По меньшей мере два разных злоумышленника используют новый метод обхода защиты, называемый подменой идентификатора клиента OAuth, для валидации украденных учетных данных Microsoft Entra, уклоняясь при этом от сбора телеметрии.
Метод позволяет перечислять учетные записи и проверять украденные учетные данные в средах Microsoft Entra ID, не генерируя при этом событие успешного входа в систему, которое в противном случае привлекло бы внимание специалистов по защите.
Злоумышленники начали использовать эту уязвимость для получения несанкционированного доступа к облачным сервисам организации.
Как отмечают в Proofpoint, это «слепое пятно» в телеметрии входа в облако: Entra ID возвращает разные ответы об ошибках в зависимости от того, действителен ли предоставленный идентификатор клиента OAuth.
Злоумышленники используют это для определения действительных имен пользователей и правильных паролей в больших масштабах, фактически проверяя украденные списки учетных данных без регистрации успешного входа в систему.
Другими словами, атаки используют идентификатор клиента OAuth, глобально уникальный идентификатор (GUID), присваиваемый приложениям при запросе доступа к пользовательским данным и передаваемый в качестве client_id в запросах аутентификации.
Предоставляя фейковые идентификаторы клиентов, злоумышленники могут перечислять учетные записи без зарегистрированного приложения OAuth и определять действительность как пароля, так и учетной записи, не генерируя событие успешного входа в систему.
Журналы входа в систему Entra являются основным источником телеметрии для выявления вредоносной активности аутентификации, включая перечисление пользователей, подбор паролей и первоначальные попытки доступа.
При этом такие кластеры угроз, как UNK_CustomCloak манипулируют строками User-Agent для брут-атак на среды Microsoft Entra ID, используя устаревшее приложение Windows Live Custom Domains, обходя стандартные ограничения на вход в систему и проверяя пароли пользователей в объемах более чем 4000 учетных записей.
Однако последние попытки знаменуют демонстрируют совершенствование этого метода, реализуя подмену идентификаторов клиентов OAuth посредством HTTP POST-запросов к конечной точке токена OAuth 2.0 от Microsoft с использованием потока учетных данных владельца ресурса (ROPC).
В частности, это включает в себя предоставление синтаксически корректного идентификатора клиента, но такого, который не соответствует реальному приложению.
В таких сценариях в журнале входа в Entra записывается только идентификатор приложения без соответствующего имени приложения. Ответ, содержащий код ошибки службы токенов безопасности Azure Active Directory (AADSTS), затем можно использовать для определения того, существует ли учетная запись и правилен ли пароль, даже если приложение не зарегистрировано.
Proofpoint выявила две крупные кампании, которые независимо друг от друга использовали эту технику в конце декабря 2025 года:
- UNK_pyreq2323 (с января по март 2026), использовавший более 700 000 поддельных идентификаторов клиентов из инфраструктуры Amazon Web Services (AWS) для атаки на более чем 1 млн. учетных записей в почти 4000 клиентах.
- UNK_OutFlareAZ (начиная с декабря 2025), в рамках которого использовалась инфраструктура Cloudflare для атаки на более чем 2 млн. пользователей с помощью 3,7 млн. случайных поддельных идентификаторов приложений.
В обеих кампаниях использовались действительные UUID и были выявлены закономерности, соответствующие предварительно составленным спискам имен пользователей.
Однако, если в UNK_OutFlareAZ пользователи нумеровались в алфавитном порядке, то в UNK_pyreq2323 этого не делалось. Еще одно различие заключалось в способе подмены идентификаторов клиентов.
UNK_pyreq2323 изменил последние цифры известного идентификатора приложения, а затем повторно использовал поддельные идентификаторы для 12 пользователей. В отличие от него, UNK_OutFlareAZ генерировал уникальный идентификатор клиента для каждого запроса.
Метод позволяет перечислять учетные записи и проверять украденные учетные данные в средах Microsoft Entra ID, не генерируя при этом событие успешного входа в систему, которое в противном случае привлекло бы внимание специалистов по защите.
Злоумышленники начали использовать эту уязвимость для получения несанкционированного доступа к облачным сервисам организации.
Как отмечают в Proofpoint, это «слепое пятно» в телеметрии входа в облако: Entra ID возвращает разные ответы об ошибках в зависимости от того, действителен ли предоставленный идентификатор клиента OAuth.
Злоумышленники используют это для определения действительных имен пользователей и правильных паролей в больших масштабах, фактически проверяя украденные списки учетных данных без регистрации успешного входа в систему.
Другими словами, атаки используют идентификатор клиента OAuth, глобально уникальный идентификатор (GUID), присваиваемый приложениям при запросе доступа к пользовательским данным и передаваемый в качестве client_id в запросах аутентификации.
Предоставляя фейковые идентификаторы клиентов, злоумышленники могут перечислять учетные записи без зарегистрированного приложения OAuth и определять действительность как пароля, так и учетной записи, не генерируя событие успешного входа в систему.
Журналы входа в систему Entra являются основным источником телеметрии для выявления вредоносной активности аутентификации, включая перечисление пользователей, подбор паролей и первоначальные попытки доступа.
При этом такие кластеры угроз, как UNK_CustomCloak манипулируют строками User-Agent для брут-атак на среды Microsoft Entra ID, используя устаревшее приложение Windows Live Custom Domains, обходя стандартные ограничения на вход в систему и проверяя пароли пользователей в объемах более чем 4000 учетных записей.
Однако последние попытки знаменуют демонстрируют совершенствование этого метода, реализуя подмену идентификаторов клиентов OAuth посредством HTTP POST-запросов к конечной точке токена OAuth 2.0 от Microsoft с использованием потока учетных данных владельца ресурса (ROPC).
В частности, это включает в себя предоставление синтаксически корректного идентификатора клиента, но такого, который не соответствует реальному приложению.
В таких сценариях в журнале входа в Entra записывается только идентификатор приложения без соответствующего имени приложения. Ответ, содержащий код ошибки службы токенов безопасности Azure Active Directory (AADSTS), затем можно использовать для определения того, существует ли учетная запись и правилен ли пароль, даже если приложение не зарегистрировано.
Proofpoint выявила две крупные кампании, которые независимо друг от друга использовали эту технику в конце декабря 2025 года:
- UNK_pyreq2323 (с января по март 2026), использовавший более 700 000 поддельных идентификаторов клиентов из инфраструктуры Amazon Web Services (AWS) для атаки на более чем 1 млн. учетных записей в почти 4000 клиентах.
- UNK_OutFlareAZ (начиная с декабря 2025), в рамках которого использовалась инфраструктура Cloudflare для атаки на более чем 2 млн. пользователей с помощью 3,7 млн. случайных поддельных идентификаторов приложений.
В обеих кампаниях использовались действительные UUID и были выявлены закономерности, соответствующие предварительно составленным спискам имен пользователей.
Однако, если в UNK_OutFlareAZ пользователи нумеровались в алфавитном порядке, то в UNK_pyreq2323 этого не делалось. Еще одно различие заключалось в способе подмены идентификаторов клиентов.
UNK_pyreq2323 изменил последние цифры известного идентификатора приложения, а затем повторно использовал поддельные идентификаторы для 12 пользователей. В отличие от него, UNK_OutFlareAZ генерировал уникальный идентификатор клиента для каждого запроса.
Proofpoint
OAuth Client ID Spoofing: Why Fake Client IDs Are Gaining Traction for Stealthy Enumeration | Proofpoint US
Key Takeaways Proofpoint has observed OAuth client ID spoofing emerging as a novel technique, increasingly leveraged in cloud campaigns. Microsoft Entra ID returns different responses
В киберподполье, по всей видимости, засветилась база данных, содержащая 182 млн. записей о пользователях телеги с личными идентификаторами.
Как передает Cybernews, злоумышленники выставили на продажу в даркнете текстовый файл размером 41,1 ГБ и предоставил 60 образцов записей, которые принадлежат преимущественно русскоязычным пользователям и могли быть собраны из онлайн-сервисов или ТГ-каналов, а не из единого источника.
Выборка включает следующие данные: имена пользователей, номера телефонов, идентификаторы пользователей, а в некоторых случаях - полные имена.
Однако, на основании предоставленных образцов данных, как отмечают исследователи, перепроверить заявленный объем невозможно.
Как передает Cybernews, злоумышленники выставили на продажу в даркнете текстовый файл размером 41,1 ГБ и предоставил 60 образцов записей, которые принадлежат преимущественно русскоязычным пользователям и могли быть собраны из онлайн-сервисов или ТГ-каналов, а не из единого источника.
Выборка включает следующие данные: имена пользователей, номера телефонов, идентификаторы пользователей, а в некоторых случаях - полные имена.
Однако, на основании предоставленных образцов данных, как отмечают исследователи, перепроверить заявленный объем невозможно.
Cybernews
Telegram dataset for sale: millions of users in peril | Cybernews
A threat actor is selling a 41GB database allegedly containing 182 million user records exfiltrated from Telegram.
Microsoft выкатила рекордный PatchTuesday за июль 2026 года с исправлениями для 570 уязвимостей, включая две 0-day, используемые в атаках, и одну, публично раскрытую.
