiva-novaya-ugroza-dlya-domen
extrim-security.ru
"Легкая нажива": Новая угроза для доменов, которую вы не ожидаете
Более миллиона доменов оказались уязвимыми для этой атаки
🤕 Казахстан стал мишенью масштабной кибератаки, осуществляемой группировкой, получившей название "Кровавый волк". Злоумышленники используют вредоносное ПО STRRAT для проникновения в корпоративные сети и кражи конфиденциальных данных.
Он способен выполнять широкий спектр задач: удаленный контроль, кража данных, персистенция, сетевая активность. Все пошаговые действия направлены на кражу данных и использование их в корыстных целях.
По классике: первый ход атаки - это фишинговые письма💀
Подробнее: https://extrim-security.ru/news-ib/tpost/ekhh6se3a1-krovavii-volk-napadaet-na-kazahstan
Он способен выполнять широкий спектр задач: удаленный контроль, кража данных, персистенция, сетевая активность. Все пошаговые действия направлены на кражу данных и использование их в корыстных целях.
По классике: первый ход атаки - это фишинговые письма💀
Подробнее: https://extrim-security.ru/news-ib/tpost/ekhh6se3a1-krovavii-volk-napadaet-na-kazahstan
extrim-security.ru
"Кровавый волк" нападает на Казахстан
Вредоносное ПО STRRAT используется для кражи конфиденциальных данных
⚙️ Исследователи из Технического университета Граца обнаружили новую атаку на ядро Linux, названную SLUBStick.
Она использует уязвимости в системе управления памятью SLUB и представляет серьезную угрозу для безопасности. Атака основана на "уязвимости кучи" и "побочном канале синхронизации", позволяющих злоумышленнику манипулировать памятью.
SLUBStick демонстрирует высокую эффективность, работая на 99% версий ядра Linux 5.9 и 6.2, обходя современные механизмы защиты.
Подробнее: https://extrim-security.ru/news-ib/tpost/kch7y71nf1-slubstick-novaya-ugroza-dlya-yadra-linux
Она использует уязвимости в системе управления памятью SLUB и представляет серьезную угрозу для безопасности. Атака основана на "уязвимости кучи" и "побочном канале синхронизации", позволяющих злоумышленнику манипулировать памятью.
SLUBStick демонстрирует высокую эффективность, работая на 99% версий ядра Linux 5.9 и 6.2, обходя современные механизмы защиты.
Подробнее: https://extrim-security.ru/news-ib/tpost/kch7y71nf1-slubstick-novaya-ugroza-dlya-yadra-linux
extrim-security.ru
SLUBStick. Новая угроза для ядра Linux, которая покоряет 99% систем
Лазейка находится в системе управления памятью Linux
🥷🏻 LianSpy - это шпионское ПО, которое, по данным экспертов из Kaspersky, атакует пользователей в России, по крайней мере, с 2021 года.
Это вредоносное ПО маскируется под популярные приложения, такие как Alipay, или же под системные сервисы Android, что делает его практически неотличимым от легитимного программного обеспечения.
LianSpy использует Yandex Cloud для командно-контрольных коммуникаций (C2) как способ избежать наличия выделенной инфраструктуры и избежать обнаружения.
Подробнее: https://extrim-security.ru/news-ib/tpost/u9zdzka541-nevidimii-shpion-v-vashem-android
Это вредоносное ПО маскируется под популярные приложения, такие как Alipay, или же под системные сервисы Android, что делает его практически неотличимым от легитимного программного обеспечения.
LianSpy использует Yandex Cloud для командно-контрольных коммуникаций (C2) как способ избежать наличия выделенной инфраструктуры и избежать обнаружения.
Подробнее: https://extrim-security.ru/news-ib/tpost/u9zdzka541-nevidimii-shpion-v-vashem-android
extrim-security.ru
Невидимый шпион в вашем Android
Пользователи в России столкнулись с ранее недокументированным шпионским ПО
🚨 В 2008 году была обнаружена уязвимость, известная как 0.0.0.0 Day, которая до сих пор не устранена в популярных браузерах.
Она позволяет вредоносным сайтам обходить защиту и взаимодействовать с сервисами в локальной сети пользователей. Уязвимость затрагивает только устройства под управлением Linux и macOS.
