🤡 Как Microsoft чинила одну уязвимость, а выкатила zero-click бэкдор

В феврале Мелкомягкие выкатили заплатку от критической баги в Windows Shell (CVE-2026-21510). Изначально дыра позволяла вслепую протаскивать левые экзешники в обход SmartScreen и получать удаленное выполнение кода. Инженеры Microsoft героически перекрыли кислород троянам, отчитались в бложике и забыли.

Но, как это обычно бывает, закрыли они ровно половину проблемы. Теперь вместо скрытой установки малвари кулхацкеры тупо тянут учетки.

Вектор опирается на древние костыли файлового менеджера (Explorer). Атакующий подкидывает жертве специально ярлык, внутри которого зашит удаленный сетевой UNC-путь. Винда видит ярлык, и у нее срабатывает рефлекс... надо срочно подгрузить и отрисовать красивую иконку 😬. Система ломится по указанному пути, инициируя SMB-рукопожатие с сервером хакера. В процессе этого коннекта Windows отдает удаленному серверу хэш Net-NTLMv2 текущего юзера. Бинго 🎩... дальше хэш либо перебирается по словарям, либо юзается напрямую для атаки.

З.Ы. Эксплойт работает в чистом zero-click режиме, где вообще не надо кликать по ярлыку. Достаточно просто открыть папку с ним (или чтобы почтовый клиент попытался отрендерить превью вложения).

Вот так вот легаси из 90-х годов (автоматический рендеринг иконок по сети) умножает на ноль современные системы защиты.

Разумно, если еще не сделано, отрубить исходящий SMB-трафик (порты 139 и 445) на периметре сети наглухо, а также отключить NTLM аутентификацию там, где это возможно.

Типичный 🥸 Сисадмин

Пользовательская работа на тоненького... рядом с питанием 🌚

Типичный 🥸 Сисадмин

Ленты снова в фокусе?!

Наши заказчики вновь смотрят на ленточные носители. А все потому что мы вовремя им подсветили, сколько они сэкономят с лентами в 2026 🧐

Контекст предсказуем и прозаичен, но озвучим наши с вами общие наблюдения:

— объем резервных и архивных данных растет как на дрожжах
— хранить его на дисках и в облаках становится дорогим удовольствием

⬅️Вопрос: как организовать хранение постоянно растущего объема данных при этом снизить затраты, сохранить гибкость архитектуры и надежность?

➡️Ответ: ленты

Служат до 30 лет, хранят до 75 ТБ при сжатии (зависит от привода), энергопотребление минимальное. Да, скорость доступа к данным уступает дискам, но это вопрос компромиссов. А еще они безопасны при онлайн-атаках.

В основном мы предлагаем ленты как один из элементов в стратегии резервного копирования 3-2-1. Они принимают на себя те данные, что рекомендуется выносить за основной контур.

Конечно, есть нюансы внедрения и использования. Например, надо четко понимать, какое поколение LTO-приводов вам нужно, в каком контексте задач вы рассматриваете ленты, какие ленточные библиотеки актуальные и надежные.

Все это уже проговорили в подробном исследовании на сайте.

Погрузиться в чтиво с кофейком на 5 минут ⏺

💬Мы в MAX 💙VKontakte
Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFHSuAgy

- Дед, а почему ты из ИТ ушел?
- Когда монолит распилили на микросервисы, я понял, что этот цирк уже не остановить...

Типичный 🥸 Сисадмин

🔐 15 лет с голой жопой. Как обычная запятая в OpenSSH давала root-права всем желающим.

Безопасники из компании Cyera раскопали эпичный факап в самом сердце опенсорса. В коде OpenSSH нашли дыру (CVE-2026-35414), которая 15 лет позволяла получить рута через... банальную опечатку.

Баг благополучно жил в кодовой базе полтора десятилетия. Эксплойт позволяет любому юзеру с низкими привилегиями, имеющему валидный серт от доверенного центра сертификации, инстантно поднять свои права до root на целевом сервере 😱

Для тех кто позабыл 😬... SSH-сертификаты работают через principals (роли/имена), которые прописываются при подписи ключа утилитой ssh-keygen. Сервер при коннекте сверяет эти principals со своим локальным конфигом.

А теперь следите за руками разработчиков OpenSSH. Какой-то сумрачный гений 15 лет назад решил сэкономить время и заюзал для парсинга списка principals старую сишную функцию, которая изначально писалась для парсинга списков алгоритмов шифрования (в духе aes128-ctr,aes256-gcm).

Для этой функции запятая - это истинный разделитель массива. Что делает атакующий? Он просит у своего CA выпустить сертификат с принципалом, в имени которого тупо захардкожена запятая. Например deploy,root.

Что делает уязвимый OpenSSH-сервер? Он берет эту строку, прогоняет через кривой парсер, который сплитит её на два отдельных принципала: deploy и root. Дальше срабатывает логическая дыра... первая функция проверки видит совпадение по deploy (если такой юзер разрешен сервером) и пускает дальше, а вторая функция авторизации из-за конфликта переменных просто скипает дальнейшую валидацию и... выдает атакующему полноценный root. Epic Win 🔥! На написание рабочего эксплойта у исследователей ушло 20 минут.

