По сложившейся практике, разработчики и исследователи в сфере информационной безопасности сообщают поставщикам скомпрометированной продукции о своих открытиях, чтобы те имели возможность устранить прорехи. Только после этого информация о них предаётся огласке. Google в сентябре прошлого года нашла уязвимости в серверных процессорах AMD EPYC на архитектурах с Zen по Zen 4.

Источник изображения: AMD

Как отмечается авторами бюллетеня, найденная уязвимость позволяла злоумышленникам с правами локального администратора через инструкцию RDRAND загружать вредоносные патчи микрокода, запускать на виртуальных машинах жертвы вредоносное программное обеспечение и получать доступ к его данным. Уязвимость заключается в том, что процессор использует небезопасную хэш-функцию при проверке подписи обновлений микрокода. Эта уязвимость может быть использована злоумышленниками для компрометации конфиденциальных вычислительных рабочих нагрузок, защищенных новейшей версией AMD Secure Encrypted Virtualization, SEV-SNP, или для компрометации Dynamic Root of Trust Measurement.

В зоне риска оказался обширный список серверных процессоров EPYC Naples, Rome, Milan и Genoa. Специалисты Google передали всю необходимую для устранения уязвимости информацию по конфиденциальным каналам 25 сентября прошлого года, после чего к 17 декабря AMD смогла распространить необходимые обновления среди своих клиентов. Так что на данный момент исправления для уязвимости уже есть.

Выдержав необходимую для полноценного устранения уязвимостей клиентами AMD паузу, Google сообщила о найденной уязвимости на страницах GitHub. Чтобы дополнительно обезопасить клиентов AMD, представители Google дополнительные подробности об уязвимости и инструменты для работы с ней пообещали продемонстрировать не ранее 5 марта текущего года.

Американские эксперты в области кибербезопасности обнаружили две уязвимости, присутствующие во всех актуальных устройствах iPhone, iPad и Mac, а также во многих моделях предыдущих поколений. Уязвимостям присвоили названия SLAP и FLOP — эти ошибки позволяют гипотетическим злоумышленникам просматривать содержимое всех вкладок в браузерах на устройствах.

Источник изображения: apple.com

Уязвимости SLAP (Speculation Attacks via Load Address Prediction) и FLOP (False Load Output Predictions) появились в процессорах Apple A15 и M2, а также в более поздних чипах. Ошибки выявили исследователи Технологического института Джорджии (США). Эти уязвимости схожи с обнаруженными ранее Spectre и Meltdown. Они связаны с технологией спекулятивного выполнения — процессор пытается предсказать будущие команды и заранее загружает необходимые для их выполнения данные. Внедрив в этот процесс некорректные данные, гипотетический злоумышленник получает возможность считывать содержимое памяти, которое не должно быть доступно.

Каждая вкладка браузера Safari изолирована — сайт, открытый на одной вкладке, не может получить данные с того, что открыт на соседней. Уязвимость SLAP, которую можно эксплуатировать, заставив жертву посетить вредоносный сайт, открывает его владельцу доступ к любой другой вкладке Safari. Это может быть электронная почта, местоположение в Apple Maps, банковские реквизиты и любая другая конфиденциальная информация. FLOP позволяет добиться того же результата, но является более опасной ошибкой, поскольку работает не только с Safari, но и с Chrome. Устанавливать вредоносное ПО на компьютер Mac не требуется — атака осуществляется с использованием уязвимостей в собственном коде Apple, а вероятность её обнаружения чрезвычайно мала.

Угроза актуальна для Apple iPhone 13, 14, 15, 16 и SE 3-го поколения; iPad Air, Pro и mini, начиная с моделей 2021 года; MacBook Air и Pro, начиная с моделей 2022 года; Mac mini, Studio, Pro и iMac, начиная с моделей 2023 года. Apple получила уведомление об уязвимости SLAP в мае, а о FLOP — в сентябре 2024 года. В настоящее время компания работает над исправлением ошибок. Подтверждений того, что уязвимости эксплуатировались злоумышленниками на практике, обнаружить не удалось.

«Основываясь на нашем анализе, мы не считаем, что эта проблема представляет непосредственную угрозу нашим пользователям. <…> В настоящее время не существует мер предосторожности, которые можно предпринять, за исключением обычной осмотрительности при посещении веб-сайтов», — заявили в Apple ресурсу Bleeping Computer.

