• В топе рейтинга платформы HackerOne оказался ИИ-бот Xbow (скриншот рейтинга выше). За разработкой ИИ-бота стоит одноимённая компания, которая за год существования привлекла $75 млн. инвестиций, в числе которых — Altimeter Capital, Sequoia и NFDG.

• Соучредитель HackerOne Микиэль Принс заявил, что это первый случай, когда продукт компании в сфере ИИ возглавил рейтинг HackerOne в США по репутации. За время работы ИИ-бот обнаружил и сообщил о проблемах безопасности в системах более чем десяти известных компаний, включая Amazon, Disney, PayPal и Sony.

• Судя по статистике, ИИ бот реально находит критичные баги. т.е. не только автоматические XSS-ки, но и zeroday. Именно с помощью Xbow недавно была обнаружена XSS в Palo Alto VPN.

• А теперь представьте, что со временем таких проектов будет тысячи и они будут использоваться не только для легальных целей... и ведь такой расклад событий не за горами. В интересное время живем...

➡ https://www.bloomberg.com/best-hackers-is-an-ai-bot
➡ https://hackerone.com/leaderboard/

#Новости #ИБ #bb #Ai

• В октябре 2023 года многие новостные ресурсы писали о разработке национального сервиса под названием "Мультисканер", который должен был стать аналогом Virus Total.

• В новостях писали, что макет системы запустят до конца 2023 года, в 2024 году планировалось дополнить систему новыми функциями, а после 2025 года сервис должен был «заработать в полную силу». Макет то запустили, а вот дальше дело не пошло... Проект перестали финансировать... Кто удивлен?

➡️ https://digitalcryptography.ru/multiskaner

• P.S. Если нужно проверить файл на наличие вирусов, то воспользуйтесь S.E. Virus Detect, он профинансирован до конца 2026 года 😅

#Новости

• Уходит целая эпоха: Microsoft меняет "синий экран смерти" на "черный" спустя 40 лет. В новой версии теперь можно будет наблюдать не только код ошибки, но и системный файл, который мог спровоцировать ошибку.

• Заявлено, что новый дизайн BSOD будет доступен в обновлении Windows 11 уже этим летом, наряду с новой функцией Quick Machine Recovery. Данная функция позволит системным администраторам накатывать критические исправления и обновления на системах, которые не могут загрузиться, например, из-за тех же BSOD, бесконечных циклов загрузки или других критических ошибок.

➡️ https://www.theverge.com/news/692648/

#Новости

• Ошибка в 689 моделях принтеров Brother и десятках моделей Fujifilm, Toshiba и Konica Minolta раскрывает пароли администратора по умолчанию, которые могут удалённо сгенерировать злоумышленники. Более того, отсутствует способ устранить проблему через прошивку существующих принтеров.

• CVE-2024-51978 — это одна из восьми уязвимостей, которые обнаружили исследователи Rapid7 в рамках исследования оборудования Brother. Используя CVE-2024-51978 и другие уязвимости, злоумышленники имеют возможность определить пароль администратора, получить контроль над устройствами, выполнить удалённое выполнение кода, вывести устройства из строя или проникнуть в сеть, к которой подключены принтеры.

• Пароль по умолчанию в затронутых принтерах генерируется на этапе производства с использованием специального алгоритма, основанного на серийном номере устройства. В Rapid7 указывают, что алгоритм генерации пароля представляет собой легко обратимый процесс:

➡Необходимо взять первые 16 символов серийного номера.
➡Добавить 8 байт, полученных из статической таблицы «соли».
➡Хэшировать результат с помощью SHA256.
➡Закодировать хэш в формате Base64.
➡Взять первые восемь символов и заменить некоторые буквы специальными символами.

• У атакующих есть возможность получить доступ к серийному номеру принтера, используя различные методы эксплуатации, например CVE-2024-51977. Затем хакеры могут использовать алгоритм для генерации пароля по умолчанию и войти в систему как администратор.

