Критическая уязвимость в Microsoft-signed kernel-level драйвере BioNTdrv.sys от Paragon Partition Manager активно используется ransomware группировками в атаках BYOVD (Bring Your Own Vulnerable Driver). Это не просто эскалация привилегий - это компрометация ядра Windows-системы.

Технические детали и риски:

Уязвимости кроются в драйвере BioNTdrv.sys (версии 7.9.1 и 17) и позволяют злоумышленникам, уже имеющим доступ к системе (даже с ограниченными правами), выполнить следующие действия:

* Kernel Memory Corruption (CVE-2025-0288, CVE-2025-0286, CVE-2025-0285): Уязвимости типа arbitrary kernel memory write/mapping позволяют атакующему непосредственно манипулировать памятью ядра. Это открывает путь к:
* Privilege Escalation: Получение SYSTEM-уровня привилегий.
* Arbitrary Code Execution in Kernel Mode: Запуск произвольного кода на самом высоком уровне привилегий, обходя все защиты ОС.
* Kernel-Level Rootkit Installation: Внедрение вредоносного ПО непосредственно в ядро ОС, обеспечивая максимальную скрытность и контроль.
* Null Pointer Dereference (CVE-2025-0287): Классическая уязвимость, приводящая к падению системы (BSOD) или, при грамотной эксплуатации, к выполнению произвольного кода ядра.
* Insecure Kernel Resource Access (CVE-2025-0289 - v17): Небезопасный доступ к ресурсам ядра через непроверенный указатель, контролируемый атакующим. Результат - привилегированное выполнение кода.

Почему BYOVD так опасно?

Подписанный Microsoft драйвер BioNTdrv.sys обходит стандартные механизмы проверки подписи драйверов. Злоумышленники используют это, чтобы:

1. Обойти Driver Signature Enforcement (DSE): Windows доверяет драйверу из-за цифровой подписи, позволяя ему загрузиться в ядро, даже если он уязвим.
2. Эскалировать привилегии: Используя уязвимости в уже загруженном драйвере, вредоносный код получает SYSTEM-права, что позволяет ему делать абсолютно все в системе.

Рекомендации по защите:

* Обновление Paragon Partition Manager: Установите последнюю версию, содержащую исправленный драйвер BioNTdrv.sys v2.0.0.
* Проверка Microsoft Vulnerable Driver Blocklist: Убедитесь, что ваш Windows Defender (или другое антивирусное ПО) использует актуальный Vulnerable Driver Blocklist. Windows 11 активирует его по умолчанию.
* Мониторинг загруженных драйверов: Регулярно проверяйте список загруженных драйверов на предмет подозрительных или неизвестных (хотя в BYOVD атаке драйвер известный, но уязвимый).
* Усиление Endpoint Security: Убедитесь, что ваши EDR/XDR решения способны детектировать и блокировать BYOVD-атаки и подозрительную активность, связанную с драйверами.

Внимание: Эксплуатация CVE-2025-0289 уже зафиксирована в ransomware атаках! Оперативное реагирование критически важно.

Типичный 🎹 Сисадмин

Директора Astra Linux побили у него же дома

Роман Мылицын, руководитель отдела перспективных исследований ГК «Астра», стал жертвой бытового конфликта.

Причина – его собака, чей лай мешал жителям дома. Соседи неоднократно выражали недовольство в общем домовом чате, жалуясь на «невозможность спокойной жизни». Один из соседей решил разобраться лично, и дело дошло до драки. На следующий день после которой пострадавший вызвал бригаду скорой.

Linux / Линукс 🥸

#изчата

Типичный 😬 Сисадмин

Broadcom экстренно исправляет три 0-day уязвимости в VMware

CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 затрагивают продукты VMware ESX, включая VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform.

Эти баги позволяют злоумышленникам, имеющим доступ уровня администратора или root, осуществить побег из песочницы виртуальной машины.