Apple опубликовала списки уязвимостей, которые были закрыты с выходом общедоступных обновлений iOS 18.3 и iPadOS 18.3, macOS Sequoia 15.3, а также watchOS 11.3. В общей сложности компания закрыла 98 ошибок, касающихся работы этих платформ. Владельцам совместимых устройств рекомендуется установить данные обновления, чтобы защититься от выявленных угроз.

На iOS и iPadOS 18.3 пришлись 26 исправленных ошибок. Пять из них приходятся на функцию AirPlay — они позволяли вызывать сбои в работе приложения и системы, осуществлять атаки типа «отказ в обслуживании» (DoS), а также выполнять произвольный код. Выявлены уязвимости в компонентах ARKit (функции дополненной реальности), CoreAudio, CoreMedia, ImageIO, в ядре системы, в модулях LaunchServices, libxslt, в компоненте ключей доступа для авторизации без пароля, в движке WebKit, браузере Safari и других компонентах.

В macOS Sequoia 15.3 компания Apple закрыла 57 уязвимостей. Они были связаны с компонентами AirPlay, AppleMobileFileIntegrity, ARKit, приложением FaceTime, службой iCloud, ядром системы, браузером Safari и движком WebKit, сетевым протоколом SMB и другими компонентами. И ещё 15 уязвимостей Apple закрыла с выпуском watchOS 11.3. Четыре связаны с AirPlay, две — с ядром системы, две — с движком WebKit, затронутыми оказались и другие компоненты платформы для смарт-часов.

Накануне также вышли обновления Apple visionOS 2.3, iPadOS 17.7.4, macOS Sonoma 14.7.3 и Ventura 13.7.3, tvOS 18.3 и Safari 18.3.

AMD подтвердила, что у её процессоров была обнаружена уязвимость — сведения о её наличии просочились в открытый доступ до того, как компания успела выпустить исправляющее ошибку обновление ПО. Проблема предположительно затрагивает процессоры потребительской линейки Ryzen, но суть ошибки AMD пока не изложила и не уточнила, каких моделей она касается.

Источник изображения: amd.com

О том, что проблема существует, рассказал эксперт по вопросам кибербезопасности Тэвис Орманди (Tavis Ormandy) из подразделения Project Zero компании Google. Он сообщил, что Asus выпустила бета-версию обновления BIOS для своих материнских плат, и упомянул о наличии уязвимости у процессоров AMD. Впоследствии он отредактировал свою публикацию, убрав упоминание уязвимости. AMD подтвердила, что уязвимость существует, но для её эксплуатации требуются локальный административный доступ к целевой машине и специальный микрокод.

«AMD осведомлена о недавно обнаруженной уязвимости процессоров. Для реализации атаки требуется доступ к системе на уровне локального администратора, разработка и запуск вредоносного микрокода. AMD предоставила методы по смягчению последствий и активно сотрудничает во своими партнёрами и клиентами над их развёртыванием. AMD рекомендует клиентам продолжать придерживаться принятых в отрасли стандартов безопасности и работать только с проверенными поставщиками при установке нового кода на свои системы. AMD планирует выпустить отчёт о безопасности с дополнительными рекомендациями и вариантами смягчения последствий», — заявил представитель компании ресурсу The Register. Прочих подробностей в AMD не сообщили.

Исследователи в области кибербезопасности Сэм Карри (Sam Curry) и Шубхам Шах (Shubham Shah) обнаружили в информационно-развлекательной системе Subaru Starlink (не связана со спутниковым провайдером от SpaceX) уязвимости, позволяющие частично перехватывать управление автомобилем и следить за его передвижениями.

Источник изображений: subaru.com

Взлом системы Starlink экспертам удалось произвести через веб-портал Subaru. Повторив их действия, потенциальный злоумышленник получает возможность открывать автомобиль, подавать звуковой сигнал, запускать двигатель, а также переназначать эти функции любому телефону или ПК. Обнаружилось также, что в системе присутствует возможность отслеживать местоположение автомобиля Subaru — не только где он находится в настоящий момент, но и историю его передвижений. Взлом производился на примере машины, принадлежащей матери господина Карри — он увидел в системе все её поездки к врачу, в гости к друзьям, и даже парковочное место, на котором она оставляла автомобиль, когда приезжала в церковь. Обнаруженная экспертами уязвимость была действительна для систем Subaru Starlink в США, Канаде и Японии.