• После этого открываются возможности для перенастройки принтера, доступа к сохранённым отсканированным изображениям и адресным книгам. Также злоумышленники могут использовать CVE-2024-51979 для удалённого выполнения кода или CVE-2024-51984 для сбора учётных данных.

• Brother сообщила, что CVE-2024-51978 нельзя полностью исправить в прошивке. Пользователи существующих моделей должны учитывать уязвимость своих устройств и немедленно изменить пароль администратора по умолчанию, а затем обновить прошивку.

• Для устранения проблем уже есть соответствующие инструкции:

➡Brother;
➡Konica Minolta;
➡Fujifilm;
➡Ricoh;
➡Toshiba.

#Новости

👩‍💻 В магазине Firefox обнаружено более 40 фейковых аддонов, которые нацелены на кражу крипты.

• Начиная с апреля злоумышленники размещают в магазине Firefox фейковые аддоны, которые являются клонами популярных криптокошельков. Расчет идет на невнимательность пользователей.

• Если юзер устанавливает такое расширение, то может легко потерять все свои средства, так как вредоносный код аддона перехватывает сид-фразы и отправляет их на свой сервер. А еще аддоны тщательно маскируют, указывая оригинальный логотип, накручивают рейтинг и отзывы. Так что будьте осторожны и внимательно проверяйте то, что скачиваете.

➡️ https://blog.koi.security/firefox [VPN].

#Новости #Firefox

💬 «Сидеть в системе под рутом через su небезопасно!», — говорили они. «Гораздо безопаснее использовать sudo !», — говорили они.

• В коде утилиты sudo, применяемой для организации выполнения команд от имени других пользователей, выявлена критическая уязвимость (CVE-2025-32463), позволяющая любому непривилегированному пользователю выполнить произвольный код с правами root, даже если пользователь не упомянут в конфигурации sudoers.

• Было выявлено, что проблеме подвержены дистрибутивы Linux, использующие файл конфигурации /etc/nsswitch.conf, например, возможность эксплуатации уязвимости продемонстрирована в Ubuntu 24.04 и Fedora 41.

• Уязвимость проявляется в конфигурации по умолчанию и подтверждена в версиях sudo с 1.9.14 по 1.9.17 и потенциально затрагивает все выпуски утилиты, начиная с номера 1.8.33.

• Проблема устранена разработчиками в обновлении sudo 1.9.17p1. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно тут: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).

• Проблема вызвана тем, что при применении опции «‑R» (‑chroot) для запуска команд в chroot‑окружении с выбранным пользователем корневым каталогом, файл /etc/nsswitch.conf загружался в контексте нового корневого каталога, а не системного каталога. Так как пользователь может использовать в качестве корневого каталога для chroot собственный каталог, он может разместить в нём файл конфигурации nsswitch.conf. Контролируя загружаемый подсистемой NSS (Name Service Switch) файл /etc/nsswitch.conf, пользователь может добавить в него настройки, приводящие к вызову дополнительных обработчиков. Подобные обработчики загружаются NSS в форме разделяемых библиотек, которые также можно разместить в подконтрольном пользователю каталоге. Подставив свою библиотеку пользователь может добиться выполнения из неё кода с правами root, так как обработка NSS производится до сброса привилегий.

• В версии sudo 1.9.17p1 разработчиками также устранена ещё одна уязвимость (CVE-2025-32462), позволяющая выполнить команды с правами root, но проявляющаяся только в конфигурациях sudoers, параметр host в которых выставлен в значение, отличное от ALL или имени текущего хоста. Уязвимость вызвана ошибкой, из‑за которой опция «‑h» (‑host) действовала не только в сочетании с опцией «‑l» (‑list) для вывода привязанных к хосту привилегий, но и при запуске команд. Таким образом пользователь мог указать при вызове sudo любой хост и обойти ограничения правил sudoers, привязанных к имени хоста.

➡ Первоисточник.
➡ Источник.

#Новости

• Исследователи из Университета Байройта нашли способ обхода разрешений в Android — через невидимые системные анимации. Метод назвали TapTrap.