Типичный 🥸 Сисадмин

А что если это выход из Матрицы... в 1995 год? 🎹

Типичный 🥸 Сисадмин

Типичный 😢 Сисадмин

Alibaba выкатили модель QwQ-32B

Она уделывает DeepSeek и нейронки от OpenAI в кодинге и математике:

▪️ Модель натренирована по «облегчённому» методу из-за чего у неё 32 млрд параметров;
▪️ Алгоритм обучения настолько эффективный, что ИИ обошел модели OpenAI с 200 млрд параметров — обратите внимание на график;
▪️ Нейронка шустро пишет тексты, кодит и решает математические задачи аж олимпиадного уровня;
▪️ Количество ошибок при этом минимальное;
▪️ Воспринимает огромный контекст в 131 тысячу токенов!

Демка — тут, а код — тут.

🥸 godnoTECH - Новости IT

За два года Intel уволила 23 тысячи сотрудников 🚫

Intel продолжает увольнять сотрудников в рамках масштабных мер по сокращению расходов, о которых компания объявила в прошлом году.

Intel пытается восстановить своё конкурентное преимущество в полупроводниковой отрасли.

Типичный 🥸 Сисадмин

Слышите шум вентиляторов? Нет, это просто серверный бачок наполняется.

Типичный 🚽 Сисадмин

Когда BGP падает в пятницу вечером.

Типичный 🥸 Сисадмин

Стяжки выручают. Спасибо Валерию! 😬

Типичный 🥸 Сисадмин

Критическая уязвимость в VMware ESXi - Активная эксплуатация

Уязвимость типа heap overflow в VCMI позволяет локальному злоумышленнику, обладающему административными привилегиями в гостевой виртуальной машине, осуществить выход за пределы виртуализации. Успешная эксплуатация приводит к выполнению произвольного кода на хостовой операционной системе с контекстом процесса VMX.

Уязвимость классифицируется как zero-day и активно эксплуатируется в публичных сетях. По данным мониторинга Shadowserver Foundation, на момент публикации более 37,000 публично доступных серверов VMware ESXi остаются уязвимыми.

Рекомендации:
1. Применить исправления: Необходимо немедленно установить обновления безопасности, выпущенные Broadcom. Обходные пути отсутствуют. Информацию о версиях с исправлениями см. в бюллетене безопасности производителя.
2. Аудит и сканирование: Провести сканирование внешнего периметра для идентификации уязвимых систем ESXi.
3. Изучение бюллетеня безопасности: Ознакомиться с официальным бюллетенем безопасности Broadcom для получения полной технической информации и рекомендаций.
4. Приоритетное обновление: Обновление ESXi-инфраструктуры является критически важной задачей и должно быть выполнено в кратчайшие сроки.

Идентификатор: CVE-2025-22224
Тип уязвимости: Out-of-bounds write, Heap Overflow
Компонент: VCMI (VMware Cloud Management Interface)

Типичный 🥸 Сисадмин

HPE собирается сократить почти 3 тысячи сотрудников ✋

На фоне падения акций HPE планирует сократить около 3 тыс. сотрудников, сообщил гендиректор Антонио Нери.

HPE отделили от HP в 2015 году. Последняя также планирует уволить от 1 тыс. до 2 тыс. сотрудников к концу финансового года.

Уже какая новость об увольнениях за последние дни 🤔

Типичный 🥸 Сисадмин

Сломалось зарядное устройство для умных часов 🥇
#предложка

Грамотно.

Типичный 🥸 Сисадмин

Домен AI.com выставили на продажу за $100 млн 🤑

Текущий владелец приобрел домен в 2021 году ещё до хайпа вокруг ИИ, так как A и I – это его инициалы.

Сейчас домен ведёт на сайт DeepSeek. Все последние несколько месяцев владелец AI. com намеренно перенаправлял его на различные ведущие ИИ-компании, чтобы спровоцировать обсуждение потенциальной покупки имени.

🥸 godnoTECH - Новости IT

Team Group представила самоуничтожающиеся SSD P250Q

Особенность P250Q One-Click Data Destruction SSD заключается в поддержке физического уничтожения флеш-памяти, чтобы никто не извлек информацию. Эта функция дополняет традиционное программное стирание, исключая возможность восстановления конфиденциальных данных.

Помимо этого компания анонсировала большое количество новинок для индустриального и коммерческого применения, включая SSD в различных форм-факторах, модули оперативной памяти, а также флеш-карты micro SD.

Типичный 🥸 Сисадмин