Специалисты установили доменное имя ресурса, через который осуществляется удалённое управление функциями автомобилей. Изучив этот сайт, они нашли способ получить административные привилегии: подобрав адрес электронной почты сотрудника, они производили сброс его пароля. Для этого система запрашивала ответ на два контрольных вопроса, но их проверка осуществлялась локальным скриптом в браузере пользователя, а не на сервере Subaru, и обойти такую защиту было нетрудно. На LinkedIn они обнаружили электронную почту разработчика Subaru Starlink, взломали его учётную запись на административном портале и обнаружили, что у него есть доступ к поиску любого владельца автомобиля Subaru по фамилии, почтовому индексу, адресу электронной почты, номеру телефона или номерному знаку — найдя нужный автомобиль, они получали доступ к конфигурации Starlink.

Карри и Шах сообщили о своих открытиях компании Subaru в конце ноября, и автопроизводитель оперативно принял меры для исправления уязвимостей. Это решило проблему безопасности, но оставило проблему конфиденциальности: даже если потенциальные злоумышленники лишились возможности перехватывать функции управления автомобилями и считывать историю перемещения транспортных средств, всё это по-прежнему могут делать работники Subaru. В компании подтвердили, что её работники действительно имеют доступ ко всем этим функциям, но заверили, что они проходят надлежащую подготовку и подписывают соглашения о неразглашении; на практике же доступ к местоположению машины им якобы предоставляется, чтобы сообщать его службам быстрого реагирования, если система обнаружит ДТП.

Тот факт, что Subaru отслеживает передвижения автомобилей своего производства, свидетельствует, что во всём автопроме больше нет гарантий конфиденциальности, указывает Сэм Карри. Так, сотрудник Google, как предполагается, не может читать переписку пользователей Gmail, а в Subaru история передвижений транспортных средств открыта для работников компании. Ранее стало известно, что в открытом доступе оказались аналогичные данные автомобилей VW Group из-за действий входящей в концерн компании Cariad.

Компания Nvidia сообщила об исправлении нескольких критических уязвимостей безопасности в своих графических драйверах и программном обеспечении для управления виртуальными GPU. Эти уязвимости затрагивают операционные системы Windows и Linux.

Источник изображения: Nvidia

Последние обновления программного обеспечения Nvidia нацелены на устранение нескольких уязвимостей безопасности, которые позволяют злоумышленникам с локальным доступом выполнять вредоносный код, красть данные или вызывать сбои в работе затронутых систем. Среди исправлений выделяются две уязвимости высокой степени опасности. Первая с маркировкой CVE-2024-0150 связана с переполнением буфера в драйвере дисплея GPU, что может привести к компрометации системы вследствие подделки данных, и раскрытию информации. Вторая критическая проблема с маркировкой CVE-2024-0146 затрагивает диспетчер виртуального GPU, где скомпрометированная гостевая система может вызвать повреждение памяти, что потенциально может привести к выполнению вредоносного кода и захвату системы.

Nvidia рекомендует пользователям систем Windows обновиться как минимум до версии драйвера 553.62 (ветвь R550) или до версии 539.19 (ветвь R535). Пользователям Linux необходимо установить версию драйвера 550.144.03 или 535.230.02 в зависимости от ветви драйвера.

Обновления охватывают линейки продуктов Nvidia RTX, Quadro, NVS и Tesla. Корпоративные среды, использующие технологии виртуализации Nvidia, могут столкнуться с дополнительными рисками без установки последних обновлений безопасности. В частности, уязвимость с маркировкой CVE-2024-53881 позволяет гостевым системам прерывать соединение хост-машин, что может привести к сбоям в работе всей системы. Чтобы исправить эти уязвимости безопасности, пользователи программного обеспечения виртуальных графических процессоров должны обновиться до версии драйвера 17.5 (550.144.02) или 16.9 (535.230.02).

Компания поясняет, что уязвимости нацелены на системы, к которым злоумышленники имеют локальный доступ. Однако в виртуальных средах, где несколько пользователей совместно используют ресурсы графических процессоров, эти уязвимости представляют значительную угрозу безопасности. Системные администраторы могут загрузить обновления безопасности со страницы загрузки драйверов Nvidia. Корпоративные клиенты сред vGPU должны получить исправления через портал лицензирования Nvidia. Компания рекомендует немедленно установить эти обновления на всех затронутых системах.