• Как работает:
➡Злоумышленник внедряет в приложение кастомную анимацию, при которой прозрачность системного окна задаётся на уровне 0.01, делая его почти невидимым;
➡Элемент интерфейса, например, кнопка «Разрешить», масштабируется и занимает весь экран, увеличивая шанс случайного нажатия;
➡Пользователь думает, что взаимодействует с безопасным приложением, но фактически запускает действия на фоне — например, даёт доступ к микрофону, камере, передаёт данные или даже подтверждает удаление устройства.

• Главное отличие TapTrap от классических атак с наложением заключается в том, что она действует даже на Android 15 и 16. Эксперты предупреждают, что TapTrap представляет серьёзную угрозу, так как её трудно обнаружить визуально и практически невозможно отследить без анализа поведения приложения на уровне системных вызовов. В текущих версиях Android (включая Android 16) нет механизмов, блокирующих данный тип анимации.

• Если интересно, то отчет с подробным описанием атаки доступен по этой ссылке: https://taptrap.click

#Новости #Android

• Никогда такого не было, и вот опять: оказывается, что при трудоустройстве в McDonald's, каждый соискатель должен направить свое резюме чат‑боту «Оливия» на сайте McHire.com. Этот бот запрашивает у соискателя данные для дальнейшей коммуникации и направляет личностный тест.

• Так вот, исследователи нашли простые способы взлома бэкенда платформы чат-ботов на сайте McHire.com и получили данные к миллионам соискателей. Самое забавное здесь то, что доступ в админку для владельцев ресторанов принимал стандартные логин и пароль «123456», а API содержал уязвимость типа Insecure Direct Object Reference, позволяющую получить доступ к любым чатам и контактам.

• Но по итогу уязвимость была устранена, а пароль от УЗ сменили, вероятно, на 654321...

➡️ Вот тут более подробно: https://ian.sh/mcdonalds

#Новости

• Хороший пример, когда нужно проверять ссылку, файл и сам репозиторий на наличие накрученных звезд: на GitHub нашли зловред под видом бесплатного VPN. На самом деле, таких репо много, но мало кто о них слышит и находит без должной огласки.

• У ребят из Сyfirma вышел объемный отчет, в котором описана схема распространения стилера Lumma через GitHub под видом бесплатного VPN-клиента. Главная цель - заставить жертву запустить файл Launch.exe. После чего начинается процесс заражения, включающий различные методы обхода анализа и обнаружения, чтобы незаметно проникнуть на устройство жертвы.

• Стилер собирает большие объёмы данных с заражённого устройства — от банковских реквизитов из браузеров до файлов криптокошельков, в том числе информацию о системе и установленных программах, а также файлы cookie, имена пользователей и их пароли, номера банковских карт и сведения из журнала подключений. Так что всегда проверяйте то, что скачиваете, даже с авторитетных источников.

➡️ https://www.cyfirma.com/malware-disguised-as-free-vpn

• Кстати, стилер Lumma активен еще с 2022 года и распространялся через фишинг. Потом пошла волна с поддельной CAPTCHA, когда юзер сам вводит команду и заражает свой ПК, а теперь добрались и до GitHub. Если интересно почитать полный разбор этой малвари, то вот тут есть очень содержательная статья: https://securelist.ru/lumma

#Новости #Отчет

• Еще один хороший отчет от экспертов компании Сyfirma. На этот раз был продемонстрирован новый способ заражения устройств на ОС Windows. Речь идет о новом классе атак - RenderShock. В отличие от традиционных схем заражения, RenderShock не требует от пользователя открытия файла, перехода по ссылке или запуска вложения. Активация вредоносного кода происходит пассивно, когда операционная система или служебные компоненты просто обрабатывают файл в фоновом режиме.

• Вектор атаки основан на использовании стандартных функций Windows, таких как панели предпросмотра, службы индексирования, антивирусные сканеры и облачные синхронизаторы. Это именно те инструменты, которые обеспечивают удобство работы с файлами: быстрый поиск, предварительный просмотр, автоматическое сканирование и отображение метаданных.

