Компания Microsoft заявила , что отныне локальные версии Exchange, SharePoint и Skype for Business могут участвовать в программе выплаты вознаграждений исследователям за обнаруженные уязвимости в приложениях и локальных сервисах (Applications and On-Premises Servers Bounty Program), сообщает SecurityLab.
Максимальная сумма вознаграждения за поданные соответствующим образом отчеты об обнаруженных опасных уязвимостях в этих продуктах составляет $26 тыс.
За уязвимости подделки запросов сервера (SSRF), позволяющие злоумышленникам поделывать HTTP-запросы сервера к произвольным URL-адресам в Exchange, Microsoft предлагает награду на 20% выше. То же самое касается SSRF-уязвимостей в SharePoint.
Кроме того, на 30% повысилась сумма вознаграждения за уязвимости небезопасной десериализации управляемых пользователем данных, способные привести к удаленному выполнению кода на сервере.
За уязвимости, позволяющие записывать данные в управляемой пользователем области сервера, а также уязвимости обхода авторизации, с помощью которых неавторизованные злоумышленники могут осуществлять массовые атаки, Microsoft предлагает награду на 20% выше.
На 15% повысилась сумма вознаграждения за уязвимости в Exchange Emergency Mitigation Service (EEMS).
DeFi-протокол Kelp DAO сообщил о подозрительной cross-chain активности с rsETH и остановил контракты токена в основной сети Ethereum и нескольких L2.
Исследователи обнаружили кампанию FakeWallet, в рамках которой в App Store размещались фишинговые iOS-приложения, маскирующиеся под популярные криптокошельки.
Исследователи описали ZionSiphon - OT-вредонос, ориентированный на объекты водоочистки и опреснения в Израиле.
21 апреля в РТУ МИРЭА прошло годовое собрание Ассоциации разработчиков программных продуктов «Отечественный софт».
Исследователи из НИЯУ МИФИ разработали инновационную архитектуру нейросети MambaShield, способную сохранять высокую точность работы даже в условиях целенаправленных кибератак на обучающие выборки.
«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho: по данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа.
Исследователи обнаружили новую версию Android-малвари NGate, которая теперь маскируется не под банковский троян, а под модифицированное легитимное NFC-приложение HandyPay.
Французское агентство France Titres, ранее ANTS, подтвердило инцидент безопасности на портале ants.
Российский разработчик технологий кибербезопасности F6 предупредил о распространении опасного инфостилера WeedHack, замаскированного под популярные модификации для Minecraft.
ПАО «ВымпелКом» и ОАО «РЖД» совместно с разработчиком высокотехнологичных средств защиты информации, компанией «ИнфоТеКС», провели успешные пилотные испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети.