Компания Baicells Technologies, основанная в 2014 году, начиная с 2015 года поставила телекоммуникационное оборудование для 700 коммерческих мобильных сетей во всех штатах США. Недавно Министерство торговли США и ФБР начали расследование в отношении Baicells на предмет возможных рисков для нацбезопасности. Источники сообщают, что ФБР обратило внимание на компанию ещё в 2019 году, а в 2021 году агенты ФБР вызывали на допрос одного из руководителей Baicells North America.

Несмотря на то что санкции практически уничтожили американский бизнес китайских технологических компаний Huawei и ZTE, Вашингтон сохраняет опасения в отношении китайского телекоммуникационного оборудования, подозревая его производителей в шпионаже. «Проверка этого вопроса была бы в верхней части моего списка», — заявил Джон Карлин (John Carlin), бывший главный прокурор по национальной безопасности Министерства юстиции.

В этом месяце Пентагон добавил Baicells в список из 134 компаний, сотрудничающих с китайскими военными, не предоставив при этом никаких доказательств или дополнительных комментариев. Внесение в этот список не имеет юридической силы, но может нанести удар по репутации компаний. «Мы категорически не согласны с решением Министерства обороны и намерены подать апелляцию», — сообщил представитель Baicells.

Вашингтон обвиняет Китай в перехвате конфиденциальных данных и взломе телекоммуникационных сетей. Эксперты правительства США утверждают, что китайские спецслужбы, получив удалённый доступ к маршрутизаторам и базовым станциям, могут перехватывать или вмешиваться в их трафик, нарушать их работоспособность или проводить кибератаки. Хотя нет прямых доказательств того, что какое-либо оборудование Baicells применялось не по назначению, официальные лица США утверждают, что именно эта техника использовалась широким кругом поддерживаемых Китаем хакерских групп по всему миру.

Федеральные власти США были обеспокоены тем, что поставщик услуг беспроводного интернета KGI Communications развернул базовые станции Baicells в Кинг-Джордже, штат Вирджиния, недалеко от Центра надводных боевых действий ВМС в Дальгрене, где испытывается гиперзвуковое оружие. Поставщику было рекомендовано отказаться от его планов.

В 2023 году сотрудники ФБР обратили внимание на планы Лас-Вегаса по расширению существующей сети ещё 82 базовыми станциями Baicells. В результате Лас-Вегас расторг контракт и вместо этого обратился к поставщику из США.

Источник изображений: Baicells

Изначально Beijing Baicells Technologies Co была основана в 2014 году несколькими бывшими сотрудниками Huawei, большинство из которых на сегодняшний день покинуло компанию. В 2016 году Baicells открыла офис в Плейно, пригороде Далласа, где располагалась штаб-квартира американского научно-исследовательского подразделения Huawei Futurewei.

Представитель Baicells утверждает, что компания никогда не имела деловых отношений с Huawei. При этом четыре бывших сотрудника, напрямую знакомых с китайским руководством Baicells, утверждают, что компания управляется из Китая, а любые управленческие решения должны быть одобрены специальным советом.

Чтобы успокоить опасения клиентов США по поводу связей Baicells с Китаем, в последние годы менеджерам по продажам было поручено говорить, что оборудование было произведено на Тайване. Однако из таможенных данных следует, что 92 % поставок оборудования Baicells в США с 2018 года по июль 2024 года были произведены в Китае или Гонконге, и лишь 8 % — на Тайване.

Агентство по киберзащите США CISA, входящее в состав Министерства внутренней безопасности, опубликовало в 2023 году сообщение об уязвимости базовых станций Baicells Nova. CISA контролирует список из 16 критически важных инфраструктурных сетей, к которым, в частности, относятся водоснабжение, энергия, финансовые услуги и телекоммуникации. В общей сложности CISA опубликовала два предупреждения по безопасности и четыре уведомления об уязвимостях в маршрутизаторах и базовых станциях Baicells, обозначив как минимум пять из них как «критические».

Анализ, проведённый после этого компанией Censys, показал, что от 28 до 186 базовых станций Baicells в США по-прежнему используют уязвимую прошивку, что потенциально подвергает их риску взлома. Комментируя результаты расследования, представитель Baicells в ответ сообщил, что компания «предприняла позитивные шаги для обеспечения безопасности наших продуктов и проактивно решает любые проблемы безопасности».