Самая жопа заключается в том, что этот взлом физически невозможно отследить по логам. Поскольку сервер технически считает авторизацию легитимной (сертификат-то валидный, криптография сошлась, подпись CA верна), в /var/log/auth.log не падает никаких ошибок authentication failure. Никакие Fail2Ban, Wazuh и дорогущие SIEM-системы на это не триггернутся. В логах это выглядит как штатный, рутинный логин легального юзера 🎩

Патч уже выкатили в свежем релизе OpenSSH 10.3 (вышел в начале апреля). Так что, господа, идем чекать версии демонов sshd и обновляем пакеты. И заодно проверьте, кому ваш внутренний Vault/CA раздает серты, пока кто-нибудь не зашел на прод под логином user,root 🙂

Типичный 🥸 Сисадмин

Отдел ИБ одобряет этот подход

Блокирую даже когда иду в туалет у себя дома. Профдеформация 👴

Типичный 🥸 Сисадмин

Прайс-лист Чебурнета опубликован.

Журналисты поковырялись в логах исполнения бюджета за 2025 год и нашли там потрясающее. Построение цифрового загона стоит очень, очень дорого.

Минцифры влило 43,5 миллиарда полновесных рублей в развитие сервисов экосистемы VK. Транш распилили на две неравные части:
🟢Незначительные 4 млрд руб. ушли на «многофункциональный сервис обмена информацией». Гуглим реестры и видим, что оператором этого чуда назначено ООО «МАХ» 😶
🟢Жирные 39,5 млрд руб ухнули в уставной капитал АО ИК «Единое видео»... то бишь на создание и продвижение «VK Видео», которое теперь короновали титулом «национальная видеоплатформа» 👑

А что дает официальный статус «национальной платформы»? Экспэрты заявляют... это аппаратный QoS на уровне ТСПУ. Когда РКН в очередной раз дернет рубильник, устроит шатдаун или переведет сеть в режим белых списков, видосы в VK продолжат летать без буферизации.

Есть еще ироничная деталь этой архитектуры... инсайдеры на IT-рынке подтверждают, что движок для «Единого видео», их кросс-платформенные плееры и SDK изначально выросли из недр... «Одноклассников» 🙂. Да-да, фундамент суверенного видеохостинга за 40 миллиардов был заложен теми самыми бородатыми инженерами, которые годами оптимизировали доставку блестящих гифок, классов и оценок 5+ 🎩

Типичный 🥸 Сисадмин

😶 Цифровой феодализм в проде

По федеральному зомбоящику выступил экс-советник президента по интернету и пояснил, что вычленить VPN-трафик из общего потока слишком сложно. Поэтому вместо того, чтобы жечь ЦП на DPI-коробках попытками распарсить каждый обфусцированный TLS-хендшейк, государство переходит к изящному BGP-капитализму.

В интервью прозвучала гениальная историческая метафора про налоги. Раньше государство выпускало социальную рекламу «заплати налоги и спи спокойно»... все ржали и уклонялись. А потом налоговую автоматизировали, и (цитата):

Мы уже не смеемся, мы плачем, но получаем удовольствие.

С интернетом решили провернуть ту же схему. Архитектор нашей Матрицы понял, что бороться с обходом технически невозможно... люди всё равно прокопают туннель. Поэтому Система просто делает этот туннель платным. По расчетам сверху, 70% нормисов тупо зажмут деньги и добровольно запрут себя в стерильном Рунете (VK, RuTube, Дзен). А оставшиеся 30% будут оплачивать закупку новых серверов для РКН из своего кармана. Идеальный баланс 😰

Свободный интернет не умер, он просто переходит на премиум-подписку 🤑

Типичный 🥸 Сисадмин

Подскажите промпт, чтобы он отошел на два шага вправо? 👨‍🔬

Типичный 🥸 Сисадмин

ВНЕЗАПНО... бездушные алгоритмы добрались до святая святых.

Сканер Cloudflare Radar детектит MAX 📲 как Malicious (вредоносный) и вешает на него жирный красный ярлык Spyware 😗

Типичный 🥸 Сисадмин

☕️ Давате нальем утреннего кофе, наденем шапочки из фольги и погрузимся в тотальную, параноидальную шизофрению цифрового мира.