• Суть RenderShock заключается в следующем: злоумышленник подготавливает файл с внедрённым вредоносным кодом — это может быть PDF-документ с внешней ссылкой, Word-файл с макросом, LNK-ярлык или специально созданный многоформатный объект. Затем файл размещается в ZIP-архиве или другом носителе. Как только он попадает в поле обработки системы — например, при наведении курсора в проводнике, сканировании антивирусом или индексации системой поиска — запускается выполнение вредоносной логики.

• Сценарий RenderShock включает пять фаз — от доставки файла до активации удалённого кода. Среди возможных последствий:

➡Незаметный сбор системной информации через DNS-запросы;
➡Утечка учётных данных через механизмы SMB-аутентификации (включая NTLM-хеши);
➡Удалённое выполнение кода с использованием встроенных функций предпросмотра или системных ярлыков;
➡Передача конфиденциальных данных на внешние ресурсы без уведомления пользователя.
➡Пример, приведённый экспертами: файл с расширением .LNK, помещённый в ZIP-архив, может инициировать обращение Windows Explorer к внешнему серверу за иконкой, что уже приводит к передаче авторизационных данных, даже если пользователь не открыл файл.

• Особая опасность заключается в том, что RenderShock задействует легитимные системные процессы — explorer.exe, searchindexer.exe, preview-handlers Office — которые не вызывают подозрений у антивирусных решений. Такие процессы часто входят в белые списки и считаются безопасными, что позволяет вредоносной активности оставаться незамеченной.

➡️ https://www.cyfirma.com/research/rendershock

#Отчет #Новости

• Как то я пропустил новость о том, что ИИ-помощник Copilot от Microsoft выдавал любому желающему скрипты MAS (Microsoft Activation Scripts) для бесплатной активации Windows 7-11 и приложений Office. Достаточно было попросить ИИ о помощи с активацией и вам предоставлялась подробная инструкция со всей необходимой информацией и серийным номером. Метод по итогу пофиксили, но интересно совсем другое.

• MAS, проект которого опубликован на GitHub, не банится Microsoft. Ну т.е. Microsoft вообще плевать на пиратство, хотя MAS используют миллионы людей. Вероятно, что ответ такого безразличия кроется в сообщении бывшего сотрудника Microsoft под ником Barnacules Nerdgasm, который ранее писал, что пиратство Windows 11 американскую компанию особо не волнует, так как сами пользователи и есть продукт. Кто бы сомневался, собирая и сливая столько телеметрии.

• Ну и самое крутое: сегодня MAS обновился (подробнее на скриншоте), дательное описание можно почитать на GitHub, который принадлежит Microsoft 😁

➡️ https://github.com/massgravel/MAS

#Разное #Новости #MAS #Microsoft

• Microsoft в очередной раз сокращает свой штат. На этот раз под сокращение попало более 9000 сотрудников, среди которых оказались 200 разработчиков ИИ, который они же и разработали 😁

• Сотрудники King годами работали над внутренними генеративными ИИ-инструментами для автоматизации задач вроде создания уровней и дизайна интерфейсов, написания текстов и тестирования. Эти инструменты обучались сотрудниками на результатах их же работ, а теперь выполняют задачи быстрее и дешевле.

• Так и получается, что работаешь над автоматизацией, а потом автоматизация заменяет тебя... уходишь к конкурентам, работаешь над улучшеной версией, а потом тебя снова сокращают. Ну и так по кругу...

➡️ https://mobilegamer.biz/Microsoft

#Новости

🚂 Любой товарный поезд Америки можно взломать по радио.

• Агентство по кибербезопасности США (CISA) сообщило об уязвимости CVE-2025-1727 (8,1 балла по шкале CVSS) в системах связи End‑of‑Train (EOT) и Head‑of‑Train (HOT) тормозов товарных поездов, используя которую, злоумышленники могли по радио повлиять на движение транспорта. Самое забавное, что об этой уязвимости знали еще 20 лет назад. Исправления для этой уязвимости попросту не существует, нужно внедрять новую систему на базе 802.16t.