Представитель посольства Китая в США Лю Пэнъюй (Liu Pengyu) в очередной раз призвал Вашингтон прекратить использовать проблемы кибербезопасности для обвинения Китая. Председатель правления Baicells Technologies Сунь Лисинь (Sun Lixin) заявил, что североамериканское подразделение компании открыто для сотрудничества по любым запросам правительства США, отметив, что продукция компании «не несёт каких-либо рисков безопасности».

Во вторник, 14 января, компания Microsoft по традиции выпустила крупный пакет обновлений безопасности. Этот релиз стал самым масштабным за последние несколько лет — в Windows, Office, Edge и других приложениях и службах было устранено 159 уязвимостей, что почти вдвое превышает обычное количество исправлений. По данным Microsoft, три из этих уязвимостей уже эксплуатируются «в дикой природе», а ещё пять были публично известны ранее.

Источник изображения: Microsoft

Microsoft традиционно предоставляет ограниченную информацию об уязвимостях для самостоятельного анализа в руководстве по обновлению безопасности. Известно, что основная часть исправлений, 132 уязвимости, касается различных версий ОС Windows, поддерживаемых Microsoft (Windows 10, Windows 11 и Windows Server).

По данным компании, три из устранённых уязвимостей безопасности Windows активно эксплуатируются. Уязвимости Hyper-V с идентификаторами CVE-2025-21333, CVE-2025-21334 и CVE-2025-21335 позволяют зарегистрированным злоумышленникам выполнять код с повышенными привилегиями из гостевой системы. Информация о масштабах использования этих эксплойтов не раскрывается.

Microsoft классифицирует восемь уязвимостей Windows как критические. Например, уязвимость CVE-2025-21298 в Windows OLE (CVSS 9.8) может быть использована через специально созданное электронное письмо, если оно открыто в Outlook. Включённый предварительный просмотр вложения может привести к внедрению и выполнению вредоносного кода.

Уязвимости CVE-2025-21297 и CVE-2025-21309 (CVSS 8.1) в службах удалённых рабочих столов сервера могут быть использованы злоумышленниками для удалённой атаки без необходимости входа пользователя в систему.

Также было устранено 28 схожих уязвимостей удалённого выполнения кода (RCE, CVSS 8.8) в службе телефонии Windows. Эти уязвимости классифицируются как высокорисковые, но данных об их использовании злоумышленниками нет.

Microsoft исправила 20 уязвимостей в продуктах Office. Среди них — уязвимости RCE в Word, Excel, Outlook, OneNote, Visio и SharePoint Server. Три уязвимости RCE в Access классифицируются как уязвимости нулевого дня.

Пакет обновлений также включает исправление безопасности для браузера Microsoft Edge — версия 131.0.2903.146 от 10 января на основе Chromium 131.0.6778.265. Однако подробная документация по этому обновлению пока отсутствует. Вероятно, исправления аналогичны тем, которые были внесены Google в последней версии Chrome, где устранён ряд высокорисковых уязвимостей.

Microsoft в очередной раз призвала пользователей устаревших версий Windows 7 и 8.1 перейти на Windows 10 или Windows 11, чтобы продолжать получать обновления безопасности. Следующий регулярный вторник исправлений намечен на 11 февраля 2025 года.

В конце прошлого года в Германии состоялось ежегодное мероприятие Chaos Communication Congress, собравшее специалистов по информационной безопасности из разных стран мира. Одним из участников конгресса был известный под ником Stacksmashing исследователь Томас Рот (Thomas Roth), который продемонстрировал технику взлома новых смартфонов Apple iPhone с интерфейсом USB Type-C, более подробно о которой стало известно только сейчас.

Источник изображения: Garin Chadwick / Unsplash

Томас Рот сумел взломать контроллер порта USB Type-C смартфона Apple, который отвечает за управление зарядкой и передачей данных на устройстве. Исследователь сумел перепрограммировать контроллер ACE3 с целью дальнейшего его использования для выполнения несанкционированных действий, включая обход проверок безопасности и выполнение на устройстве вредоносных команд.

