Сегодня в ТОП-5 — критичная уязвимость нулевого дня SharePoint, root-доступ через уязвимость в Kubernetes Image Builder, фишинг с мессенджером Max, EdskManager RAT: ВПО с поддержкой HVNC и возможностями уклонения, скрытый бэкдор в mu-плагинах WordPress.
1. Критичная уязвимость нулевого дня SharePoint Команда Eye Security сообщила о выявлении уязвимостей, которые получили идентификаторы CVE-2025-53770 (CVSS 9,8) и CVE-2025-53771(CVSS 6,3) в SharePoint Online. Успешная атака позволяет неавторизованным злоумышленникам получить доступ к конфиденциальным данным, инициировать ransomware-шифрование файлов и эскалировать привилегии вглубь инфраструктуры (включая компрометацию через AD/SAML-токены). Риски усугубляются слабым контролем разрешений (RBAC) и недостаточным мониторингом активности пользователей и приложений (OAuth-гранты). Рекомендации: провести аудит конфигураций безопасности, разрешений и OAuth-интеграций, а также внедрить активный мониторинг подозрительной активности в SharePoint и его API.
2. Уязвимость позволяет злоумышленникам получить root-доступ в Kubernetes Image Builder В Kubernetes Image Builder обнаружена критическая уязвимость CVE-2025-7342 (CVSS: 9.8), позволяющая злоумышленнику получить полный контроль (root-доступ) над хост-системой. Уязвимость возникает из-за недостаточной изоляции процессов при сборке контейнерных образов. Эксплуатация требует, чтобы злоумышленник имел возможность создать специально сформированный вредоносный Dockerfile или манифест сборки. При его обработке уязвимый компонент Image Builder неправильно ограничивает доступ к нижележащей хост-системе, что позволяет выполнить произвольные команды с привилегиями root. Уязвимы версии Image Builder v0.1.5 — v0.3.0. Рекомендуемые действия: немедленно обновиться до исправленной версии Image Builder v0.3.1, где уязвимость устранена. Если обновление невозможно, временно ограничить использование Image Builder доверенными конвейерами сборки.
3. Обнаружена фишинговая активность, направленная на мессенджер Max Эксперты сервиса проактивного мониторинга внешних цифровых угроз Jet CSIRT обнаружили целевую фишинговую кампанию против пользователей мессенджера Max, нацеленную на кражу учетных данных. Злоумышленники создают сайты, полностью имитирующие интерфейс официального мессенджера Max, включая идентичные заголовки, фавиконы и формы ввода данных. Поддельные ресурсы маскируются под настоящий сервис и распространяются посредством рассылок и рекламы в поисковых системах, заманивая пользователей и заставляя их вводить свои учетные данные. Рекомендуется внедрить / усилить фильтрацию IDN-доменов в корпоративных почтовых и веб-шлюзах и заблокировать доступ к известным фишинговым ресурсам.
4. EdskManager RAT: ВПО с поддержкой HVNC и возможностями уклонения Исследователи из CYFIRMA обнаружили новый многоступенчатый RAT EDSKManager, который сочетает в себе функции удаленного доступа (HVNC), сокрытия и обхода защитных решений. Вредонос распространяется через фишинговые письма с вредоносными вложениями или эксплойт-киты, использующие уязвимости в браузерах и офисных приложениях. Эксплуатация требует выполнения пользователем вредоносного скрипта (JavaScript/VBScript) или документа, что запускает многоступенчатый процесс: начальный загрузчик скачивает и выполняет шифрованный второй этап, который, в свою очередь, развертывает основной модуль RAT. EDSKManager использует агрессивные техники уклонения (обфускация, антиотладка, детект «песочниц») и скрытый доступ к рабочему столу (HVNC) для незаметного управления системой. Основные возможности: кража данных, полный удаленный контроль и обход EDR. Рекомендуется обновить сигнатуры антивирусов, усилить фильтрацию входящей почты, провести тренинг персонала по идентификации фишинга.
5. Обнаружен скрытый бэкдор в mu-плагинах WordPress Исследователи Sucuri обнаружили высокоскрытный бэкдор в WordPress, внедряемый через файлы Must-Use Plugins (mu-plugins), что обеспечивает ему повышенную устойчивость и автоматическую загрузку до обычных плагинов. Бэкдор маскируется под легитимный файл (например, wp-auth.php) и активируется через специальный параметр в запросе (?pl), который передает закодированные команды для выполнения произвольного PHP-кода на сервере через функцию eval(), что дает злоумышленнику полный контроль над сайтом. Бэкдор сложно обнаружить из-за расположения файла и отсутствия записей в админ-панели WordPress. Рекомендуется использовать специализированные сканеры для поиска веб-шеллов, а также принудительно сменить все пароли администраторов и ключи аутентификации WP.
Источник: habr.com