В рамках обновления PatchTuesday устранено 59 критических уязвимостей, 48 из которых представляют собой RCE, 9 - EoP, 1 - обход системы безопасности и 1 - подмену IP.
Распределение исправленных проблем по категориям представлено следующим образом: 254 - EoP, 17 - обход функции безопасности, 145 - RCE, 102 - раскрытие информации, 35 - DoS и 16 - подмена данных.
В число выявленных уязвимостей не вошли ошибки в Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge для Android и Microsoft Entra Provisioning Service, которые были исправлены Microsoft ранее в этом месяце.
Также в этом месяце Google исправила 468 серьезных уязвимостей в Microsoft Edge/Chromium, которые также не были включены в PatchTuesday.
На прошлой неделе Microsoft предупредила об увеличении количества исправлений в рамках PatchTuesday, поскольку начала использовать систему обнаружения уязвимостей в коде Windows на основе ИИ.
В числе названных микромягкие закрыли три нуля, два из которых использовались в атаках, а одна была публично раскрыта. Среди первых двух:
- CVE-2026-56155: уязвимость повышения привилегий в службах федерации Active Directory.
Недостаточная детализация контроля доступа в Active Directory Federation Services (AD FS) позволяет авторизованному злоумышленнику повысить привилегии локально.
Обнаружение приписывается экспертам из группы обнаружения и реагирования Microsoft (DART), которые выявили проблемы, по всей видимости, в ходе расследования активных атак. Однако Microsoft не раскрыла подробностей о том, как именно была использована уязвимость.
- CVE-2026-56164: уязвимость повышения привилегий в Microsoft SharePoint Server.
Как отмечает Microsoft, отсутствие аутентификации для критически важных функций в Microsoft Office SharePoint позволяет неавторизованному злоумышленнику повысить свои привилегии в сети.
Включение интерфейса сканирования вредоносных программ (AMSI) на сервере и установка режима сканирования тела запроса на «Полный» позволяет устранить эту уязвимость. Подробности о том, как именно эта уязвимость была использована в атаках, также пока не разглашаются.
Microsoft приписала обнаружение исследователям Mandiant Incident Response, Google Cloud, FLARE OTF, а также еще одному анонимному исследователю.
И, наконец, третья публично обнародованная 0-day - это CVE-2026-50661, которая представляет собой уязвимость обхода функции безопасности BitLocker в Windows и позволяет злоумышленникам, имеющим физический доступ к целевому объекту, расшифровать данные на системном запоминающем устройстве. Обнаружение приписывается анонимному исследователю.
Полное описание каждой уязвимости и затронутых ею систем - здесь.
В рамках обновления PatchTuesday устранено 59 критических уязвимостей, 48 из которых представляют собой RCE, 9 - EoP, 1 - обход системы безопасности и 1 - подмену IP.
Распределение исправленных проблем по категориям представлено следующим образом: 254 - EoP, 17 - обход функции безопасности, 145 - RCE, 102 - раскрытие информации, 35 - DoS и 16 - подмена данных.
В число выявленных уязвимостей не вошли ошибки в Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge для Android и Microsoft Entra Provisioning Service, которые были исправлены Microsoft ранее в этом месяце.
Также в этом месяце Google исправила 468 серьезных уязвимостей в Microsoft Edge/Chromium, которые также не были включены в PatchTuesday.
На прошлой неделе Microsoft предупредила об увеличении количества исправлений в рамках PatchTuesday, поскольку начала использовать систему обнаружения уязвимостей в коде Windows на основе ИИ.
В числе названных микромягкие закрыли три нуля, два из которых использовались в атаках, а одна была публично раскрыта. Среди первых двух:
- CVE-2026-56155: уязвимость повышения привилегий в службах федерации Active Directory.
Недостаточная детализация контроля доступа в Active Directory Federation Services (AD FS) позволяет авторизованному злоумышленнику повысить привилегии локально.
Обнаружение приписывается экспертам из группы обнаружения и реагирования Microsoft (DART), которые выявили проблемы, по всей видимости, в ходе расследования активных атак. Однако Microsoft не раскрыла подробностей о том, как именно была использована уязвимость.
- CVE-2026-56164: уязвимость повышения привилегий в Microsoft SharePoint Server.
Как отмечает Microsoft, отсутствие аутентификации для критически важных функций в Microsoft Office SharePoint позволяет неавторизованному злоумышленнику повысить свои привилегии в сети.
Включение интерфейса сканирования вредоносных программ (AMSI) на сервере и установка режима сканирования тела запроса на «Полный» позволяет устранить эту уязвимость. Подробности о том, как именно эта уязвимость была использована в атаках, также пока не разглашаются.
Microsoft приписала обнаружение исследователям Mandiant Incident Response, Google Cloud, FLARE OTF, а также еще одному анонимному исследователю.
И, наконец, третья публично обнародованная 0-day - это CVE-2026-50661, которая представляет собой уязвимость обхода функции безопасности BitLocker в Windows и позволяет злоумышленникам, имеющим физический доступ к целевому объекту, расшифровать данные на системном запоминающем устройстве. Обнаружение приписывается анонимному исследователю.
Полное описание каждой уязвимости и затронутых ею систем - здесь.
Forwarded from Social Engineering
• Очень объемное руководство по обеспечению безопасности сервера GNU/Linux. Отличный материал, который можно использовать как чек-лист. Основные темы:
➡ SSH Server;
➡ The Network;
➡ The Auditing;
➡ The Danger Zone;
➡ The Miscellaneous.
➡ https://github.com/How-To-Secure-A-Linux-Server
S.E. ▪️ infosec.work ▪️ VT
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
SonicWall предупреждает клиентов об атаках на SMA1000 с использованием двух 0-day, которые отслеживаются как CVE-2026-15409 и CVE-2026-15410.
CVE-2026-15409 - это критическая (CVSS 10.0) SSRF-уязвимость в интерфейсе SMA1000 Appliance Work Place, которая позволяет удаленному неаутентифицированному злоумышленнику заставить устройство отправлять запросы в непредусмотренные места.
CVE-2026-15410 представляет собой уязвимость высокой степени серьезности (CVSS 7.2), связанную с внедрением кода после аутентификации в консоли управления устройством SMA1000, которая предоставляет удаленному авторизованному администратору возможность выполнять произвольные команды ОС.
Несмотря на то, что для уязвимости CVE-2026-15410 требуются права администратора, SonicWall присвоила этому уведомлению общую оценку CVSS 10,0.
В SonicWall PSIRT провели расследование нескольких инцидентов и подтвердили, что обе уязвимости активно используются злоумышленниками. Однако не сообщила, объединяют ли злоумышленники эти проблемы в цепочку.
Компания настоятельно рекомендует пользователям как можно скорее обновить систему до версии с исправлением, чтобы устранить эти уязвимости.
Уязвимости затрагивают модели SMA1000 6210, 7210 и 8200v, работающие под управлением исправлений платформы версий 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 и 12.5.0-02800. Исправления доступны в версиях 12.4.3-03453 и 12.5.0-02835, а также в более поздних.
При этом как заявляет SonicWall, уязвимости не влияют на работу SSL-VPN на межсетевых экранах SonicWall или продуктах серии SMA 100.
Компания также поделилась IOCs, которые администраторы могут использовать для определения того, было ли устройство скомпрометировано, в частности:
- Если в файле extraweb_access.log упоминаются запросы к /__api__/login или /__api__/logout со статусом HTTP 200;
- Если в файле extraweb_access.log упоминаются запросы к /wsproxy с подозрительными параметрами хоста и HTTP-статусом 101;
- Если в файле ctrl-service.log упоминаются откаты исправлений с именами, полученными путем обхода пути;
- Если файл /var/lib/unit/conf.json содержит маршруты для /__api__/login или /__api__/logout (эти URI отсутствуют в допустимой конфигурации).
В случае обнаружения взлома устройства SonicWall рекомендует администраторам переустановить ОС на физических устройствах или повторно развернуть виртуальные устройства, изменить все пароли пользователей и администраторов, а также сбросить токены TOTP.
Причем помимо установки исправлений, других способов устранения этих уязвимостей нет. CISA добавила обе уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV), подтвердив, что они активно используются в атаках.
CVE-2026-15409 - это критическая (CVSS 10.0) SSRF-уязвимость в интерфейсе SMA1000 Appliance Work Place, которая позволяет удаленному неаутентифицированному злоумышленнику заставить устройство отправлять запросы в непредусмотренные места.
CVE-2026-15410 представляет собой уязвимость высокой степени серьезности (CVSS 7.2), связанную с внедрением кода после аутентификации в консоли управления устройством SMA1000, которая предоставляет удаленному авторизованному администратору возможность выполнять произвольные команды ОС.
Несмотря на то, что для уязвимости CVE-2026-15410 требуются права администратора, SonicWall присвоила этому уведомлению общую оценку CVSS 10,0.
В SonicWall PSIRT провели расследование нескольких инцидентов и подтвердили, что обе уязвимости активно используются злоумышленниками. Однако не сообщила, объединяют ли злоумышленники эти проблемы в цепочку.