• Проблема связана со слабой аутентификацией в радиопротоколе, который связывает локомотив (голову поезда) с устройствами, установленными на последнем вагоне — оконечной сигнализацией (ETD), иногда называемой EOT, мигающим задним фонарем (FRED) или датчиком и тормозным устройством (SBU). Это позволяет атакующему злоумышленнику теоретически передать собственные команды в систему EOT/HOT и даже экстренно остановить состав.

• End‑of‑Train и Head‑of‑Train также могут принимать команды от машинистов, самой важной из которых является торможение задней части поезда. Уязвимая система известна под названиями End‑of‑Train device или FRED (Flashing Rear‑End Device — дословно «Мигающее заднее устройство»). Такое устройство устанавливается в последнем вагоне грузовых поездов. FRED собирает телеметрию и передаёт данные на устройство в начале поезда с помощью специального протокола, в основе которого лежит устаревшая контрольная сумма BCH. С появлением SDR (Software‑defined radio) оказалось, что такие пакеты можно легко подделывать и отдавать команды устройству EoT для внезапного включения тормозов. Расстояние зависит от усиления и прямой видимости. При этом EOT/HOT в том виде, в котором он разработан, работает на расстоянии нескольких километров, поскольку в некоторых случаях поезда длиной 3–5 км — не редкость.

• По итогам работы ИБ‑специалистов железнодорожным компаниям в США предстоит заменить более 75 000 устройств EoT на поездах по всей территории США, Канады и Мексики. Это внедрение запланировано на 2026 год, а на полную модернизацию составов потребуется около 5–7 лет и от $7 млрд до $10 млрд.

➡️ https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10

• Кстати, эта уязвимость была продемонстрирована на DEFCON ИБ исследователем Эриком Рейтером 6 лет назад. Если интересно, то на YT есть полноценный обзор:

➡️ https://www.youtube.com/watch?v=vloWB0LHT_4

#Новости

• Похоже форум XSS (ex DaMaGeLaB) всё: на сайте европола указано, что полиция Франции и правоохранительные органы Украины смогли арестовать администратора форма XSS. Сейчас при переходе по ссылке можно наблюдать соответствующее сообщение (на скриншоте выше). Арест произошел вчера (22 июля) в Киеве. Указано, что за 20 лет работы админ форума заработал 7 млн. евро... Более детальные подробности по ссылке ниже:

➡️ https://www.europol.europa.eu/xss

#Новости

👩‍💻 В Android встроена возможность запуска графических Linux-приложений.

• По информации OpenNET, теперь приложение Linux Terminal позволяет запустить в окружении Android виртуальную машину с Debian GNU/Linux, в которой можно выполнять обычные Linux‑приложения.

• Для запуска графического окружения в приложение Linux Terminal добавлена кнопка Display, включающая перенаправление графики через компоненты в основном окружении Android. После активации кнопки Display в терминале можно запустить композитный сервер Weston, предоставляющий минималистичный оконный сеанс, а затем использовать его для запуска любых графических приложений. Более детальная информация есть по ссылке ниже:

➡️ https://www.androidauthority.com/linux-terminal-graphical-apps-3580905/

#Linux #Android #Новости

• А что, так можно было что ли!? Компания Clorox является крупнейшим мировым производителем бытовой химии, которому больше 100 лет. Сегодня компания оценивается примерно в 16 миллиардов баксов. И сейчас они судятся со своей IT-фирмой из-за того, что пару лет назад их систему взломали самым тупым способом...

• Хакер просто позвонил в службу поддержки, представился сотрудником Clorox, попросил сбросить пароль и отключить MFA в системах Okta и Microsoft. В тех. поддержке не стали проверять личность — не запросили ни ID, ни имя менеджера, вообще ничего. Просто выдали доступ. Ущерб от этой «хакерской атаки» составил 380 миллионов долларов. Такие вот дела...

➡️ https://arstechnica.com/Clorox

#Новости