Forwarded from ESCalator
⚠️ Эксперты PT ESC обнаружили попытки эксплуатации уязвимости CVE-2025-24071
Уязвимость CVE-2025-24071, затрагивающая широкий спектр операционных систем Windows, включая серверные и клиентские версии Windows 10 и Windows 11, была выявлена 11 марта.
CVE-2025-24071 связана с механизмом обработки файлов в Windows Explorer и системой индексирования — они автоматически анализируют файл
Операционная система без взаимодействия с пользователем инициирует NTLM-аутентификацию на атакующем SMB-сервере — это приводит к утечке хеш-суммы NTLMv2 учетной записи жертвы, что может быть использовано для атаки.
Впервые описание и РoС уязвимости привел исследователь 0x6rss в своем блоге. Эксперты также заметили, что уязвимость может использоваться при сохранении файла с расширением
🕵️♀️ Несмотря на то что данные об уязвимости были опубликованы пару дней назад, злоумышленники не спят: мы уже обнаружили попытки эксплуатации CVE-2025-24071 в организациях в России и Республике Беларусь.
Атакующие распространяют архивы, в которых содержатся документ в формате PDF и файл
📈 Эксперты PT ESC прогнозируют всплеск атак с использованием этой уязвимости. Мы рекомендуем следующие методы защиты:
• Ограничить соединения по SMB-протоколу к внешним серверам.
• Обновить Windows до последней версии (установить мартовские обновления).
• Запретить запуск файлов с расширением
• Заблокировать получение файлов с расширением
IoCs
#win #news #cve #detect #ioc
@ptescalator
Уязвимость CVE-2025-24071, затрагивающая широкий спектр операционных систем Windows, включая серверные и клиентские версии Windows 10 и Windows 11, была выявлена 11 марта.
CVE-2025-24071 связана с механизмом обработки файлов в Windows Explorer и системой индексирования — они автоматически анализируют файл
.library-ms, извлекаемый при распаковке вредоносного архива и содержащий ссылку на SMB-ресурс. Операционная система без взаимодействия с пользователем инициирует NTLM-аутентификацию на атакующем SMB-сервере — это приводит к утечке хеш-суммы NTLMv2 учетной записи жертвы, что может быть использовано для атаки.
Впервые описание и РoС уязвимости привел исследователь 0x6rss в своем блоге. Эксперты также заметили, что уязвимость может использоваться при сохранении файла с расширением
.library-ms из электронного письма.🕵️♀️ Несмотря на то что данные об уязвимости были опубликованы пару дней назад, злоумышленники не спят: мы уже обнаружили попытки эксплуатации CVE-2025-24071 в организациях в России и Республике Беларусь.
Атакующие распространяют архивы, в которых содержатся документ в формате PDF и файл
.library-ms (скриншот 1). Жертва распаковывает архив и запускает PDF-приманку (скриншот 2), в то время как файл .library-ms автоматически и незаметно для пользователя отправляет данные на командный центр злоумышленников.📈 Эксперты PT ESC прогнозируют всплеск атак с использованием этой уязвимости. Мы рекомендуем следующие методы защиты:
• Ограничить соединения по SMB-протоколу к внешним серверам.
• Обновить Windows до последней версии (установить мартовские обновления).
• Запретить запуск файлов с расширением
.library-ms.• Заблокировать получение файлов с расширением
.library-ms по электронной почте.IoCs
Письмо Минпромторга России от 17.03.2025 № 182544_21 о направлении сведений по кадровому потенциалу предприятий 2025.pdf.library-ms
MD5: c3f9813545b7f830183369dd649bd595
SHA-1: fcadd1a24f2fa6e0f5338ff0e8d186258c79a05d
SHA-256: a4205e773eee7f33d1bb776a2f7b36da4b3955284208c015257311b8ef23f721
Письмо Минпромторга России от 17.03.2025 № 182544_21.zip
MD5: 83a60de9faed1b0a0344eda108aee44f
SHA-1: 10c02f7a3214dc166f6a8ce19c3d0a988084b3ea
SHA-256: e7897176a7d226c82af27ff525399bd0c7d7b73fdfffac8d2d56b8707637aa99
01 Сопроводительное.pdf.library-ms
MD5: 74e2f206e99040868b60eef04781de8a
SHA-1: f27ecc7ec9c6425a41a3cbfa8bf74f24c32c6488
SHA-256: 8a3728ebdb64e69347c14356b250eb0720801ce367acd1b53510a8dea16f7001
01 Сопроводительное.zip
MD5: 78cd8d4481713fbd4beb790a127bd793
SHA-1: 595b68aaad8a705e78125735cdb7136b6f17b077
SHA-256: 07f6d81b5e3fba23f5de34038424ebec4710cbc16959de4389ceb7855e69bac2
spisoc.library-ms
MD5: 9bab71704cefac935546e09d12dfd2c1
SHA-1: 922c6ee612bd22a85cd1e84f50e18d21656c3f3d
SHA-256: cb9810b6492aad667554958332a3518aeed8d356dcd03b43e4116cd92c938d0f
154.205.148.56
38.60.247.250
94.250.249.129
#win #news #cve #detect #ioc
@ptescalator
👍23👌10🐳8🔥5❤1
Об этом его создатели — наши коллеги из Positive Labs — написали статью в блог на Хабре, где рассказали, как им пришла в голову идея сделать такой крутой мерч и сколько проблем пришлось решать в процессе.