Все мы помним старину Сноудена, который в 2013 году пруфанул то, о чем некоторые орали годами... АНБ тупо врезало сплиттеры в оптику AT&T и пылесосило весь трафик в рамках программы PRISM. Тогда интернет был уютным и ламповым, а половина пакетов летала в чистом виде 🍪🍪

Потом индустрия психанула, натянула везде TLS 1.3, а мессенджеры внедрили шифрование. Казалось бы, приватность спасена, эпиквин, все дела? Хрен там плавал. Вы реально думаете, что пока мы пилили VLESS и Reality, спецслужбы с их триллионными бюджетами 10 лет сидели на жопе ровно? 👮

Считаю, что Архитектору Матрицы больше не нужно читать переписку. В дело вступило тяжелое машинное обучение и Биг Даты, которые жрут метаданные. Получается такой парадокс современности... пытаясь стать невидимым, ты надеваешь на себя мигающую гирлянду с надписью (Я ЧТО-ТО СКРЫВАЮ) 👺

Например Signal... Ты ставишь самый секьюрный мессенджер в мире. Шифрование не пробить. Но DPI провайдера (и АНБ, и ТСПУ) моментально детектит уникальный TLS-фингерпринт сигнала. Они не знают что ты пишешь, но знают, с кем, когда и каким объемом байт ты обмениваешься. Ты уже в списке любителей приватности.

Или еще... ты снес YouTube и поставил NewPipe или LibreTube. Ты обхитрил Гугл, отключил рекламу и телеметрию. И именно этим ты себя спалил. Твой IP-адрес выделяется из миллионов других хомячков отсутствием фонового мусорного трафика к трекерам Гугла. Для ML-алгоритма ты уже аномалия 🤖

Но ты пошел дальше и снес стоковый андроид и накатил GrapheneOS или LineageOS, вырезав GApps. ИИ на магистрали видит, что запросы к NTP-серверам Graphene идут, а к серверам обновлений и телеметрии Google - нет. Вот ты и попался снова! И это не говоря уже про то, когда ты из этого сетапа запускаешь Tor или самописный Xray-туннель.

После все этих ухищрений для ML-моделей ты больше не аноним, а жирная точка на графике нормального распределения 🎧

Толпа нормисов, которые сливают свои фотки в VK, Нельзяграм, сидят в зеленом чатике и доверяют свои пароли облаку Apple - они безопасный серый шум. Система их игнорирует. А вот чувак, который не генерирует рекламную телеметрию, юзает нестандартные DNS-резолверы, сидит в LineageOS и гоняет пакеты равного размера через нестандартные порты... вот это уже цель, которую нужно взять в разработку (отправить запрос в Apple/Google на выдачу пуш-уведомлений, как в постах ранее, или банально пробить по биллингу) 👮‍♂️

Получается, что высший пилотаж нынешнего кибербеза и истинный, абсолютный ОПСЕК - это мимикрия 🐑

Хочешь спрятаться в лесу - стань деревом. Хочешь спрятать трафик - сгенерируй гигабайты фонового мусора из ТикТока или Рутуба, обвешайся дефолтными зондами, а всё нужное заверни внутри стрима с котиками. А если ты слишком чистый, Матрица придет за тобой... всех с первомаем 👾

Типичный 🥸 Сисадмин

🙂 Недалёкое будущее в параллельной вселенной...

Полиграф отменили, и теперь лояльность инженеров при приеме на работу проверяет нейросеть РКН, обученная на логах перегретых ТСПУ.

Садись в кресло. Не отводи взгляд от объектива камеры.

...Базовый тест инициализирован...

— Используете ли вы протоколы с обфускацией? ТСПУ.
— ТСПУ.
— Знаете ли вы, что такое Default Deny? ТСПУ.
— ТСПУ.
— Согласны ли вы с тем, что Docker Hub должен быть заблокирован? ТСПУ.
— ТСПУ.
— Тарификация.
— Тарификация.
— Вы используете VPN для доступа к зарубежным ресурсам? Тарификация.
— Тарификация.
— Что вы чувствуете, когда лимит заграничного трафика в 15 гигабайт сгорает за день? Тарификация.
— Тарификация.
— Пятьдесят третий порт.
— Пятьдесят третий порт.
— Вы смотрели в полные боли глаза пользователя, которому вместо сайта налоговой прилетел фейковый ответный пакет с левого APIPA-адреса? Пятьдесят третий порт.
— Пятьдесят третий порт.
— У вас возникало незаконное желание поднять DNS over HTTPS? Пятьдесят третий порт.
— Пятьдесят третий порт.
— МАХ.
— МАХ.
— Вы задыхаетесь, когда корпоративный антифрод отрезает вас от инфраструктуры из-за туннеля? МАХ.
— МАХ.
— Вам нравится осознавать, что кто-то парсит черновики ваших сообщений? МАХ.
— МАХ.
— Повторите три раза: "Я добровольно оплачу налог на зарубежные мегабайты".
— Я добровольно оплачу налог на зарубежные мегабайты. Я добровольно оплачу налог на зарубежные мегабайты. Я добровольно оплачу налог на зарубежные мегабайты.
— Одобряю. Эмоциональных девиаций не выявлено. Ваш доступ к суверенному Интранету подтвержден. Доступ к корпоративному аккаунту в MAX разрешен. Можете приступать к обновлению 1С.

Типичный 🏥 Сисадмин

— Что вы чувствуете, когда BGP-маршруты падают?
— Ничего.
— А когда РКН блокирует localhost?
— Стабильность.

Типичный 👨‍🦳 Сисадмин