Компания настоятельно рекомендует пользователям как можно скорее обновить систему до версии с исправлением, чтобы устранить эти уязвимости.
Уязвимости затрагивают модели SMA1000 6210, 7210 и 8200v, работающие под управлением исправлений платформы версий 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 и 12.5.0-02800. Исправления доступны в версиях 12.4.3-03453 и 12.5.0-02835, а также в более поздних.
При этом как заявляет SonicWall, уязвимости не влияют на работу SSL-VPN на межсетевых экранах SonicWall или продуктах серии SMA 100.
Компания также поделилась IOCs, которые администраторы могут использовать для определения того, было ли устройство скомпрометировано, в частности:
- Если в файле extraweb_access.log упоминаются запросы к /__api__/login или /__api__/logout со статусом HTTP 200;
- Если в файле extraweb_access.log упоминаются запросы к /wsproxy с подозрительными параметрами хоста и HTTP-статусом 101;
- Если в файле ctrl-service.log упоминаются откаты исправлений с именами, полученными путем обхода пути;
- Если файл /var/lib/unit/conf.json содержит маршруты для /__api__/login или /__api__/logout (эти URI отсутствуют в допустимой конфигурации).
В случае обнаружения взлома устройства SonicWall рекомендует администраторам переустановить ОС на физических устройствах или повторно развернуть виртуальные устройства, изменить все пароли пользователей и администраторов, а также сбросить токены TOTP.
Причем помимо установки исправлений, других способов устранения этих уязвимостей нет. CISA добавила обе уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV), подтвердив, что они активно используются в атаках.
Как и ожидалось, анонимный исследователь Chaotic Eclipse (Nightmare-Eclipse) выпустил новый PoC-эксплойт LegacyHive для очередной 0-day спустя несколько часов после выхода июльского PatchTuesday.
На этот раз это уязвимость, позволяющая произвольно загружать раздел реестра и повышать привилегии в службе профилей пользователей Windows.
Служба профилей пользователей Windows, также известная как ProfSvc, является основным системным компонентом, управляющим учетными записями пользователей и средами.
Как отмечает Chaotic Eclipse, для проверки концепции требуется еще одни стандартные учетные данные пользователя и третье имя пользователя (которое может быть учетной записью администратора). В случае успеха она в конечном итоге смонтирует раздел реестра целевого пользователя в корневой каталог текущих классов пользователей.
Исследователь заявил, что эксплойт был упрощен, чтобы предотвратить его публичное использование, добавив, что первоначальный эксплойт не требовал дополнительных учетных данных пользователя и не ограничивался разделом usrclass.dat.
Примечательно, что это обновление работает на всех поддерживаемых версиях Windows для настольных компьютеров и серверов с последними обновлениями PatchTuesday за июль 2026 года.
Батл между Chaotic Eclipse и Microsoft продолжается как минимум с апреля 2026 года. Исследователь публиковал подробности многочисленных уязвимостей ещё до того, как микромягкие успевали их исправить в ответ на некорректную практику раскрытия уязвимостей последних.
Причем три из них в Microsoft Defender были активно использованы вскоре после их публичного раскрытия. Ранее в этом месяце Microsoft выпустила обновления для еще одной уязвимости Defender, известной как RoguePlanet, о которой сообщил исследователь.
Однако выяснилось, что недавно выпущенные «углубленные обновления защиты» для устранения этой уязвимости могут привести к утечке 8 байт данных Microsoft Defender при попытке открыть файл в определенных сценариях.
На текущий момент Microsoft инициировала расследование по поводу новой LegacyHive. Так что игра в догонялки продолжается и вряд ли закончится в ближайшее время. Но в любом расследовании, как говорят, главное не выйти на самих себя, так что будем следить.
На этот раз это уязвимость, позволяющая произвольно загружать раздел реестра и повышать привилегии в службе профилей пользователей Windows.
Служба профилей пользователей Windows, также известная как ProfSvc, является основным системным компонентом, управляющим учетными записями пользователей и средами.
Как отмечает Chaotic Eclipse, для проверки концепции требуется еще одни стандартные учетные данные пользователя и третье имя пользователя (которое может быть учетной записью администратора). В случае успеха она в конечном итоге смонтирует раздел реестра целевого пользователя в корневой каталог текущих классов пользователей.
Исследователь заявил, что эксплойт был упрощен, чтобы предотвратить его публичное использование, добавив, что первоначальный эксплойт не требовал дополнительных учетных данных пользователя и не ограничивался разделом usrclass.dat.
Примечательно, что это обновление работает на всех поддерживаемых версиях Windows для настольных компьютеров и серверов с последними обновлениями PatchTuesday за июль 2026 года.
Батл между Chaotic Eclipse и Microsoft продолжается как минимум с апреля 2026 года. Исследователь публиковал подробности многочисленных уязвимостей ещё до того, как микромягкие успевали их исправить в ответ на некорректную практику раскрытия уязвимостей последних.
Причем три из них в Microsoft Defender были активно использованы вскоре после их публичного раскрытия. Ранее в этом месяце Microsoft выпустила обновления для еще одной уязвимости Defender, известной как RoguePlanet, о которой сообщил исследователь.
Однако выяснилось, что недавно выпущенные «углубленные обновления защиты» для устранения этой уязвимости могут привести к утечке 8 байт данных Microsoft Defender при попытке открыть файл в определенных сценариях.
На текущий момент Microsoft инициировала расследование по поводу новой LegacyHive. Так что игра в догонялки продолжается и вряд ли закончится в ближайшее время. Но в любом расследовании, как говорят, главное не выйти на самих себя, так что будем следить.
blog.projectnightcrawler.dev
LegacyHive public disclosure – PNC Blog
A blog for researchers and open source contributors
Mindgard сообщает, что до сих пор неисправленная уязвимость в Cursor на Windows может привести к выполнению кода, когда разработчик открывает репозиторий в приложении.
Cursor - одна из самых популярных сред разработки с использованием ИИ, насчитывающая более 7 млн. активных пользователей.
Уязвимость в системе безопасности проста: при открытии репозитория Cursor автоматически запускал вредоносный исполняемый файл git.exe в корневой директории проекта, не предупреждая пользователя и не запрашивая его разрешения.
Уязвимость не является теоретической и не зависит от сложной цепочки эксплуатации, внедрения уязвимостей, манипулирования моделями, взлома системы, повреждения памяти или изощренных методов злоумышленника.
Для эксплуатации достаточно просто открыть проект, содержащий исполняемый файл git.exe, в корневом каталоге репозитория.
По данным Mindgard, проблема обусловлена тем, что при загрузке проекта Cursor ищет исполняемые файлы Git в нескольких местах, включая само рабочее пространство.
Если злоумышленник внедрит вредоносный файл git.exe в корневой каталог репозитория, Cursor автоматически запустит его в рамках своей логики разрешения путей без предупреждения, одобрения или даже указания на то, что исполняемый файл из репозитория собирается быть запущен.
Mindgard публично сообщила об уязвимости после того, как 15 декабря 2025 года уведомила об этом компанию Cursor, но в течение семи месяцев не получила никакого ответа относительно возможного обновления.
В компании заявляют, что в январе директор по ИБ Cursor пригласил Mindgard принять участие в программе поиска уязвимостей на HackerOne, где обнаруженная уязвимость была повторно зарегистрирована и подтверждена как воспроизводимая, но ответа от Cursor они так и не получили.
Cursor - одна из самых популярных сред разработки с использованием ИИ, насчитывающая более 7 млн. активных пользователей.
Уязвимость в системе безопасности проста: при открытии репозитория Cursor автоматически запускал вредоносный исполняемый файл git.exe в корневой директории проекта, не предупреждая пользователя и не запрашивая его разрешения.
Уязвимость не является теоретической и не зависит от сложной цепочки эксплуатации, внедрения уязвимостей, манипулирования моделями, взлома системы, повреждения памяти или изощренных методов злоумышленника.
Для эксплуатации достаточно просто открыть проект, содержащий исполняемый файл git.exe, в корневом каталоге репозитория.
По данным Mindgard, проблема обусловлена тем, что при загрузке проекта Cursor ищет исполняемые файлы Git в нескольких местах, включая само рабочее пространство.
Если злоумышленник внедрит вредоносный файл git.exe в корневой каталог репозитория, Cursor автоматически запустит его в рамках своей логики разрешения путей без предупреждения, одобрения или даже указания на то, что исполняемый файл из репозитория собирается быть запущен.
Mindgard публично сообщила об уязвимости после того, как 15 декабря 2025 года уведомила об этом компанию Cursor, но в течение семи месяцев не получила никакого ответа относительно возможного обновления.
В компании заявляют, что в январе директор по ИБ Cursor пригласил Mindgard принять участие в программе поиска уязвимостей на HackerOne, где обнаруженная уязвимость была повторно зарегистрирована и подтверждена как воспроизводимая, но ответа от Cursor они так и не получили.
mindgard.ai
Cursor 0day: When Full Disclosure Becomes the Only Protection Left - Mindgard
The vulnerability nobody seems interested in fixing
Исследователи Лаборатории Касперского обнаружили новую APT-атаку с использованием ранее неизвестного инструментария, которая началась как минимум в мае 2026 года и остается активной на момент публикации.
