1️⃣ Только одна из организаций, в которых эксперты Positive Technologies проводили пентесты в 2023 году, смогла защитить свою внутреннюю сеть от проникновения внешнего нарушителя

Всего в прошлом году исследователи команды PT SWARM протестировали 28 компаний из разных отраслей — от IT и банковского сектора до телекоммуникаций и сферы услуг.

Все данные со статистикой и обезличенными кейсами успешных атак ищите в полном исследовании, а самое важное расскажем тут.

🎯 Пентестеры должны были разобраться, сможет ли внешний или внутренний злоумышленник успешно атаковать организацию, и верифицировать недопустимое для бизнеса событие.

💯 Во всех организациях, где удалось провести внутреннее тестирование, эксперты установили полный контроль над инфраструктурой. Например, в одном проекте специалисты получили максимальные привилегии на домене Active Directory за 6,5 часов, в остальных этот показатель варьировался от 1 до 7 дней.

🛡 От внешнего проникновения в свою сеть смогла защититься лишь одна компания. Здесь эксперты получили доступ только в буферную зону между интернетом и внутренней инфраструктурой.

🥷 Однако даже в этой организации, как и во всех остальных, пентестеры подтвердили возможность реализации хотя бы одного недопустимого события.

Например, получение несанкционированного доступа к базе данных с персональной информацией более 460 тысяч пользователей.

Самое быстрое проникновение в локальную вычислительную сеть заняло всего один день. В среднем специалистам требовалось 10 дней для получения доступа.

👀 О ключевых проблемах, которые были обнаружены в организациях, читайте в исследовании на нашем сайте.

#PTSWARM #PositiveЭксперты
@Positive_Technologies

6️⃣ Эксперты PT SWARM помогли устранить шесть уязвимостей в парольном менеджере Passwork

Если бы злоумышленники сумели их обнаружить и проэксплуатировать, это могло бы привести к потере доступа пользователей к сохраненным паролям. Но наши коллеги — Алексей Писаренко, Алексей Соловьев и Олег Сурнин — предотвратили эту опасность.

Passwork входит в единый реестр российского ПО, им пользуются крупнейшие компании России банковской, строительной, промышленной и других отраслей. Мы уведомили вендора об угрозе в рамках политики ответственного разглашения, и 14 ноября 2024 года он выпустил обновленную программу версии 6.4.3, в которой все недостатки были устранены.

Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 5,8 до 8,1 балла по шкале CVSS 3.1 (средний и высокий уровни опасности). Их эксплуатация грозила утечками информации и нелегитимными изменениями данных профиля.

Эксперты обнаружили несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017: даже с минимальными привилегиями в системе киберпреступник смог бы внедрить и выполнить в браузере пользователя произвольный JavaScript-код. Выполнение такого же кода при использовании недостатка BDU:2024-08016 могло произойти, если бы пользователь перешел по вредоносной ссылке. Результатом таких атак стала бы компрометация аккаунтов пользователей и администраторов Passwork.

«Эксплуатация BDU:2024-08018 могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. А если бы нарушитель смог переписать файл базы данных с паролями, возник бы риск утраты всех паролей», — уточнил Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies.

👉 Больше подробностей, а также информация о том, как предотвратить эксплуатацию уязвимостей, — в новости на нашем сайте.

#PTSWARM
@Positive_Technologies

Эксперт PT SWARM обнаружил новый вектор эксплуатации «старых» уязвимостей в снятых с производства, но все еще использующихся процессорах Intel

Речь идет об уязвимостях CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2019-0090, CVE-2021-0146, которые уже исправлены компанией Intel. Прежние способы их эксплуатации давали злоумышленникам возможность частично скомпрометировать систему безопасности затронутых платформ, а новый, найденный нашим коллегой Марком Ермоловым, может привести к ее полному взлому 🤯

Под угрозой находятся устройства, оснащенные процессорами Intel Pentium, Celeron и Atom семейств Denverton, Apollo Lake, Gemini Lake и Gemini Lake Refresh.