Уязвимость, которой воспользовался Рот, является следствием того, что Apple не в полной мере реализовала средства защиты в прошивке контроллера. Это позволяет злоумышленнику получить низкоуровневый доступ посредством использования специально изготовленных кабелей или устройства с USB Type-C. После получения доступа скомпрометированный контроллер можно задействовать для эмуляции доверенных аксессуаров или выполнения действий без согласия пользователя.

Отмечается, что возможность взлома iPhone через USB Type-C имеет серьёзные последствия для безопасности устройств, поскольку интеграция контроллера ACE3 с внутренними системами «означает, что его компрометация потенциально может привести к непривязанному джейлбрейку или постоянной имплантации прошивки, способной поставить под угрозу основную операционную систему». Кроме того, злоумышленники могут использовать уязвимость для получения несанкционированного доступа к конфиденциальным данным или получения контроля над устройством.

Владельцам iPhone с USB Type-C не стоит слишком сильно беспокоиться о новой уязвимости, по крайней мере в данный момент. Подробности взлома смартфонов Apple стали известны совсем недавно, да и сам процесс эксплуатации уязвимости достаточно сложен. Кроме того, Apple наверняка в будущем исправит уязвимость с помощью обновления прошивки контроллера ACE3, который впервые появился в iPhone 15 и iPhone 15 Pro.

Компания Meta✴ выплатила $100 000 независимому специалисту в области кибербезопасности Бену Садегипуру (Ben Sadeghipour) за обнаружение серьёзной уязвимости на платформе. Анализируя систему показа рекламы, Садегипур нашёл брешь, которая позволила ему выполнить команду в закрытой части серверной инфраструктуры Facebook✴, фактически получив над сервером полный контроль.

Источник изображения: Shutter Speed / Unsplash

Как сообщает TechCrunch, уязвимость была связана с одним из серверов, используемых Facebook✴ для создания и показа рекламы. Этот сервер оказался подвержен ранее известной и исправленной ошибке в браузере Chrome, который Facebook✴ использует в своей рекламной системе. Садегипур объяснил, что с помощью облегчённой версии браузера Chrome, запускаемой через терминал, он смог взаимодействовать с внутренними серверами компании и получить доступ к управлению ими в качестве администратора.

«Я предположил, что это критическая уязвимость, которую стоит исправить, поскольку она находится прямо внутри вашей инфраструктуры», — написал Садегипур в своём письме для Meta✴. Компания быстро отреагировала на ситуацию и попросила исследователя воздержаться от дальнейших тестов до устранения проблемы. Исправление заняло всего один час.

Садегипур также подчеркнул опасность обнаруженной ошибки. Хотя он не стал проверять всю возможную функциональность, которую можно было бы использовать, находясь внутри инфраструктуры Facebook✴, он предупредил, что данная уязвимость позволяет потенциально получить доступ к другим сайтам и системам внутри инфраструктуры компании. «С помощью уязвимости удалённого выполнения кода можно обойти ограничения и напрямую извлекать данные как с самого сервера, так и с других устройств, к которым он подключен», — пояснил он.

Meta✴ отказалась предоставить комментарий по запросу журналистов, однако факт устранения бага был подтверждён. Садегипур также добавил, что аналогичные проблемы существуют у других компаний, чьи рекламные платформы он тестировал.

Функция шифрования BitLocker, предназначенная для обеспечения безопасности данных, была представлена Microsoft в Windows Vista. Оказалось, что давняя уязвимость BitLocker, позволявшая хакерам обойти механизм безопасности, всё ещё актуальна, несмотря на то, что Microsoft выпустила исправляющий её патч.

Источник изображения: Hack Capital / unsplash.com

Об этом стало известно на прошедшем недавно конгрессе Chaos Communication Congress, когда хакер Томас Ламбертц (Thomas Lambertz) показал, как можно использовать старую, якобы исправленную уязвимость в технологии шифрования Microsoft. Любопытно, что он смог это сделать это на устройстве со свежей версией Windows 11, в которой были установлены актуальные обновления безопасности.

Речь идёт об уязвимости CVE-2023-21563, которая получила имя «bitpixie» и о которой стало известно в 2022 году. Похоже, что Microsoft так и не удалось полностью решить эту проблему. Эксплуатация упомянутой уязвимости позволяет обойти функцию шифрования и получить полный доступ к данным, хотя для этого потребуется физический доступ к атакуемому устройству.