Вот вам пять увлекательных фактов:
Прошлогодняя история стала хорошей тренировкой, и на ней ребята из Positive Labs не остановились. Как бейдж изменился за
#PositiveLabs #PHDays
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥28❤15👍9
В статье для Positive Research Александр Дупленко, специалист направления развития инициатив ИБ-сообществ, рассказывает, что уже умеет наш бот и как он показал себя на Open Security Week.
Ищите в ней подробности об архитектуре решения, тонкостях настройки, успешном «пилоте» и о том, как легко этот волшебный помощник становится незаменимым для разработчиков.
На достигнутом мы останавливаться не собираемся, перспективы у GitHub-бота — о-го-го. Например, хотим, чтобы он мог интегрироваться с другими сервисами и фильтровать уведомления.
Кстати, правки от сообщества принимаются. Уже знаете, что хотели бы добавить?
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤5👏5🔥1
Присоединяйтесь к образовательной программе «Архитектура сетевой безопасности предприятия» от Positive Education, которая стартует 7 апреля.
Автор программы — Михаил Кадер, главный архитектор стратегических проектов Positive Technologies, чей опыт проектирования защищенных сетей составляет более 20 лет.
За четыре недели программы вы прокачаете свои скилы:
🤔 Как построена программа
Программа подходит сетевым инженерам, специалистам по ИБ и администраторам, которые хотят глубже разобраться в кибербезопасности и построении эффективной защиты инфраструктуры компаний.
👉 Регистрируйтесь по ссылке и получите доступ к бесплатному модулю уже сегодня!
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13👍6🔥5❤🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
⚙️ Как производится PT NGFW
Делимся эксклюзивными кадрами с технологического завода, где по нашему техническому заданию собирают программно-аппаратные комплексы для межсетевого экрана нового поколения от Positive Technologies.
Результатами PT NGFW за 2024 год мы делились в этой публикации. На видео — процесс сборки PT NGFW 1050, одной из самых популярных моделей по итогам прошлого года.
🔥 Взять продукт на тест-драйв.
#PTNGFW
@Positive_Technologies
Делимся эксклюзивными кадрами с технологического завода, где по нашему техническому заданию собирают программно-аппаратные комплексы для межсетевого экрана нового поколения от Positive Technologies.
Результатами PT NGFW за 2024 год мы делились в этой публикации. На видео — процесс сборки PT NGFW 1050, одной из самых популярных моделей по итогам прошлого года.
#PTNGFW
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥32👍12❤8❤🔥2
О новом методе социальной инженерии наши коллеги рассказали в исследовании киберугроз за IV квартал 2024 года. Злоумышленники размещали на вредоносных сайтах поддельную CAPTCHA, и после ее прохождения предлагали пользователю вставить данные из буфера обмена в командную строку, активируя загрузку и установку инфостилера — ВПО, предназначенного для сбора информации с зараженного устройства. Жертвами таких атак массово становились частные лица. Как фальшивая CAPTCHA выглядит на практике — показали на скриншоте в иллюстрации, чтобы вы ее точно узнали
«Настоящие проверки CAPTCHA никогда не требуют ввода команд в операционной системе и в пределах непосредственно веб-страницы. Существующие методы антибот-проверок предполагают только упорядочивание фигур, повторение буквенно-числовой последовательности или проставление галочки в окне „Подтвердить, что я человек“. Кроме того, настоящая CAPTCHA обычно не запрашивает логины, пароли, номера карт или другие сведения. Если после выполнения CAPTCHA пользователя просят ввести конфиденциальные данные — это сигнал, что нужно проявить осторожность», — предупреждает Анна Голушко, старший аналитик исследовательской группы Positive Technologies.