Кампания получила условное наименование HelloNet и включает в себя новые вредоносные модули, которые запускаются через систему обновления ViPNet (программный комплекс для создания защищенных сетей).
В ходе исследования в ЛК выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности.
Причем это уже не первый случай, когда APT-группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году был детектирован сложный бэкдор, мимикрирующий под обновления ViPNet.
Возвращаясь к HelloNet, в одной из проанализированных систем специалисты выявили вредоносный файл c именем wtsapi32.dll в директории, которая относится к системе обновления комплекса ViPNet.
Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading - ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте ОС.
Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.
Wtsapi32.dll является загрузчиком, который был назван HelloInjector. Его основная цель - внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку.
После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в ОС.
Он ищет процесс, имя которого содержит строку svchost, а командная строка - строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.
После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.
Вредоносная нагрузка, которую назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер.
Работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown, который осуществляется с помощью Microsoft библиотеки Detours. После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера.
В ходе исследования ЛК удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:
- Имплант, который назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
- Модуль для очистки файлов журналов ПО ViPNet, который был назван HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.
Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который в ЛК назвали HelloBackdoor.
В настоящее время в ЛК с низкой долей уверенности связывают данную кампанию с деятельностью неизвестной китайскоязычной APT. Все технические подробности и IOCs - в отчете.
Кампания получила условное наименование HelloNet и включает в себя новые вредоносные модули, которые запускаются через систему обновления ViPNet (программный комплекс для создания защищенных сетей).
В ходе исследования в ЛК выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности.
Причем это уже не первый случай, когда APT-группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году был детектирован сложный бэкдор, мимикрирующий под обновления ViPNet.
Возвращаясь к HelloNet, в одной из проанализированных систем специалисты выявили вредоносный файл c именем wtsapi32.dll в директории, которая относится к системе обновления комплекса ViPNet.
Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading - ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте ОС.
Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.
Wtsapi32.dll является загрузчиком, который был назван HelloInjector. Его основная цель - внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку.
После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в ОС.
Он ищет процесс, имя которого содержит строку svchost, а командная строка - строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.
После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.
Вредоносная нагрузка, которую назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер.
Работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown, который осуществляется с помощью Microsoft библиотеки Detours. После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера.
В ходе исследования ЛК удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:
- Имплант, который назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
- Модуль для очистки файлов журналов ПО ViPNet, который был назван HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.
Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который в ЛК назвали HelloBackdoor.
В настоящее время в ЛК с низкой долей уверенности связывают данную кампанию с деятельностью неизвестной китайскоязычной APT. Все технические подробности и IOCs - в отчете.
ESET предупреждает, что около десятка уязвимых загрузчиков UEFI (Unified Extensible Firmware Interface), подписанных Microsoft, позволяют злоумышленникам обходить защиту Secure Boot.
Небольшие, заслуживающие доверия программные компоненты обеспечивают связь между микропрограммой UEFI материнской платы компьютера и операционной системой, как правило, дистрибутивом Linux, позволяя компьютеру загружаться с включенной функцией Secure Boot.
Используя загрузчики UEFI с цифровой подписью от Microsoft, дистрибутивы Linux могут установить модель доверия без необходимости встраивания отдельных ключей в NVRAM материнской платы.
Несмотря на устранение различных уязвимостей, не все поставщики обновили свои загрузчики. Она оставались подписанными и доверенными в цепочке безопасной загрузки, что делало системы уязвимыми для потенциальных атак.
По данным ESET, 11 таких «забытых» загрузчиков, в основном из версии 0.9 и более ранних, оставались активными до тех пор, пока Microsoft не удалила их в рамках обновления PatchTuesday в июне 2026 года. Были присвоены два CVE: CVE-2026-8863 и CVE-2026-10797.
По данным ESET, уязвимые модули могут быть использованы для «обхода безопасной загрузки UEFI на любой машине, которая доверяет стороннему сертификату центра сертификации UEFI Microsoft Corporation UEFI CA 2011, независимо от установленной ОС.
Эти уязвимые модули, поступающие из различных инструментов и пакетов, расширяют поверхность атаки за счет своих доверенных загрузчиков второго этапа. Кроме того, злоумышленники могут использовать свои собственные уязвимые модули в системах, в которых зарегистрирован сторонний сертификат UEFI от Microsoft.
Временные метки подписи и компиляции приложений, которым доверяли обнаруженные вредоносные ПО, охватывают период с 2013 по 2025 год - этого достаточно, чтобы подтвердить, что значительная часть этих бинарных файлов устарела и, вероятно, подвержена многочисленным общеизвестным уязвимостям, таким как BootHole в случае GRUB2.
Постоянное доверие к этим старым, уязвимым модулям позволяет злоумышленникам выполнять недоверенный код во время процесса загрузки и развертывать буткиты, даже если включена функция безопасной загрузки.
В феврале 2026 года ESET сообщила о результатах расследования в CERT/CC. В июне Microsoft аннулировала все уязвимые приложения и добавила их в базу данных запрещенных подписей UEFI (DBX). По данным CERT/CC, системные администраторы должны обновить базу данных подписей (DB) перед применением аннулирования DBX.
На практике это означает, что сначала необходимо обновить доверенные загрузочные приложения и сертификаты, а затем развернуть список отозванных сертификатов. Несоблюдение этого порядка может привести к тому, что системы отклонят обновленные компоненты загрузки.
Как отмечают в CERT/CC, предприятиям, поставщикам виртуализации и операторам облачных сервисов, управляющим крупными развертываниями, следует уделять приоритетное внимание проверке и развертыванию этих обновлений, чтобы предотвратить выполнение уязвимых или неподписанных бинарных файлов во время запуска физических или виртуальных машин.
Начиная с 2017 года, промежуточные продукты (shims) подписываются и документируются после процесса проверки, но те, которые были одобрены до этого времени, не документируются, и многие старые, все еще пользующиеся доверием промежуточные продукты могут оставаться, потенциально подвергая системы атакам.
Небольшие, заслуживающие доверия программные компоненты обеспечивают связь между микропрограммой UEFI материнской платы компьютера и операционной системой, как правило, дистрибутивом Linux, позволяя компьютеру загружаться с включенной функцией Secure Boot.
Используя загрузчики UEFI с цифровой подписью от Microsoft, дистрибутивы Linux могут установить модель доверия без необходимости встраивания отдельных ключей в NVRAM материнской платы.
Несмотря на устранение различных уязвимостей, не все поставщики обновили свои загрузчики. Она оставались подписанными и доверенными в цепочке безопасной загрузки, что делало системы уязвимыми для потенциальных атак.
По данным ESET, 11 таких «забытых» загрузчиков, в основном из версии 0.9 и более ранних, оставались активными до тех пор, пока Microsoft не удалила их в рамках обновления PatchTuesday в июне 2026 года. Были присвоены два CVE: CVE-2026-8863 и CVE-2026-10797.
По данным ESET, уязвимые модули могут быть использованы для «обхода безопасной загрузки UEFI на любой машине, которая доверяет стороннему сертификату центра сертификации UEFI Microsoft Corporation UEFI CA 2011, независимо от установленной ОС.
Эти уязвимые модули, поступающие из различных инструментов и пакетов, расширяют поверхность атаки за счет своих доверенных загрузчиков второго этапа. Кроме того, злоумышленники могут использовать свои собственные уязвимые модули в системах, в которых зарегистрирован сторонний сертификат UEFI от Microsoft.
Временные метки подписи и компиляции приложений, которым доверяли обнаруженные вредоносные ПО, охватывают период с 2013 по 2025 год - этого достаточно, чтобы подтвердить, что значительная часть этих бинарных файлов устарела и, вероятно, подвержена многочисленным общеизвестным уязвимостям, таким как BootHole в случае GRUB2.
Постоянное доверие к этим старым, уязвимым модулям позволяет злоумышленникам выполнять недоверенный код во время процесса загрузки и развертывать буткиты, даже если включена функция безопасной загрузки.
В феврале 2026 года ESET сообщила о результатах расследования в CERT/CC. В июне Microsoft аннулировала все уязвимые приложения и добавила их в базу данных запрещенных подписей UEFI (DBX). По данным CERT/CC, системные администраторы должны обновить базу данных подписей (DB) перед применением аннулирования DBX.
На практике это означает, что сначала необходимо обновить доверенные загрузочные приложения и сертификаты, а затем развернуть список отозванных сертификатов. Несоблюдение этого порядка может привести к тому, что системы отклонят обновленные компоненты загрузки.
Как отмечают в CERT/CC, предприятиям, поставщикам виртуализации и операторам облачных сервисов, управляющим крупными развертываниями, следует уделять приоритетное внимание проверке и развертыванию этих обновлений, чтобы предотвратить выполнение уязвимых или неподписанных бинарных файлов во время запуска физических или виртуальных машин.