Для эксплуатации упомянутой уязвимости Ламбертц задействовал технологию Secure Boot, благодаря чему смог запустить старую версию загрузчика Windows. Такой подход позволил извлечь ключ шифрования в память и с помощью Linux извлечь данные из памяти. Для рядовых пользователей данная проблема не слишком актуальна. Однако в корпоративном сегменте BitLocker используется значительно чаще, а в актуальных сборках Windows 11 функция шифрования включена по умолчанию. Это означает, что подобные атаки могут использоваться хакерами для извлечения и расшифровки данных с корпоративных устройств с Windows 11.

Современному человеку свойственно тревожиться о том, что хакеры могут украсть его персональные данные, но иногда самые серьёзные инциденты происходят по вине не киберпреступников, а компаний, которым мы доверяем. На этот раз провинилась Volkswagen Group, которая не обеспечила достаточную защиту информации клиентов.

Источник изображения: vw.com

VW Group хранила конфиденциальные данные, касающиеся 800 тыс. электромобилей, в облаке Amazon, не обеспечив им достаточной защиты; информация оставалась уязвимой в течение нескольких месяцев. Под ударом оказались электромобили марок VW, Audi, Seat и Skoda по всему миру; уязвимость затронула геоданные, сведения о заряде аккумуляторов и ключевую информацию о статусе машины, в том числе работает она или нет. При наличии достаточной технической подготовки гипотетический злоумышленник мог добраться до дополнительных данных в онлайн-службах VW Group и связать их с персональной информацией владельца. В 466 тыс. из 800 тыс. случаев данные о местоположении были настолько точными, что можно было составить подробный профиль повседневных привычек каждого владельца.

Под ударом оказались данные не только рядовых граждан, но и должностных лиц: немецких политиков, предпринимателей, сотрудников полиции Гамбурга и даже, вероятно, разведывательной службы. Уязвимость возникла летом 2024 года, когда ошибку допустила ответственная за программные продукты VW Group компания Cariad. Её обнаружил анонимный эксперт, который подтвердил уязвимость и уведомил об инциденте крупнейшую в Европе ассоциацию хакеров Chaos Computer Club (CCC). Организация немедленно известила об этом уполномоченного по защите данных в Нижней Саксонии, МВД и другие органы безопасности — ведомства дали VW Group и Cariad 30 дней на устранение проблемы, после чего обещали обнародовать сведения о ней. Cariad «отреагировала быстро, тщательно и ответственно», заблокировав возможность несанкционированного доступа к данным клиентов, рассказали в CCC.

Cariad впоследствии заверила клиентов, что конфиденциальная информация, включая пароли и платёжные данные, скомпрометирована не была, поэтому с их стороны никаких действий не требуется. Немецкие политики вызвали крайнюю обеспокоенность инцидентом и призвали автопроизводителей усилить меры кибербезопасности.

Выпустив флагманскую линейку Galaxy S24, компания Samsung обязалась обеспечить их семилетней поддержкой с выпуском обновлений безопасности. Этому будет способствовать инициатива Project Infinity, о которой корейский производитель раскрыл некоторые подробности.

В Project Infinity войдут четыре команды экспертов по кибербезопасности: Red («Красная»), Blue («Синяя») и Purple («Пурпурная») и Cyber Threat Intelligence (CTI — «Разведка в области киберугроз»). Эти группы специалистов будут базироваться во Вьетнаме, Польше, Бразилии и работать по всему миру, не привлекая к себе внимания. Каждой команде отведена своя роль: от упреждающего обнаружения угроз до создания и развёртывания защитных мер. Для владельцев телефонов Samsung результатом работы этих подразделений будут обновления безопасности.

Задача специалистов CTI — выявление потенциальных киберугроз, которое гарантирует, что хакеры не смогут воспользоваться уязвимостями устройств Galaxy. Для этого эксперты будут прочёсывать сегменты интернета Deep Web и Dark Web в поисках признаков незаконной деятельности, осуществляя мониторинг вредоносного ПО и украденных данных. Анализируя аномальные запросы данных и подозрительный трафик, они станут выявлять и нейтрализовывать угрозы, сотрудничая с другими подразделениями инициативы.

