Обнаруженная в середине июля атака ToolShell стала одним из самых серьезных событий в сфере корпоративной IT-безопасности этого лета. Не до конца пропатченные уязвимости в Microsoft SharePoint привели к взлому большого количества standalone-инсталляций, до того как производитель ПО выпустил патч. За восемь дней, прошедших с момента , исследователи Microsoft множество атак, в ряде случаев приводящих к шифрованию данных с последующим требованием выкупа.
Анализ связанных с атакой уязвимостей специалисты «Лаборатории Касперского». В техническом отчете они не только показали принцип работы атаки, но также продемонстрировали связь новых проблем в Microsoft SharePoint со старой уязвимостью, закрытой еще в 2020 году.
Эксперты «Лаборатории Касперского» фокусируются на проблемах с идентификаторами CVE-2025-49706 и CVE-2025-49704, которые Microsoft закрыла обычным порядком в составе июльского набора патчей. Как позднее выяснилось, уязвимости были закрыты не до конца. Небольшая модификация запросов к серверу вновь сделала атаку возможной. Из-за этого появились два новых идентификатора уязвимостей: CVE-2025-53770 и CVE-2025-53771. В статье подробно описывается, какая между ними связь.
Уязвимость CVE-2025-49706 представляет собой ошибку в логике обработчика запросов к веб-серверу. Если значение заголовка Referrer HTTP-запроса совпадает с /_layouts/SignOut.aspx, /_layouts/14/SignOut.aspx или /_layouts/15/SignOut.aspx, создаются условия для обхода системы аутентификации. 8 июля эта проблема «закрывается»: в код обработчика добавляется еще одно условие, с которым, по идее, обход аутентификации становится невозможен.
По факту обойти патч для CVE-2025-49706 оказалось очень легко, достаточно добавить символ «/» в строку запроса. Так «родилась» уязвимость CVE-2025-53771, закрытая уже 20 июля. Для полноценной атаки, впрочем, обхода аутентификации недостаточно, нужен инструмент для запуска произвольного кода. За это отвечает уязвимость CVE-2025-49704. Это проблема десериализации недоверенных данных, связанная с некорректной валидацией XML-контента. Логика обработки запроса от клиента приводит к небезопасной десериализации запроса. Опять же 8 июля эта уязвимость «закрывается», и снова не до конца. Обновление помечает элемент управления, приводящий к выполнению произвольного кода, как небезопасный. Но сделано это так, что «применить» новую политику можно только после ручного обновления конфигурации сервера — с использованием утилиты «Мастер настройки продуктов SharePoint». В документации к патчу этот момент не был указан, в результате патч хотя и устанавливался на сервер, но, по сути, не работал.
Окончательное «закрытие» CVE-2025-49704, а также связанной уязвимости CVE-2025-53770 произошло 20 июля. Исследователи «Лаборатории Касперского» отмечают максимальное сходство этих двух проблем с еще более ранней уязвимостью . Тогда в .NET Framework, Microsoft SharePoint и Visual Studio также была найдена проблема, приводящая к выполнению произвольного кода в результате небезопасной десериализации XML. Таким образом, можно считать новые проблемы от 8 и 20 июля 2025 года вариантами данной уязвимости.
Авторы отчета предполагают, что проблема будет эксплуатироваться еще долго, пока не исчезнут непропатченные инсталляции Microsoft SharePoint. В этом смысле у ToolShell много общего с другими долгоиграющими атаками, такими как ProxyLogon, PrintNightmare и EternalBlue. Важной рекомендацией для администраторов SharePoint является не только установка патчей как можно быстрее, но и использование защитных технологий. Решения «Лаборатории Касперского», в частности, блокировали атаку до выпуска патчей благодаря методам поведенческого анализа.
Что ещё произошлоИздание Bleeping Computer о демонстрации потенциального ущерба от взлома ИИ-помощников. Анонимный хакер, скорее всего, в результате организационной ошибки получил доступ к GitHub-аккаунту ИИ-ассистента для разработчиков ПО Amazon Q. Воспользовавшись этим доступом, он добавил промпт, который мог привести к удалению всех данных на системе потенциальной жертвы. Код, к счастью, был намеренно сделан неработоспособным, но тем не менее попал в официальный релиз ассистента и был замечен только через шесть дней.
Громким событием прошлой недели стал социального приложения Tea. Хотя компания-разработчик сервиса и говорит о «несанкционированном доступе», по факту данные приложения хранились в открытой базе данных, включая 13 тысяч селфи, использованных в процессе регистрации пользователей, и 59 тысяч фотографий из постов. Селфи, которые, по утверждению разработчиков, удалялись после окончания процесса регистрации, в некоторых случаях содержали геотеги.
Специалисты компании AquaSec вредоносную программу для систем Linux, получившую название Koske. Koske устанавливает на систему криптомайнер, а для передачи вредоносного кода использует стеганографию: он спрятан в JPEG-картинке с изображением панды.
Зафиксирован еще один внедрения вредоносного кода в игру, распространяющуюся через платформу Steam.