Начиная с 2017 года, промежуточные продукты (shims) подписываются и документируются после процесса проверки, но те, которые были одобрены до этого времени, не документируются, и многие старые, все еще пользующиеся доверием промежуточные продукты могут оставаться, потенциально подвергая системы атакам.
Welivesecurity
Forgotten UEFI shims undermining Secure Boot
ESET researchers discovered 11 vulnerable UEFI shim bootloaders signed by Microsoft that allow attackers to bypass UEFI Secure Boot by exploiting decade-old vulnerabilities.
Новая вредоносная программа-вымогатель под названием Spirals использовалась в атаке, в рамках которой операторам удалось провернуть делягу от первоначального доступа до кражи и шифрования данных менее чем за 24 часа.
Атака произошла в июне и затронула ИТ-компанию в Южной Азии через взлом сервера Internet Information Services (IIS), открытого в сеть Интернет.
Исследователи Symantec Threat Hunter утверждают, что злоумышленник действовал быстро после получения первоначального доступа и загрузки веб-оболочки ASP.NET.
Затем оператор Spirals обошел контроль учетных записей пользователей (UAC), включил удаленный рабочий стол и создал локальную учетную запись для обеспечения постоянного доступа.
Злоумышленник также выгрузил содержимое раздела реестра SAM и память процесса LSASS в попытке извлечь учетные данные.
Он пытался удалить ПО безопасности с хостов, использовал WMI для распространения атаки на более чем десяток систем и создал резервные каналы удаленного доступа с помощью revsocks, Chisel и туннелей Cloudflare.
В ходе выполнения вредоносной ПО PowerShell был отключен Microsoft Defender, удалены его базы данных угроз и остановлены службы, связанные с 23 продуктами для резервного копирования, баз данных и виртуализации, включая Veeam, VMware, Hyper-V, SQL Server, Oracle и PostgreSQL, в рамках подготовки к этапу шифрования.
Как сообщает Symantec, развертывание вредоносной ПО Spirals произошло менее чем через 24 часа после первоначального взлома.
Оператор начал развертывать ransomware в сети жертвы, используя PsExec, запущенный от имени SYSTEM. Вредоносная ПО получила название bitsadmin.exe, вероятно, для того, чтобы замаскироваться под легитимную утилиту Windows, связанную с фоновой интеллектуальной службой передачи данных.
Spirals - это штамм программ-вымогателей на языке Rust, использующее ключи AES-128, защищенные открытым ключом ECDH P-256, контролируемым злоумышленником.
Программа-вымогатель использует периодическое шифрование файлов размером более 5 МБ для ускорения процесса. На диск C:\ помещается записка с требованием выкупа под названием RECOVERY_SECTION.log, содержащая инструкции по ведению переговоров о выкупе.
Пострадавшим угрожают публичной публикацией украденных данных в течение шести дней, если злоумышленнику не будет выплачено вознаграждение.
Несмотря на наличие DLS, Symantec обнаружила Spirals лишь в одном случае, поэтому неясно, предназначено ли новое семейство для более широкого применения или это была специально разработанная полезная нагрузка для этой атаки на компанию, предоставляющую ИТ-услуги.
В отчете Symantec представлены сетевые индикаторы и хеши файлов, связанные с задокументированной атакой Spirals.
Атака произошла в июне и затронула ИТ-компанию в Южной Азии через взлом сервера Internet Information Services (IIS), открытого в сеть Интернет.
Исследователи Symantec Threat Hunter утверждают, что злоумышленник действовал быстро после получения первоначального доступа и загрузки веб-оболочки ASP.NET.
Затем оператор Spirals обошел контроль учетных записей пользователей (UAC), включил удаленный рабочий стол и создал локальную учетную запись для обеспечения постоянного доступа.
Злоумышленник также выгрузил содержимое раздела реестра SAM и память процесса LSASS в попытке извлечь учетные данные.
Он пытался удалить ПО безопасности с хостов, использовал WMI для распространения атаки на более чем десяток систем и создал резервные каналы удаленного доступа с помощью revsocks, Chisel и туннелей Cloudflare.
В ходе выполнения вредоносной ПО PowerShell был отключен Microsoft Defender, удалены его базы данных угроз и остановлены службы, связанные с 23 продуктами для резервного копирования, баз данных и виртуализации, включая Veeam, VMware, Hyper-V, SQL Server, Oracle и PostgreSQL, в рамках подготовки к этапу шифрования.
Как сообщает Symantec, развертывание вредоносной ПО Spirals произошло менее чем через 24 часа после первоначального взлома.
Оператор начал развертывать ransomware в сети жертвы, используя PsExec, запущенный от имени SYSTEM. Вредоносная ПО получила название bitsadmin.exe, вероятно, для того, чтобы замаскироваться под легитимную утилиту Windows, связанную с фоновой интеллектуальной службой передачи данных.
Spirals - это штамм программ-вымогателей на языке Rust, использующее ключи AES-128, защищенные открытым ключом ECDH P-256, контролируемым злоумышленником.
Программа-вымогатель использует периодическое шифрование файлов размером более 5 МБ для ускорения процесса. На диск C:\ помещается записка с требованием выкупа под названием RECOVERY_SECTION.log, содержащая инструкции по ведению переговоров о выкупе.
Пострадавшим угрожают публичной публикацией украденных данных в течение шести дней, если злоумышленнику не будет выплачено вознаграждение.
Несмотря на наличие DLS, Symantec обнаружила Spirals лишь в одном случае, поэтому неясно, предназначено ли новое семейство для более широкого применения или это была специально разработанная полезная нагрузка для этой атаки на компанию, предоставляющую ИТ-услуги.
В отчете Symantec представлены сетевые индикаторы и хеши файлов, связанные с задокументированной атакой Spirals.
Продолжаем отслеживать наиболее трендовые уязвимости и угрозы:
1. Zoom предупреждает о критической уязвимости в своем настольном клиенте и комплекте разработки ПО для Windows, которая может быть использована неавторизованным лицом для взлома учетных записей.
CVE-2026-53412 (CVSS 9,8) затрагивает Zoom Workplace для Windows версий до 7.0.0, Windows VDI Client версий до 7.0.10, 6.6.15 и 6.5.18, а также Meeting SDK для Windows версий до 7.0.0.
Поставщик не предоставил никаких технических подробностей, а лишь описал его как проблему некорректной проверки входных данных.
2. Splunk объявила о выпуске исправлений для множества уязвимостей в своих продуктах, включая несколько критических и серьезных дефектов. Из пяти опубликованных уведомлений только три касаются недостатков в продуктах, два других устраняют десятки ошибок в компонентах сторонних разработчиков.
К уязвимостям, характерным для Splunk, относятся CVE-2026-20296 (обход системы защиты команд высокой степени опасности), CVE-2026-20297 (обход пути к уязвимости высокой степени опасности) и CVE-2026-20298 (раскрытие информации средней степени опасности).
Успешная эксплуатация этих уязвимостей может позволить злоумышленникам получить доступ к учетным данным и данным, записывать файлы за пределами предполагаемого каталога приложения и просматривать сохраненные хэши учетных данных.
3. F5 объявила о внеполосном обновлении системы безопасности, устраняющем восемь уязвимостей в NGINX и BIG-IP.
Наиболее серьёзная уязвимость - CVE-2026-42533 (CVSS 9.2), критическая проблема в NGINX Plus и NGINX Open Source, может быть использована для взлома с помощью специально сформированных HTTP-запросов, вызывающих переполнение буфера кучи и перезапуск рабочего процесса NGINX.
Злоумышленник может использовать уязвимость безопасности без аутентификации. F5 не упоминает о случаях эксплуатации этих уязвимостей в реальных условиях.
4. В этом месяце ИБ-компании Trend Micro, ESET, Tenable и Tanium выпустили обновления своих продуктов для устранения серьезных уязвимостей.
Tenable сообщила клиентам об устранении критической уязвимости обхода пути в Tenable Agent. CVE-2026-15265 может позволить злоумышленнику выполнить удаленное выполнение кода.
ESET уведомила клиентов об устранении серьезной уязвимости локального повышения привилегий в программе Inspect Connector для Windows, а Tanium - о серьезной уязвимости DoS, затронувшей Tanium Server.
Trend Micro обрадовала пользователей Cleaner One Pro о серьезной уязвимости локального повышения привилегий, которая может позволить злоумышленнику удалить файлы Trend Micro, имеющие привилегии.
5. Исследователи Bitdefender продемонстрировали три метода атак, с помощью которых можно использовать привязку ссылок Windows для обхода средств EDR.
6. Positive Technologies выкатила свой июльский «В тренде VM», отметив в нем уязвимость в Microsoft Exchange Server (CVE-2026-42897, CVSS 8,1)
7. Неисправленная уязвимость в пылесосе Shark позволяет злоумышленникам контролировать другие пылесосы в масштабах всего региона.
8. В результате атаки на цепочку поставок в менеджер пакетов Node (npm) были опубликованы пять вредоносных версий пакетов AsyncAPI (суммарное количество еженедельных загрузок превысило 2,25 млн.), которые доставили троян с возможностью удаленного доступа и кражи информации.
