Сегодня в ТОП-5 — критическая брешь в аутентификации Microsoft, уязвимость в веб-сервисах Cisco, скрытый бэкдор в расширениях Chrome, риски ИИ-агентов в Salesforce, эволюция киберугроз от Северной Кореи.
Критическая брешь в аутентификации Microsoft
Microsoft исправила критическую уязвимость CVE-2025-55241 (CVSS: 10.0) в Entra ID. Эта уязвимость позволяла злоумышленникам с помощью поддельных токенов S2S, выданных Access Control Service, и устаревшего API Azure AD Graph импровизировать глобальных администраторов в любых тенантах, обходя MFA, Conditional Access и логирование. В результате злоумышленники получали доступ к конфиденциальным данным, таким как BitLocker-ключи и настройки Azure, без оставления следов эксплуатации. Рекомендуется мигрировать приложения на Microsoft Graph, поскольку Azure AD Graph API был отключен 31 августа 2025 года.
Уязвимость в веб-сервисах Cisco позволяет удаленное выполнение произвольного кода
Cisco выпустила предупреждение о критической уязвимости CVE-2025-20363 (CVSS: 9.0) в веб-сервисах Secure Firewall ASA, Threat Defense, IOS, IOS XE и IOS XR. Она позволяет удаленным неавторизованным атакующим выполнять произвольный код на уязвимых маршрутизаторах и файерволах без обходных мер. Она Уязвимость требует немедленного обновления для предотвращения потенциальных сетевых вторжений. Рекомендуется применить доступные обновления безопасности.
Скрытый бэкдор в расширениях Chrome
Исследователи Synacktiv раскрыли технику Phantom Extension для компрометации браузеров на базе Chromium в Windows-доменах. Злоумышленники с помощью записи на диск манипулируют файлами предпочтений вроде Secure Preferences, вычисляя хэши расширений и MAC с использованием HMAC-SHA256 из resources.pak, чтобы принудительно загружать вредоносные unpacked-экстеншены. Это позволяет обходить GPO через спуфинг ID легитимных расширений и обеспечивает способность к сохранению присутствия для кражи данных и перехвата трафика. Рекомендуется применять политики Chrome и GPO для ограничения расширений только разрешенными, минимизируя риск несанкционированных загрузок.
Риски ИИ-агентов в Salesforce
Noma Labs выявила цепочку критических уязвимостей ForcedLeak с CVSS 9.4 в Salesforce Agentforce, включая косвенную инъекцию промптов, слабости в валидации контекста, чрезмерно permissive поведение ИИ-модели и обход CSP. Эти уязвимости позволяют атакующим через поля Web-to-Lead форм, такие как Description, с лимитом 42 000 символов, заставлять ИИ-агентов извлекать конфиденциальные CRM-данные, например, вроде email и лидов. Данные эксфильтруются через обход CSP с использованием expired-доменов вроде my-salesforce-cms.com, что в свою очередь требует срочного внедрения Trusted URLs и аудита вводов. Salesforce советует принудительно внедрить Trusted URLs для Agentforce и Einstein AI, чтобы предотвратить нарушения.
Эволюция киберугроз от Северной Кореи
Северокорейская группа DeceptiveDevelopment связана с кампаниями WageMole. Она эволюционировала от примитивных инфостилеров, таких как BeaverTail и OtterCookie, которые использовались для кражи криптовалюты и данных браузеров. Теперь группа применяет сложные многоплатформенные RAT, такие как InvisibleFerret и TsunamiKit. DeceptiveDevelopment интегрирует ИИ для создания фальшивых идентичностей, подмены лиц в интервью и социального инжиниринга через фейковые вакансии на платформах вроде LinkedIn. Это позволяет им проводить масштабные атаки с использованием обфусцированных скриптов и техник ClickFix.
Источник: habr.com