Исследователь безопасности Дирк-ян Моллема из голландской Outsider Security обнаружил две серьёзные уязвимости в платформе Microsoft Entra ID (ранее Azure Active Directory), которые могли предоставить злоумышленнику права глобального администратора во всех каталогах Azure по всему миру.
Entra ID - это система, управляющая идентификацией пользователей, правами доступа, приложениями и подписками в облачной экосистеме Microsoft. По словам автора исследования, уязвимости позволяли сгенерировать так называемые «actor tokens» и использовать их через устаревший интерфейс Azure AD Graph, что давало возможность подставлять себя вместо кого угодно в чужом каталоге, добавлять пользователей и администраторов, менять настройки и управлять учётными записями.
Моллема сообщил об эксплойтах в Центр реагирования безопасности Microsoft (MSRC) 14 июля. Microsoft оперативно отреагировала: исправление было выпущено 17 июля, а полностью устранено - к 23 июля. Дополнительные меры безопасности внедрили в августе. В начале сентября уязвимостями присвоили код CVE.
Компания отметила, что пока не обнаружила свидетельств использования этих брешей злоумышленниками. Однако специалисты предупреждают: последствия могли быть разрушительными, если бы уязвимости использовались на практике.
Факторы, способствовавшие возникновению проблемы, это наличие устаревших компонентов: Azure AD Graph, который сейчас постепенно вытесняется новым Microsoft Graph, и механизм, отвечающий за выпуск actor tokens через Access Control Service.
В Государственной Думе уже второй день наблюдаются масштабные сбои в работе мобильной связи и Wi-Fi.
В компании «Яндекс» сообщили об отсутствии зафиксированных случаев удаленного взлома своих умных колонок.
В 2025 году фишинг официально закрепил за собой статус ключевой угрозы для корпоративных коммуникаций: по данным BI.
Если вы работаете с контейнерами, оркестраторами или строите DevSecOps-процессы — это событие нельзя пропустить.
Аналитики Kaspersky Cyber Threat Intelligence изучили активность финансово мотивированной группировки шифровальщиков Toy Ghouls, которая с 2025 года проводит кибератаки против российских организаций.
Группа исследователей из Испании, Швейцарии и Люксембурга доказала, что с помощью сети недорогих радиоприемников можно отслеживать перемещения автомобилей через систему мониторинга давления в шинах (TPMS).
Министерство цифрового развития выпустило приказ № 173, который устанавливает порядок предоставления операторами обезличенных персональных данных в государственную информационную систему «Единая информационная платформа национальной системы управления данными».
Экспертно-аналитический центр ГК InfoWatch подготовил исследование «Россия: утечки информации ограниченного доступа, 2023-2025 гг.
Ежегодный форум по информационной безопасности GIS DAYS, который компания «Газинформсервис» организует уже в девятый раз, пройдёт с 30 сентября по 2 октября 2026 года.
Искусственный интеллект Anthropic Claude Opus 4 6 за две недели автономной работы обнаружил 22 уязвимости в кодовой базе Firefox, 14 из которых классифицированы как критические.