1. Zoom предупреждает о критической уязвимости в своем настольном клиенте и комплекте разработки ПО для Windows, которая может быть использована неавторизованным лицом для взлома учетных записей.
CVE-2026-53412 (CVSS 9,8) затрагивает Zoom Workplace для Windows версий до 7.0.0, Windows VDI Client версий до 7.0.10, 6.6.15 и 6.5.18, а также Meeting SDK для Windows версий до 7.0.0.
Поставщик не предоставил никаких технических подробностей, а лишь описал его как проблему некорректной проверки входных данных.
2. Splunk объявила о выпуске исправлений для множества уязвимостей в своих продуктах, включая несколько критических и серьезных дефектов. Из пяти опубликованных уведомлений только три касаются недостатков в продуктах, два других устраняют десятки ошибок в компонентах сторонних разработчиков.
К уязвимостям, характерным для Splunk, относятся CVE-2026-20296 (обход системы защиты команд высокой степени опасности), CVE-2026-20297 (обход пути к уязвимости высокой степени опасности) и CVE-2026-20298 (раскрытие информации средней степени опасности).
Успешная эксплуатация этих уязвимостей может позволить злоумышленникам получить доступ к учетным данным и данным, записывать файлы за пределами предполагаемого каталога приложения и просматривать сохраненные хэши учетных данных.
3. F5 объявила о внеполосном обновлении системы безопасности, устраняющем восемь уязвимостей в NGINX и BIG-IP.
Наиболее серьёзная уязвимость - CVE-2026-42533 (CVSS 9.2), критическая проблема в NGINX Plus и NGINX Open Source, может быть использована для взлома с помощью специально сформированных HTTP-запросов, вызывающих переполнение буфера кучи и перезапуск рабочего процесса NGINX.
Злоумышленник может использовать уязвимость безопасности без аутентификации. F5 не упоминает о случаях эксплуатации этих уязвимостей в реальных условиях.
4. В этом месяце ИБ-компании Trend Micro, ESET, Tenable и Tanium выпустили обновления своих продуктов для устранения серьезных уязвимостей.
Tenable сообщила клиентам об устранении критической уязвимости обхода пути в Tenable Agent. CVE-2026-15265 может позволить злоумышленнику выполнить удаленное выполнение кода.
ESET уведомила клиентов об устранении серьезной уязвимости локального повышения привилегий в программе Inspect Connector для Windows, а Tanium - о серьезной уязвимости DoS, затронувшей Tanium Server.
Trend Micro обрадовала пользователей Cleaner One Pro о серьезной уязвимости локального повышения привилегий, которая может позволить злоумышленнику удалить файлы Trend Micro, имеющие привилегии.
5. Исследователи Bitdefender продемонстрировали три метода атак, с помощью которых можно использовать привязку ссылок Windows для обхода средств EDR.
6. Positive Technologies выкатила свой июльский «В тренде VM», отметив в нем уязвимость в Microsoft Exchange Server (CVE-2026-42897, CVSS 8,1)
7. Неисправленная уязвимость в пылесосе Shark позволяет злоумышленникам контролировать другие пылесосы в масштабах всего региона.
8. В результате атаки на цепочку поставок в менеджер пакетов Node (npm) были опубликованы пять вредоносных версий пакетов AsyncAPI (суммарное количество еженедельных загрузок превысило 2,25 млн.), которые доставили троян с возможностью удаленного доступа и кражи информации.
Splunk Vulnerability Disclosure
Splunk Vulnerability Disclosure
Новый OkoBot доставляет более 20 различных вредоносных ПО в рамках атак, направленных на кражу сид-фраз криптокошельков, учетных данных и другой конфиденциальной информации.
OkoBot проникает к жертвам через атаки ClickFix или вредоносные репозитории GitHub, выдавая себя за легитимные программные инструменты.
В одном случае репозиторий якобы представлял SQL Server Management Studio (SSMS), но вместо этого распространял троянизированную версию аудиоредактора Audacity.
Исследователи Лаборатории Касперского отмечают, что кампания OkoBot продолжается уже более года и стала продолжением активности, связанной с распространением вредоносного скрипта PowerShell TookPS.
Однако цепочка заражения полностью изменилась: теперь она включает несколько этапов атаки, а на первом этапе используется TookPS для установки и настройки SSH-бота, который доставляет другие вредоносные компоненты.
SSH-бот также отвечает за сбор системных данных (имя пользователя, антивирусное ПО, IP-адрес, версия ОС) и отключение уведомлений Windows Defender. Кроме того, он собирает файлы криптовалютных кошельков, cookie-файлы браузера и учетные данные.
Среди 20 модулей, задействуемых OkoBot в атаках, наиболее примечательны следующие:
- ext daemon/extl.exe: внедряется в браузер Chrome для скрытой установки вредоносных расширений, таких как Rilide, которые нацелены на учетные данные, файлы cookie, финансовую информацию и данные, связанные с криптовалютой.
- SeedHunter: внедряется в Trezor Suite, Ledger Wallet и Ledger Live для отображения фейкового экрана восстановления сид-фразы, предназначенного для кражи фраз восстановления кошелька у жертв.
- MC Keylogger: записывает нажатия клавиш и активность буфера обмена, включая скопированный текст, изображения и пути к файлам, а также может отслеживать USB-подключения и делать снимки экрана каждые 5 минут.
- OkoSpyware: отслеживает работу 100 программ, включая криптокошельки и менеджеры паролей, и использует FFmpeg для записи видео их окон, а также для захвата нажатий клавиш.
Телеметрия ЛК показывает, что большинство жертв OkoBot находятся в Бразилии, за ней следуют Вьетнам, Канада, Мексика и Турция. Однако охват кампании глобален.
В ЛК не связывают кампанию OkoBot с каким-либо конкретным злоумышленником, но исследователи отмечают, что доступ к серверам, на которых размещены скрипты PowerShell для начального этапа атаки, заблокирован по географическому признаку.
Они заметили, что полезные нагрузки не доставляются при использовании IP из России или стран СНГ, и сервер возвращает пустой ответ.
Дополнительные признаки, указывающие на русскоязычного злоумышленника, включают комментарии на русском языке в исходном коде модуля SeedHunter и использование стилера, активно распространяемого на закрытых российских даркнет-ресурсах.
IOCs, включающий хеши вредоносных плагинов, полезных нагрузок инжекторов, утилит SSH-ботов, пути к файлам, домены и IP - в отчете.
OkoBot проникает к жертвам через атаки ClickFix или вредоносные репозитории GitHub, выдавая себя за легитимные программные инструменты.
В одном случае репозиторий якобы представлял SQL Server Management Studio (SSMS), но вместо этого распространял троянизированную версию аудиоредактора Audacity.
Исследователи Лаборатории Касперского отмечают, что кампания OkoBot продолжается уже более года и стала продолжением активности, связанной с распространением вредоносного скрипта PowerShell TookPS.
Однако цепочка заражения полностью изменилась: теперь она включает несколько этапов атаки, а на первом этапе используется TookPS для установки и настройки SSH-бота, который доставляет другие вредоносные компоненты.
SSH-бот также отвечает за сбор системных данных (имя пользователя, антивирусное ПО, IP-адрес, версия ОС) и отключение уведомлений Windows Defender. Кроме того, он собирает файлы криптовалютных кошельков, cookie-файлы браузера и учетные данные.
Среди 20 модулей, задействуемых OkoBot в атаках, наиболее примечательны следующие:
- ext daemon/extl.exe: внедряется в браузер Chrome для скрытой установки вредоносных расширений, таких как Rilide, которые нацелены на учетные данные, файлы cookie, финансовую информацию и данные, связанные с криптовалютой.
- SeedHunter: внедряется в Trezor Suite, Ledger Wallet и Ledger Live для отображения фейкового экрана восстановления сид-фразы, предназначенного для кражи фраз восстановления кошелька у жертв.
- MC Keylogger: записывает нажатия клавиш и активность буфера обмена, включая скопированный текст, изображения и пути к файлам, а также может отслеживать USB-подключения и делать снимки экрана каждые 5 минут.
- OkoSpyware: отслеживает работу 100 программ, включая криптокошельки и менеджеры паролей, и использует FFmpeg для записи видео их окон, а также для захвата нажатий клавиш.
Телеметрия ЛК показывает, что большинство жертв OkoBot находятся в Бразилии, за ней следуют Вьетнам, Канада, Мексика и Турция. Однако охват кампании глобален.
В ЛК не связывают кампанию OkoBot с каким-либо конкретным злоумышленником, но исследователи отмечают, что доступ к серверам, на которых размещены скрипты PowerShell для начального этапа атаки, заблокирован по географическому признаку.
Они заметили, что полезные нагрузки не доставляются при использовании IP из России или стран СНГ, и сервер возвращает пустой ответ.
Дополнительные признаки, указывающие на русскоязычного злоумышленника, включают комментарии на русском языке в исходном коде модуля SeedHunter и использование стилера, активно распространяемого на закрытых российских даркнет-ресурсах.
IOCs, включающий хеши вредоносных плагинов, полезных нагрузок инжекторов, утилит SSH-ботов, пути к файлам, домены и IP - в отчете.