Программа Project Infinity построена по военному образцу; задача команд Red и Blue — соответственно имитация атак и защита от них. Вбрасывая случайные данные в ПО, эксперты группы Red смогут находить скрытые уязвимости; специалисты Blue в это время будут непрерывно разрабатывать и внедрять средства защиты. Группа Purple будет работать по образцу Red и Blue сразу, но объектом исследований станет инфраструктура безопасности Galaxy; специалисты этого подразделения станут также привлекать сторонних экспертов, которые помогут в выявлении слабых мест.

Исследователи обнаружили несколько уязвимостей в информационно-развлекательных системах, которые используются в некоторых моделях автомобилей марки Škoda. Эксплуатируя эти уязвимости, злоумышленники могут удалённо активировать некоторые элементы управления и в реальном времени отслеживать местоположение автомобилей.

Источник изображения: skoda-auto.com

Открытие принадлежит специалистам компании PCAutomotive, которая специализируется на вопросах кибербезопасности, — они провели исследование на примере седана Škoda Superb III и доложили о 12 уязвимостях на мероприятии Black Hat Europe. Годом ранее та же компания раскрыла у той же модели ещё 9 уязвимостей. Новые уязвимости можно связать друг с другом и использовать для запуска вредоносного ПО в системах автомобиля.

Для инициации атаки злоумышленник может подключиться к медиаблоку Škoda Superb III по Bluetooth — аутентификация не потребуется, и хакер может располагаться на расстоянии 10 м от машины. Уязвимости информационно-развлекательной системы MIB3 позволяют неограниченно выполнять код и запускать его каждый раз при включении устройства.

Хакер может в реальном времени получать координаты автомобиля по GPS, фиксировать данные о скорости, вести запись разговоров в салоне автомобиля через установленный в системе микрофон, делать снимки экрана в интерфейсе информационно-развлекательной системы и воспроизводить через неё произвольный звук. Если владелец автомобиля включил синхронизацию контактов с телефоном, то злоумышленник может скопировать и телефонную книгу — примечательно, что на телефоне эти данные обычно шифруются. Обойти защиту сетевого шлюза автомобиля для доступа к рулевой системе, тормозам и акселератору исследователям не удалось.

Уязвимые системы MIB3 используются в нескольких моделях автомобилей Volkswagen и Škoda; если верить открытым данным об объёмах продаж, уязвимы порядка 1,4 млн машин. С учетом компонентов на вторичном рынке это число может быть намного выше, предупреждают эксперты. Специалисты PCAutomotive сообщили о своих открытиях владеющей чешским предприятием компании Volkswagen, и та закрыла выявленные уязвимости. «Раскрытые уязвимости в информационно-развлекательной системе были и будут устранены посредством постоянного контроля обновлений на протяжении всего жизненного цикла наших продуктов. Угроз безопасности для наших клиентов или наших автомобилей никогда не было и нет», — заявил представитель Škoda ресурсу TechCrunch.

В октябре Anthropic представила модель искусственного интеллекта Claude Computer Use, которая позволяет нейросети Claude самостоятельно управлять компьютером по запросам пользователя. Исследователь в области безопасности ИИ нашёл способ обратить эту функцию во зло.

Источник изображения: anthropic.com

Эксперт в области кибербезопасности Иоганн Ренбергер (Johann Rehnberger) опубликовал доклад о том, как сумел злоупотребить функцией Computer Use: ИИ по его запросу загрузил и запустил вредоносное приложение, после чего вышел на связь с контролирующим зловред сервером.

Следует отметить, что Claude Computer Use пока остаётся на стадии бета-тестирования, и разработавшая её компания Anthropic предупредила, что функция может работать не так, как задумано: «Рекомендуем принять меры предосторожности, чтобы изолировать Claude от важных данных и действий, чтобы избежать рисков, связанных с инъекциями в запросах». Подобные схемы атаки против ИИ остаются распространёнными.

Ренбергер назвал свой эксплойт ZombAIs — с его помощью эксперт заставил систему загрузить среду удалённого управления Sliver, которая была разработана для тестирования на проникновение, но киберпреступники адаптировали её для своих нужд. Он также отметил, что это не единственный способ использовать ИИ для преступной деятельности — например, можно заставить Claude написать вирус с нуля и скомпилировать его, потому что он может писать код на C.

Установлено также, что перед атаками через инъекции в запросах уязвим китайский чат-бот DeepSeek AI. А большие языковые модели оказались способны выводить код с управляющими символами ANSI для взлома системных терминалов — этот подтип атак получил название Terminal DiLLMa.