0.0.0.0 — это "wildcard" IP-адрес, который может олицетворять все IP-адреса на локальной машине или все сетевые интерфейсы на хосте. Браузеры обычно не запрещают сайтам отправлять запросы на этот адрес, что позволяет им взаимодействовать с сервисами в локальной сети пользователя.
Подробнее: https://extrim-security.ru/news-ib/tpost/jpi5vdtp21-0000-day-18-letnyaya-uyazvimost-kotoraya
Она позволяет вредоносным сайтам обходить защиту и взаимодействовать с сервисами в локальной сети пользователей. Уязвимость затрагивает только устройства под управлением Linux и macOS.
0.0.0.0 — это "wildcard" IP-адрес, который может олицетворять все IP-адреса на локальной машине или все сетевые интерфейсы на хосте. Браузеры обычно не запрещают сайтам отправлять запросы на этот адрес, что позволяет им взаимодействовать с сервисами в локальной сети пользователя.
Подробнее: https://extrim-security.ru/news-ib/tpost/jpi5vdtp21-0000-day-18-letnyaya-uyazvimost-kotoraya
extrim-security.ru
0.0.0.0 Day: 18-летняя уязвимость, которая до сих пор угрожает вашей безопасности
Уязвимость позволяет вредоносным сайтам обходить защиту браузеров и взаимодействовать с сервисами
🔨 Компания Microsoft сообщила о четырёх уязвимостях средней степени опасности в программном обеспечении OpenVPN. Они могут позволить злоумышленникам получить полный контроль над целевыми устройствами, что может привести к утечке данных, компрометации системы и несанкционированному доступу к конфиденциальной информации.
Уязвимости связаны с компонентами openvpnserv и драйвером Windows TAP. Для их эксплуатации злоумышленникам требуется аутентификация пользователя OpenVPN. Под угрозой находятся все версии OpenVPN до 2.6.10 и 2.5.10.
Подробнее: https://extrim-security.ru/news-ib/tpost/7x689seuj1-openvpn-pod-ugrozoi
Уязвимости связаны с компонентами openvpnserv и драйвером Windows TAP. Для их эксплуатации злоумышленникам требуется аутентификация пользователя OpenVPN. Под угрозой находятся все версии OpenVPN до 2.6.10 и 2.5.10.
Подробнее: https://extrim-security.ru/news-ib/tpost/7x689seuj1-openvpn-pod-ugrozoi
extrim-security.ru
OpenVPN под угрозой
Четыре уязвимости средней степени опасности
🗂 Компания Microsoft обнаружила уязвимость в пакете Office, которая позволяет злоумышленникам получить доступ к защищенным данным, включая хеши NTLM.
CVE-2024-38200 затрагивает несколько версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise. Злоумышленники могут использовать специально подготовленный файл для эксплуатации уязвимости, убедив пользователя перейти по ссылке и открыть этот файл.
📌 Microsoft работает над исправлением ошибки, но дата его выпуска пока неизвестна. Временный фикс доступен через Feature Flighting 7/30/2024. Microsoft рекомендует блокировать исходящий NTLM-трафик для пользователей, которым не требуется эта технология, но это может помешать легальному доступу к серверам, использующим NTLM-аутентификацию.
Подробнее: https://extrim-security.ru/news-ib/tpost/egxf74n3h1-microsoft-office-snova-uyazvim
CVE-2024-38200 затрагивает несколько версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise. Злоумышленники могут использовать специально подготовленный файл для эксплуатации уязвимости, убедив пользователя перейти по ссылке и открыть этот файл.
📌 Microsoft работает над исправлением ошибки, но дата его выпуска пока неизвестна. Временный фикс доступен через Feature Flighting 7/30/2024. Microsoft рекомендует блокировать исходящий NTLM-трафик для пользователей, которым не требуется эта технология, но это может помешать легальному доступу к серверам, использующим NTLM-аутентификацию.
Подробнее: https://extrim-security.ru/news-ib/tpost/egxf74n3h1-microsoft-office-snova-uyazvim
extrim-security.ru
Microsoft Office снова под угрозой
CVE-2024-38200 и уязвимость раскрытия хешей NTLM
❗️В первой половине 2024 года количество DDoS-атак увеличилось на 46% по сравнению с аналогичным периодом прошлого года. Во втором квартале 2024 года число атак достигло 445 000, демонстрируя рост на 34% по сравнению с предыдущими шестью месяцами.