Исследователи F6 в своем новом отчете отследили эволюцию атак группировки xplogs22, которая получила свое наименование благорадя электронному адресу, использовавшемуся злоумышленниками в атаках для эксфильтрации похищенных данных.
xplogs22 - это киберпреступная группировка, активная как минимум с ноября 2023 года. Проводит массовые фишинговые атаки на организации из разных стран. Использует в атаках троян XWorm, ранее применяла вредоносное ПО SnakeKeylogger и стилер FormBookFormgrabber.
Обнаруженные F6 атаки xplogs22 преимущественно нацелены на Россию и другие страны СНГ.
Большинство текстов писем группы написаны на русском языке, но встречаются также письма на английском, арабском, казахском и турецком. Большая часть фишинговых писем связана с юридической тематикой оформления и заключения договоров.
Компании, которые атакует группировка, в основном относятся к таким отраслям, как: торговля; энергетика; промышленность; наука и инженерия; строительство; здравоохранение; IT; финансы; развлечения; телеком; спорт; добыча полезных ископаемых; ЖКХ; сельское хозяйство и транспорт.
В ранних атаках злоумышленники использовали в рассылках вредоносную ПО SnakeKeylogger, также было обнаружено несколько атак с применением стилера FormBook.
SnakeKeylogger представляет собой вредоносное ПО, впервые обнаруженное в 2020 году. Совмещает возможности стилера и кейлогера. В его функционал входит кража информации, включая различные учетные данные, а также считывание нажатий клавиш пользователя.
Эксфильтрация похищенных данных осуществлялась через SMTP-протокол, и в качестве целевого электронного адреса был указан xplogs22@yandex[.]com.
Кроме того, в ходе ретроспективного анализа удалось установить, что xplogs22, предположительно, начала свои атаки как минимум с ноября 2023 года и периодически меняла адреса для эксфильтрации.
Также в некоторых атаках было замечено использование стилера FormBook.
С июля 2025 года xplogs22 начала рассылать письма именно с XWorm и вносить изменения в цепочки атак.
Кампания с использованием XWorm на момент исследования в июле 2026 года продолжается: злоумышленники отправили компаниям более 2900 писем.
XWorm - троян удалённого доступа на основе .NET. Впервые появился на хакфорумах в 2022 году. С помощью этого ВПО злоумышленники могут получить скрытый удаленный доступ к системе, похищать из нее различные данные и размещать в ней дополнительные вредоносные модули.
С началом использования нового трояна группировка стала видоизменять цепочки атак: внутри вложений писем, помимо привычных .exe-файлов, начали также доставляться файлы с расширениями vbs, hta или bat.
Пытаясь имитировать действия реальных компаний, группировка xplogs22 в основном использовала в своих рассылках электронные адреса в доменной зоне ru. В атаках также встречались почты с доменами верхнего уровня by, uz, kz, ae, tr, net, com, org.
В некоторых атаках группа подменяла e-mail отправителя с помощью спуфинга. В других, предположительно, для рассылок использовались скомпрометированные электронные адреса российских и белорусских организаций.
Среди обнаруженных F6 атак группировки xplogs22 с использованием XWorm бо́льшая часть была нацелена на страны СНГ.
Также были замечены атаки на страны: ОАЭ, Ливан, Пакистан, Турция, Индия, Болгария, Бразилия, Гонконг, Канада, Кипр, Чехия, Эстония, Германия, Венгрия, Италия, Япония, Южная Корея, Латвия, Нидерланды, Норвегия, Польша, Испания, Швеция, Швейцария, Великобритания и США.
xplogs22 периодически меняла С2-адреса, на начало июля 2026 года группировка использует IP-адрес 109[.]248[.]150[.]234.
Как отметили в F6, xplogs22 делает ставку на широкий охват, выполняя рассылки большими партиями на десятки стран и оформляя письма сразу на нескольких языках.
Злоумышленики довольно консервативны: используют повторяющиеся темы и имена файлов, а также редко меняют свой инструментарий, оставаясь приверженными одному вредоносному ПО в течение длительного периода времени.
Технические подробности и IOCs - в отчете на сайте F6.
xplogs22 - это киберпреступная группировка, активная как минимум с ноября 2023 года. Проводит массовые фишинговые атаки на организации из разных стран. Использует в атаках троян XWorm, ранее применяла вредоносное ПО SnakeKeylogger и стилер FormBookFormgrabber.
Обнаруженные F6 атаки xplogs22 преимущественно нацелены на Россию и другие страны СНГ.
Большинство текстов писем группы написаны на русском языке, но встречаются также письма на английском, арабском, казахском и турецком. Большая часть фишинговых писем связана с юридической тематикой оформления и заключения договоров.
Компании, которые атакует группировка, в основном относятся к таким отраслям, как: торговля; энергетика; промышленность; наука и инженерия; строительство; здравоохранение; IT; финансы; развлечения; телеком; спорт; добыча полезных ископаемых; ЖКХ; сельское хозяйство и транспорт.
В ранних атаках злоумышленники использовали в рассылках вредоносную ПО SnakeKeylogger, также было обнаружено несколько атак с применением стилера FormBook.
SnakeKeylogger представляет собой вредоносное ПО, впервые обнаруженное в 2020 году. Совмещает возможности стилера и кейлогера. В его функционал входит кража информации, включая различные учетные данные, а также считывание нажатий клавиш пользователя.
Эксфильтрация похищенных данных осуществлялась через SMTP-протокол, и в качестве целевого электронного адреса был указан xplogs22@yandex[.]com.
Кроме того, в ходе ретроспективного анализа удалось установить, что xplogs22, предположительно, начала свои атаки как минимум с ноября 2023 года и периодически меняла адреса для эксфильтрации.
Также в некоторых атаках было замечено использование стилера FormBook.
С июля 2025 года xplogs22 начала рассылать письма именно с XWorm и вносить изменения в цепочки атак.
Кампания с использованием XWorm на момент исследования в июле 2026 года продолжается: злоумышленники отправили компаниям более 2900 писем.
XWorm - троян удалённого доступа на основе .NET. Впервые появился на хакфорумах в 2022 году. С помощью этого ВПО злоумышленники могут получить скрытый удаленный доступ к системе, похищать из нее различные данные и размещать в ней дополнительные вредоносные модули.
С началом использования нового трояна группировка стала видоизменять цепочки атак: внутри вложений писем, помимо привычных .exe-файлов, начали также доставляться файлы с расширениями vbs, hta или bat.
Пытаясь имитировать действия реальных компаний, группировка xplogs22 в основном использовала в своих рассылках электронные адреса в доменной зоне ru. В атаках также встречались почты с доменами верхнего уровня by, uz, kz, ae, tr, net, com, org.
В некоторых атаках группа подменяла e-mail отправителя с помощью спуфинга. В других, предположительно, для рассылок использовались скомпрометированные электронные адреса российских и белорусских организаций.
Среди обнаруженных F6 атак группировки xplogs22 с использованием XWorm бо́льшая часть была нацелена на страны СНГ.
Также были замечены атаки на страны: ОАЭ, Ливан, Пакистан, Турция, Индия, Болгария, Бразилия, Гонконг, Канада, Кипр, Чехия, Эстония, Германия, Венгрия, Италия, Япония, Южная Корея, Латвия, Нидерланды, Норвегия, Польша, Испания, Швеция, Швейцария, Великобритания и США.
xplogs22 периодически меняла С2-адреса, на начало июля 2026 года группировка использует IP-адрес 109[.]248[.]150[.]234.
Как отметили в F6, xplogs22 делает ставку на широкий охват, выполняя рассылки большими партиями на десятки стран и оформляя письма сразу на нескольких языках.
Злоумышленики довольно консервативны: используют повторяющиеся темы и имена файлов, а также редко меняют свой инструментарий, оставаясь приверженными одному вредоносному ПО в течение длительного периода времени.
Технические подробности и IOCs - в отчете на сайте F6.
Хабр
Чемпионат по контрактам: изучаем эволюцию атак киберпреступной группировки xplogs22
Киберпреступные группы, атакующие Россию, отличаются разнообразием. Среди них есть те, кто специализируется на взломе исключительно российских компаний, а есть и такие, для кого организации в РФ —...
Исследователи Solar 4RAYS рассказали, как как распознать фейковый репозиторий за 10 секунд, причитая на то, что по README встречают, по малвари провожают.
За последнее время Солары обнаружили несколько очень схожих инцидентов запуска вредоносных утилит, скачанных с GitHub под видом подлинного софта. Заражений не произошло - антивирусы отработали штатно, но тренд налицо.
Пользователи пытаются найти рабочие инструменты для обхода ограничений, например популярный локальный прокси tg-ws-proxy от flowseal. Поиск нужной утилиты часто начинается в браузере, и тут пользователей ждет ловушка, связанная со спецификой поисковиков.
Из-за действующих ограничений в РФ ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи Яндекса. В результате на самом верху поиска образуется вакуум, который моментально заполняется свежими ссылками на малварь.
Эти фейки еще не успели попасть в списки на блокировку, поэтому выдаются первыми. По наблюдениям Соларов, Google такую проблему с подменой выдачи решает довольно быстро.