Самыми распространенными инструментами в атаках на организации были шифровальщики, вредоносное ПО для удаленного управления и шпионское ПО.
Например, в середине ноября специалисты PT ESC зафиксировали кампанию по распространению Lumma Stealer и NetSupport RAT: сотрудники российских организаций получали фишинговые письма с вложенными файлами форматов LNK и DOCX, при открытии которых происходила загрузка ВПО.
Злоумышленники изобретают новые схемы доставки вредоносов на устройства.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👏10👍8😁7🔥6❤4😱3❤🔥1🤨1
🦸♂️ Глобальная миссия SuperHardio Brothers, команды экспертов по харденингу, — обеспечить киберустойчивость и непрерывность бизнеса
В новой серии нашего спецпроекта 31 марта в 14:00 поговорим о том, как методология ХардкорИТ помогает достичь этого результата. На вебинаре эксперты поделятся, как через математическое моделирование времени атак рассчитать метрики киберустойчивости и с их помощью управлять доступностью ИТ-систем.
В прямом эфире обсудим:
🧮 Чем устойчивость бизнеса отличается от киберустойчивости и как их оценить.
🤔 Почему традиционные меры IT DR (восстановления после катастроф) — не предел того, что вы можете предпринять.
🛡 Как ХардкорИТ помогает определить недопустимые события и критические для бизнеса системы и сделать так, чтобы злоумышленник до них не добрался.
👍 Кому подходит наша методология (покажем реальные истории успеха заказчиков) .
Приглашаем присоединиться всех, кто хочет строить киберустойчивый бизнес: от CIO, CTO и CISO до ИТ-экспертов и технических специалистов разного профиля.
#ХардкорИТ
@Positive_Technologies
В новой серии нашего спецпроекта 31 марта в 14:00 поговорим о том, как методология ХардкорИТ помогает достичь этого результата. На вебинаре эксперты поделятся, как через математическое моделирование времени атак рассчитать метрики киберустойчивости и с их помощью управлять доступностью ИТ-систем.
В прямом эфире обсудим:
Приглашаем присоединиться всех, кто хочет строить киберустойчивый бизнес: от CIO, CTO и CISO до ИТ-экспертов и технических специалистов разного профиля.
#ХардкорИТ
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥5❤3
Media is too big
VIEW IN TELEGRAM
День открытых дверей Positive Technologies — место, где начинается позитив 🤩
В марте мы провели наше ежегодное мероприятие для партнеров — DOD 2025, на котором подвели итоги совместной работы за 2024 год, а также наметили планы на будущее.
🏆 Ежегодно на DOD мы проводим церемонию награждения партнеров за совместную работу с наилучшими показателями.
По итогам 2024 года:
Мы благодарим всех наших партнеров и дистрибьюторов за вклад в общее развитие бизнеса 🌟
😱 И one more thing: на DOD 2025 мы анонсировали PT Maze — сервис, который поможет защитить любое приложение для iOS и Android от реверсинга. Защита PT Maze усложняет поиск уязвимостей в приложении и препятствует созданию вредоносных клонов. Больше подробностей расскажем на PHDays Fest в мае.
Как прошел DOD 2025 — смотрите на видео 😉
@Positive_Technologies
В марте мы провели наше ежегодное мероприятие для партнеров — DOD 2025, на котором подвели итоги совместной работы за 2024 год, а также наметили планы на будущее.
В портфеле Positive Technologies более 25 высокотехнологичных продуктов и решений. Выполнять пилотные проекты, проектирование, интеграцию, внедрение и сопровождение нам помогают более 480 партнеров по России и миру. Ежегодно мы проводим день открытых дверей, где делимся, что нового готовим и как предлагаем усиливать наш бизнес, а также обмениваемся опытом.
🏆 Ежегодно на DOD мы проводим церемонию награждения партнеров за совместную работу с наилучшими показателями.
По итогам 2024 года:
Лучшими партнерами стали Инфосистемы Джет, ДиалогНаука, РТК ИБ (ГК Солар).
Лучшие региональные партнеры — TS Solution, ГК «Анлим».
Лучший дистрибьютор — OCS.