❗️ Сейчас выпуск этих чипов прекращен, однако они все еще применяются в некоторых ультрамобильных устройствах (электронных книгах и мини-ПК) и встраиваемых системах, вроде бортовой электроники автомобилей.

1️⃣Первый сценарий возможной атаки — внедрение в процессоры программы-шпиона через цепочку поставок на этапе сборки или ремонта оборудования.

«Для этого не требуется пайка или другая физическая модификация оборудования. Злоумышленнику достаточно локального доступа для извлечения ключа шифрования и внедрения вредоносного кода в прошивку подсистемы Intel CSME. Подобную зловредную программу с большой долей вероятности не смогут выявить стандартные функции безопасности, такие как Intel Boot Guard или virtualization-based security (VBS), и все существующие антивирусы. До поры до времени оставаясь незамеченным, вредоносный код может начать высылать данные пользователей злоумышленникам, блокировать доступ к устройству, удалять и зашифровывать данные носителей и выполнять другие опасные действия», — объяснил Марк Ермолов.

2️⃣ Сценарий номер два — обход средств защиты авторских прав (DRM) для получения доступа к защищенному контенту стриминговых сервисов. Эта же методика компрометации может использоваться для обхода механизмов защиты и копирования данных в некоторых моделях электронных книг Amazon, где используются уязвимые процессоры Intel Atom.

3️⃣ Третья возможность, которую дает обнаруженный вектор, — доступ к данным на зашифрованных носителях информации (жестких дисках или SSD). Такие атаки могут применяться при краже ноутбука или планшета на базе указанных процессоров.

Компания Intel была уведомлена в рамках политики ответственного разглашения, но не признала описываемую проблему и отказалась принимать меры для ее устранения или снижения уровня угрозы.

🛡 Чтобы обезопасить себя, советуем проверить технические характеристики устройств, которыми вы пользуетесь. Если их процессоры потенциально уязвимы, будьте осторожнее, например, при ремонте, где злоумышленник может получить к ним доступ.

#PositiveЭксперты #PTSWARM
@Positive_Technologies

🔎 Эксперты PT SWARM помогли усилить безопасность «Яндекс Телемост» для Windows

По оценкам TelecomDaily, это приложение является наиболее популярным среди отечественных сервисов для видеоконференций и занимает 19% российского рынка.

Недостаток безопасности CVE-2024-12168 получил оценку 8,4 балла по шкале CVSS 4.0, что означает высокий уровень опасности. При его успешной эксплуатации хакеры могли бы получить доступ к рабочей станции в корпоративной сети жертвы или, при другом векторе атаки, распространять вредоносное ПО под видом «Яндекс Телемоста».

«Для закрепления на рабочей станции пользователя злоумышленнику достаточно было бы загрузить свою вредоносную DLL-библиотеку в папку с уже установленным „Яндекс Телемостом“. Права локального администратора для этого не требовались, а вредоносный код исполнялся бы при каждом запуске „Телемоста“. В результате факт закрепления мог бы остаться незамеченным, так как сценарий атаки является достаточно специфичным для большинства классических антивирусных решений», — отмечает Иван Суслопаров, эксперт команды PT SWARM.

🗂 Еще один вариант использования уязвимости — распространение, например через фишинговые атаки, модифицированного архива, где вместе с оригинальным «Яндекс Телемостом» содержалась бы специально сформированная вредоносная DLL-библиотека. В этом случае клиентское приложение «Яндекс Телемост», которое Windows считает безопасным из-за официальной цифровой подписи компании, на самом деле могло бы запустить вредоносный код, при этом защитные механизмы ОС не выдали бы никаких сообщений об угрозе.

Один из примеров использования найденной уязвимости белыми хакерами — получение командой PT SWARM начального доступа к инфраструктуре финансовой компании в ходе проекта по анализу защищенности. Метод DLL Side-Loading среди прочего использовался киберпреступниками из Team46, в недавних вредоносных кампаниях EastWind и DarkGate, а также при распространении трояна удаленного доступа PlugX.