Пользователи часто доверяют неофициальным прокси-сервисам для скачивания релизов по инерции, думая, что скачивают оригинальный код.
Однако под капотом такого зеркала вполне может оказаться подмененный бинарник или скрипт с «сюрпризом» в виде того же Salat Stealer или Santa Stealer (который, к слову, умеет пылесосить не только сессии браузеров, но и нужные файлы по заданным расширениям).
Даже если ссылка выглядит максимально похоже на оригинал, при скачивании со сторонних платформ всегда есть опасность подмены скачиваемого файла.
Внешне подделка выглядит абсолютно органично. Мошенники подчистую копируют раздел README.md настоящей программы, сохраняя оригинальную верстку и даже реквизиты для донатов настоящему автору.
Расчет строится на машинальные действия. Пользователь видит знакомое оформление и на автомате тянется к кнопке загрузки, не задумываясь о проверке источника.
Выявить вредоносный репозиторий можно с первого взгляда на профиль, но вот, что сразу выдает подделку:
1. Поскольку вредоносная инфраструктура долго не живет: сразу встречается свежий аккаунт. Профили разработчиков-злоумышленников обычно зарегистрированы буквально пару недель назад.
2. Настоящая разработка состоит из истории осмысленных коммитов, а в фейках весь код заливается за один раз через веб-интерфейс платформы. Вместо нормальных описаний изменений везде висит заглушка «Add files via upload».
3. Оригинальный проект всегда имеет тысячи звезд, кучу форков, множество следящих пользователей и кипящую вкладку Issues. У клонов по всем счетчикам стоят нули, а обсуждение проблем часто просто отключено.
4. И еще один важнейший маркер: инструкции по установке. Мошенники часто пишут в README что-то вроде: «Софт использует обфускацию / взаимодействует с сетью, поэтому Windows Defender ругается - это false positive, добавьте папку в исключения».
5. Последнее, но не по значимости - спам репозиториями. Внутри фейкового аккаунта обычно сразу создана целая пачка репозиториев с похожими названиями для максимального покрытия поисковых запросов.
Данная атака работает исключительно за счет того, что мошенники эксплуатируют популярность рабочих инструментов из-за блокировок, слепое доверие к авторитету GitHub и особенности алгоритмов поисковой выдачи.
Практический чек-лист безопасности репозитория и IOCs выявленных угроз - в отчете.
За последнее время Солары обнаружили несколько очень схожих инцидентов запуска вредоносных утилит, скачанных с GitHub под видом подлинного софта. Заражений не произошло - антивирусы отработали штатно, но тренд налицо.
Пользователи пытаются найти рабочие инструменты для обхода ограничений, например популярный локальный прокси tg-ws-proxy от flowseal. Поиск нужной утилиты часто начинается в браузере, и тут пользователей ждет ловушка, связанная со спецификой поисковиков.
Из-за действующих ограничений в РФ ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи Яндекса. В результате на самом верху поиска образуется вакуум, который моментально заполняется свежими ссылками на малварь.
Эти фейки еще не успели попасть в списки на блокировку, поэтому выдаются первыми. По наблюдениям Соларов, Google такую проблему с подменой выдачи решает довольно быстро.
Пользователи часто доверяют неофициальным прокси-сервисам для скачивания релизов по инерции, думая, что скачивают оригинальный код.
Однако под капотом такого зеркала вполне может оказаться подмененный бинарник или скрипт с «сюрпризом» в виде того же Salat Stealer или Santa Stealer (который, к слову, умеет пылесосить не только сессии браузеров, но и нужные файлы по заданным расширениям).
Даже если ссылка выглядит максимально похоже на оригинал, при скачивании со сторонних платформ всегда есть опасность подмены скачиваемого файла.
Внешне подделка выглядит абсолютно органично. Мошенники подчистую копируют раздел README.md настоящей программы, сохраняя оригинальную верстку и даже реквизиты для донатов настоящему автору.
Расчет строится на машинальные действия. Пользователь видит знакомое оформление и на автомате тянется к кнопке загрузки, не задумываясь о проверке источника.
Выявить вредоносный репозиторий можно с первого взгляда на профиль, но вот, что сразу выдает подделку:
1. Поскольку вредоносная инфраструктура долго не живет: сразу встречается свежий аккаунт. Профили разработчиков-злоумышленников обычно зарегистрированы буквально пару недель назад.
2. Настоящая разработка состоит из истории осмысленных коммитов, а в фейках весь код заливается за один раз через веб-интерфейс платформы. Вместо нормальных описаний изменений везде висит заглушка «Add files via upload».
3. Оригинальный проект всегда имеет тысячи звезд, кучу форков, множество следящих пользователей и кипящую вкладку Issues. У клонов по всем счетчикам стоят нули, а обсуждение проблем часто просто отключено.
4. И еще один важнейший маркер: инструкции по установке. Мошенники часто пишут в README что-то вроде: «Софт использует обфускацию / взаимодействует с сетью, поэтому Windows Defender ругается - это false positive, добавьте папку в исключения».
5. Последнее, но не по значимости - спам репозиториями. Внутри фейкового аккаунта обычно сразу создана целая пачка репозиториев с похожими названиями для максимального покрытия поисковых запросов.
Данная атака работает исключительно за счет того, что мошенники эксплуатируют популярность рабочих инструментов из-за блокировок, слепое доверие к авторитету GitHub и особенности алгоритмов поисковой выдачи.
Практический чек-лист безопасности репозитория и IOCs выявленных угроз - в отчете.
rt-solar.ru
По README встречают, по малвари провожают: как распознать фейковый репозиторий за 10 секунд
Исследователи BI.ZONE поломали ONLYOFFICE Desktop Editors в 3 шага и представили цепочку уязвимостей OnlyShells, позволяющую при открытии документа выполнить код с системными правами.
Офисный пакет ONLYOFFICE Desktop Editors построен на Chromium Embedded Framework (CEF) и является приложением на базе Chromium.
Он запускается без браузерной песочницы, а используемая версия Chromium (109.0.5414.120) устарела еще в 2023 году. Кроме того, вместе с редактором устанавливается служба для его обновления, которая действует с максимальными системными правами NT AUTHORITY\SYSTEM.
Существует еще одна большая поверхность атаки: парсеры различных файловых форматов, реализованные на небезопасных языках.
Но даже имея серьезный примитив эксплуатации в одном из парсеров, полноценная атака почти всегда усложняется необходимостью эксплуатации one‑shot: эксплойт не сможет подстраиваться под митигации системы жертвы, такие как PIE и ASLR.
Все эти вводные привели Бизонов к следующей предполагаемой цепочке:
- Уязвимость XSS, исполнение произвольного кода JavaScript.
- Эксплуатация браузерной уязвимости рендерера.
- Эксплуатация уязвимости службы обновлений, повышение привилегий.
Комбинация уязвимостей CVE‑2025‑68936, CVE‑2023‑2033 и CVE‑2026‑41030 составили по итогу цепочку OnlyShells, позволяющую выполнять произвольный код от имени суперпользователя при открытии подготовленного файла.
Для защиты от OnlyShells необходимо обновить ONLYOFFICE Desktop Editors до версии 9.3.0.
Демонстрация полного цикла эксплуатации цепочки OnlyShells - в ролике, а техническое описание каждой из проблем с описанием путей эксплутаатции - в отчете.
Офисный пакет ONLYOFFICE Desktop Editors построен на Chromium Embedded Framework (CEF) и является приложением на базе Chromium.
Он запускается без браузерной песочницы, а используемая версия Chromium (109.0.5414.120) устарела еще в 2023 году. Кроме того, вместе с редактором устанавливается служба для его обновления, которая действует с максимальными системными правами NT AUTHORITY\SYSTEM.
Существует еще одна большая поверхность атаки: парсеры различных файловых форматов, реализованные на небезопасных языках.
Но даже имея серьезный примитив эксплуатации в одном из парсеров, полноценная атака почти всегда усложняется необходимостью эксплуатации one‑shot: эксплойт не сможет подстраиваться под митигации системы жертвы, такие как PIE и ASLR.
Все эти вводные привели Бизонов к следующей предполагаемой цепочке:
- Уязвимость XSS, исполнение произвольного кода JavaScript.
- Эксплуатация браузерной уязвимости рендерера.
- Эксплуатация уязвимости службы обновлений, повышение привилегий.
Комбинация уязвимостей CVE‑2025‑68936, CVE‑2023‑2033 и CVE‑2026‑41030 составили по итогу цепочку OnlyShells, позволяющую выполнять произвольный код от имени суперпользователя при открытии подготовленного файла.
Для защиты от OnlyShells необходимо обновить ONLYOFFICE Desktop Editors до версии 9.3.0.
Демонстрация полного цикла эксплуатации цепочки OnlyShells - в ролике, а техническое описание каждой из проблем с описанием путей эксплутаатции - в отчете.
BI.ZONE
Ломаем ONLYOFFICE за 3 шага: цепочка уязвимостей OnlyShells
Разбираем цепочку уязвимостей, позволяющую при открытии документа выполнить код с системными правами