Хотя пиковая мощность атаки в первом полугодии 2024 года увеличилась незначительно (с 1,6 Тбит/с в 2023 году до 1,7 Тбит/с в 2024 году), это все же значительный рост. Для сравнения, скорость передачи данных в терабит/с (Tbps) представляет собой огромный объем данных, способный перегрузить сетевую инфраструктуру, что эквивалентно одновременной передаче более 212 000 видеопотоков высокой четкости.
Большинство DDoS-атак непродолжительны, но их частота и интенсивность могут вызывать существенные сбои в работе.
Подробнее: https://extrim-security.ru/news-ib/tpost/nd8urvrrh1-pugayuschii-rost-ddos-atak-v-2024-godu
Хотя пиковая мощность атаки в первом полугодии 2024 года увеличилась незначительно (с 1,6 Тбит/с в 2023 году до 1,7 Тбит/с в 2024 году), это все же значительный рост. Для сравнения, скорость передачи данных в терабит/с (Tbps) представляет собой огромный объем данных, способный перегрузить сетевую инфраструктуру, что эквивалентно одновременной передаче более 212 000 видеопотоков высокой четкости.
Большинство DDoS-атак непродолжительны, но их частота и интенсивность могут вызывать существенные сбои в работе.
Подробнее: https://extrim-security.ru/news-ib/tpost/nd8urvrrh1-pugayuschii-rost-ddos-atak-v-2024-godu
extrim-security.ru
Пугающий рост DDoS-атак в 2024 году
В первом полугодии рост атак достик уже 46%, по сравнению с аналогичным периодом прошлого года. Какие показатели нас ждут в конце года?
☠️ Microsoft выпустила предупреждение о критической уязвимости TCP/IP в системах Windows с включенным IPv6.
Уязвимость CVE-2024-38063 получила оценку CVSS 9.8 и связана с целочисленным переполнением, которое может привести к выполнению произвольного кода злоумышленниками.
Атака осуществляется через многократную отправку специально сформированных IPv6-пакетов, которые активируют уязвимость до обработки брандмауэром. Все системы Windows 10, Windows 11 и Windows Server подвержены этой уязвимости.
Подробности: https://extrim-security.ru/news-ib/tpost/s1y67jd0s1-ugroza-dlya-vseh-sistem-windows-s-ipv6
Уязвимость CVE-2024-38063 получила оценку CVSS 9.8 и связана с целочисленным переполнением, которое может привести к выполнению произвольного кода злоумышленниками.
Атака осуществляется через многократную отправку специально сформированных IPv6-пакетов, которые активируют уязвимость до обработки брандмауэром. Все системы Windows 10, Windows 11 и Windows Server подвержены этой уязвимости.
Подробности: https://extrim-security.ru/news-ib/tpost/s1y67jd0s1-ugroza-dlya-vseh-sistem-windows-s-ipv6
extrim-security.ru
Угроза для всех систем Windows с IPv6
Ошибка TCP/IP распространяется по системам с IPv6 без участия пользователя.
💢 На прошлой неделе в блоге Совета по международным отношениям (CFR) была опубликована статья об импортозамещении в России.
Её автор, Джастин Шерман, предложил использовать разведку по открытым источникам (OSINT) для изучения защищенности операционной системы Astra Linux. Шерман призывает США и их партнёров следить за российским рынком с помощью OSINT, анализируя информацию с киберконференций и изучая государственные контракты.
Он также утверждает, что разработчики Astra Linux имеют меньше возможностей для тестирования и защиты своего кода из-за отсутствия широкой аудитории.
Подробнее: https://extrim-security.ru/news-ib/tpost/2z6kpo6ae1-kak-ssha-predlagayut-sledit-za-rossiei-c
Её автор, Джастин Шерман, предложил использовать разведку по открытым источникам (OSINT) для изучения защищенности операционной системы Astra Linux. Шерман призывает США и их партнёров следить за российским рынком с помощью OSINT, анализируя информацию с киберконференций и изучая государственные контракты.
Он также утверждает, что разработчики Astra Linux имеют меньше возможностей для тестирования и защиты своего кода из-за отсутствия широкой аудитории.
Подробнее: https://extrim-security.ru/news-ib/tpost/2z6kpo6ae1-kak-ssha-predlagayut-sledit-za-rossiei-c
extrim-security.ru
Как США предлагают следить за Россией через OSINT
На прошлой неделе в CFR была опубликована статья посвященная импортозамещению в РФ. В ней призвали использовать разведку для изучения защищенности Astra Linux