2SDnjcoK9BL
На платформе 0Patch доступно бесплатное неофициальное исправление для уязвимости нулевого дня в установщике Windows, известной как InstallerFileTakeOve и уже эксплуатирующейся в хакерских атаках.
Уязвимость затрагивает все версии Windows, в том числе Windows 11 и Windows Server 2022 и позволяет злоумышленникам с доступом к учетным записям с самыми низкими привилегиями запускать код с привилегиями администратора.
Исследователь безопасности Абдельхамид Насери (Abdelhamid Naceri) обнаружил уязвимость в процессе анализа патча для другой уязвимости повышения привилегий ( CVE-2021-41379 ) и опубликовал для нее Poc-эксплоит.
Насери обнаружил, что патч от Microsoft оказался неполным, и злоумышленники по-прежнему могут запускать код с привилегиями администратора. По его словам , новый вариант уязвимости (идентификатор CVE ей еще не присвоен) «еще мощнее, чем первоначальный вариант».
Как пояснил сооснователь сервиса 0patch для доставки экстренных исправлений, не требующих перезагрузки системы, Митя Колсек (Mitja Kolsek), проблема связана с тем, что установщик Windows создает файл Rollback (.RBF), позволяющий восстанавливать данные, удаленные или модифицированные в процессе установки.
В какой-то момент Windows перемещает RBF-файл из Config.msi во временную папку и модифицирует разрешения, обеспечивая пользователю возможность записывать файлы.
«Абдельхамид обнаружил, что на месте входящего RBF-файла можно создать символическую ссылку, что приведет к перемещению RBF-файла из C:\Windows\Installer\Config.msi в другой выбранный пользователем файл на системе. Поскольку установщик Windows запущен с привилегиями локальной системы, любой файл, доступный для записи для локальной системы, может быть переписан и открыт для записи для других пользователей», - сообщил Колсек.
Микропатч от 0Patch работает на Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019. Однако нужно понимать, что он является временным решением, призванным обезопасить системы до того, как Microsoft выпустит постоянное исправление.
В инструменте runC, который используется для запуска контейнеров в Docker, Kubernetes и других системах, обнаружены три критические уязвимости - CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881.
После полугодичного затишья операторов Danabot удалось вернуть к жизни инфраструктуру ботнета, разрушенную в ходе международной операции Operation Endgame в мае.
Исследователи из Genians Security Center сообщили о новой кампании кибершпионажа против пользователей Android, связанной с северокорейской группировкой Kimsuky (также известной как APT37 или KONNI).
9-10 декабря 2025 года в инновационном кластере «Ломоносов» пройдёт Открытая конференция ИСП РАН.
Аналитики Sekoia io описали фишинговую кампанию под названием «I Paid Twice», в которой злоумышленники компрометировали учётные записи партнёров на платформах бронирования и рассылали от их имени письма гостиницам и сообщения клиентам через WhatsApp.
Исследователи Mandiant выявили критическую уязвимость в платформе удалённого доступа и обмена файлами Gladinet Triofox.
АНО «Национальный суперкомпьютерный форум», Институт программных систем имени А.
Обновление «Гарда NDR» помогает российским компаниям быстрее выявлять и устранять киберугрозы, снижать нагрузку на аналитиков и повышать эффективность работы центров информационной безопасности.
В День кибериммунитета, 11 ноября, «Лаборатория Касперского» напоминает о том, что меры безопасности могут быть не только реактивными, но и проактивными.