Победителями промо-программы PT NGFW 2024 (за первую большую продажу продукта) стали Айтуби и Инфосистемы Джет.
Мы благодарим всех наших партнеров и дистрибьюторов за вклад в общее развитие бизнеса 🌟
😱 И one more thing: на DOD 2025 мы анонсировали PT Maze — сервис, который поможет защитить любое приложение для iOS и Android от реверсинга. Защита PT Maze усложняет поиск уязвимостей в приложении и препятствует созданию вредоносных клонов. Больше подробностей расскажем на PHDays Fest в мае.
Как прошел DOD 2025 — смотрите на видео 😉
@Positive_Technologies
🔥22❤7❤🔥6👍4🥰1
Ложные срабатывания — все! Мы выпустили новую версию PT Application Inspector 👁
🔎 Повысили точность результатов сканирования
Объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST) — в продукте появились возможности анализа достижимости и поиска транзитивных зависимостей.
1️⃣ PT Application Inspector 4.10 учитывает не только информацию об уязвимостях в используемых библиотеках, но и проверяет использование уязвимых функций. В итоге система предупреждает лишь о тех уязвимостях, которые реально могут быть проэксплуатированы злоумышленниками.
2️⃣ Библиотека, которая содержится в коде, может быть связана с другой — уязвимой — через одну или несколько библиотек. Наш продукт отслеживает такие связи и отображает их в виде графа зависимостей, что позволяет четко определить фактическую угрозу.
🤥 Сократили число ложных срабатываний
Результаты тестирования на 193 открытых проектах с GitHub, использующих уязвимые компоненты, впечатляют: количество ложноположительных срабатываний снизилось на 98–100%. Это позволяет сэкономить время на анализе срабатываний и сосредоточиться на исправлении реальных дефектов безопасности.
⬆️ ⤵️ Добавили поддержку тегов для параллельного анализа
Теперь разработчики могут запускать сканирование разных Git-веток одного репозитория одновременно, не опасаясь перезаписи результатов, а статусы уязвимостей, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами репозитория. Эта функция позволяет минимизировать простои, объединять историю изменений уязвимостей из разных веток и гибко настраивать синхронизацию.
👀 Больше подробностей об обновлении — на нашем сайте.
#PTApplicationInspector
@Positive_Technologies
Объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST) — в продукте появились возможности анализа достижимости и поиска транзитивных зависимостей.
🤥 Сократили число ложных срабатываний
Результаты тестирования на 193 открытых проектах с GitHub, использующих уязвимые компоненты, впечатляют: количество ложноположительных срабатываний снизилось на 98–100%. Это позволяет сэкономить время на анализе срабатываний и сосредоточиться на исправлении реальных дефектов безопасности.
«PT Application Inspector определяет, действительно ли уязвимый фрагмент кода присутствует в приложении. Так как в большинстве случаев наличие уязвимости в коде не подтверждается, число срабатываний снижается в десятки раз», — прокомментировал Сергей Синяков, руководитель продуктов application security, Positive Technologies.
Теперь разработчики могут запускать сканирование разных Git-веток одного репозитория одновременно, не опасаясь перезаписи результатов, а статусы уязвимостей, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами репозитория. Эта функция позволяет минимизировать простои, объединять историю изменений уязвимостей из разных веток и гибко настраивать синхронизацию.
👀 Больше подробностей об обновлении — на нашем сайте.
#PTApplicationInspector
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤🔥9🔥5🎉5❤4🤔2👏1🤯1😱1👌1🐳1
Telegram ежедневно используют около 72% россиян в возрасте от 12 лет. Обратная сторона такой популярности — огромное количество мошеннических схем, которые злоумышленники проворачивают через мессенджер.
О многих из них — от рассылки фишинга под видом розыгрыша премиум-подписки до выманивания крупных сумм денег якобы для того, чтобы избежать проблем с законом, — мы рассказывали в недавней статье на Хабре.
#PTESC #PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍28❤10👏7❤🔥1🤔1🐳1
Дано: ваша компания использует контейнерные среды.
Найти: как обеспечить их безопасность, ведь, согласно отчету компании Red Hat, 67% фирм отложили или замедлили развертывание контейнеров из-за проблем с безопасностью Kubernetes.
Решение: PT Container Security🎁
Подробнее о
И это, конечно, далеко не все. Подробности о продукте, его архитектуре, системных требованиях, сильных сторонах и необходимых доработках
#PTContanerSecurity
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍5🔥2🤯1