⚠️ Мы уведомили вендора об угрозе, и команда «Яндекс 360» оперативно приняла меры в рамках налаженного процесса управления уязвимостями. Для защиты пользователям необходимо обновить приложение до версии 2.7 или выше.

#PTSWARM
@Positive_Technologies

🙂 Эксперт PT SWARM Александр Журнаков помог исправить уязвимость в библиотеке Math — части опенсорсного проекта PHPWord

Библиотека PHPWord предназначена для чтения и генерации текстовых документов на языке PHP и популярна среди разработчиков. В июне 2025 года 7,4 тыс. пользователей добавили библиотеку в избранное, она имеет 2,7 тыс. копий репозитория в веб-сервисе GitHub. В свою очередь, Math встроена в PHPWord и почти не используется отдельно: ее сохранили 29 пользователей, а репозиторий был скопирован всего 4 раза.

👾 Уязвимость CVE-2025-48882, найденная в Math 0.2.0, имеет высокий уровень опасности — 8,7 балла по шкале CVSS 4.0. Из-за связанности библиотек слабое место присутствовало и в компоненте PHPWord начиная с версии 1.2.0-beta.1.

«Нарушитель мог бы загрузить вредоносный текстовый файл в формате OpenDocument и в процессе его обработки прочитать конфигурационные файлы. Используя их данные, злоумышленник гипотетически получил бы административный доступ к приложению, — объяснил Александр Журнаков. — Возможная атака, скорее всего, была бы направлена на чтение файлов, содержащих чувствительную информацию. В некоторых случаях ошибка могла бы быть использована для подделки запросов со стороны сервера и их отправки во внутреннюю сеть».

Потенциальный ущерб, по его словам, полностью зависел бы от возможностей приложения, использующего уязвимую библиотеку. Например, если бы в руках злоумышленника оказался обособленный сервис для конвертации документов в формат PDF, ему вряд ли удалось бы серьезно навредить организации.

Мы сообщили о найденной уязвимости, и команда разработчиков-энтузиастов пропатчила обе библиотеки. Так что советуем загрузить исправленные версии Math 0.3.0. и PHPWord 1.4.0. А если такой возможности нет, настройте запрет на использование файлов в формате ODF, если используемое приложение позволяет их загружать.

#PTSWARM #PositiveЭксперты
@Positive_Technologies

📺 Эксперты PT SWARM нашли уязвимость в российской системе видео-конференц-связи VINTEO

Производитель представил для исследования тестовый стенд, и при анализе кода наши коллеги Михаил Ключников и Александр Стариков смогли обнаружить недостаток безопасности (BDU:2025-07296, 9,3 балла по шкале CVSS 4.0).

Сервер VINTEO предназначен для построения инфраструктуры видео-конференц-связи и масштабирования уже существующих сетей. По данным вендора, его решения за 12 лет позволили провести около 10 млн видеоконференций.

Уязвимость, связанная с удаленным выполнением кода (RCE), появилась из-за недостаточной фильтрации пользовательских данных в системном компоненте.

«В случае успешной эксплуатации уязвимости потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контроль над ним», — пояснил Михаил Ключников, руководитель группы исследования ПО отдела тестирования на проникновение, Positive Technologies.

Дальнейшие сценарии атак могли быть самыми разными. Но благодаря участию VINTEO в программе багбаунти специалисты выявили возможную угрозу на тестовом стенде, а разработчик ее оперативно устранил. Мы считаем, что сотрудничество Positive Technologies и VINTEO в рамках политики ответственного разглашения информации об уязвимостях — это пример эффективного взаимодействия между исследователями безопасности и производителями ПО. Подобный диалог позволяет повысить защищенность отечественных ИТ-решений.

Уязвимость была обнаружена и устранена в январе. Вендор выпустил security-патч, закрывший проблему, а затем подготовил полноценное обновление ПО с исправлением. Если вы используете эту систему, обновите ее до версии 30.2.0 или выше.

👀 Больше об уязвимости рассказали в новости на сайте.

#PositiveЭксперты #PTSWARM
@Positive_Technologies