Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 29-30 мая и 03 июня 2025.
Разрешения, предоставленные через файловый селектор OneDrive, представляют угрозу безопасности организаций
Исследователи обнаружили, что сотни сторонних веб-приложений, интегрированных с Microsoft OneDrive, могут иметь чрезмерные разрешения OAuth, предоставляющие им полный доступ к файлам и данным пользователей.
Проблема усугубляется отсутствием безопасного управления токенами. Проблема связана с подходом «все или ничего» к разрешениям доступа, используемым файловым селектором OneDrive от Microsoft.
Пользователям часто приходится использовать файловый браузер, например, при выборе файла для загрузки в OneDrive через приложение. При этом им может быть предложено разрешить приложению доступ для продолжения операции, однако предоставленные разрешения значительно превышают необходимые, что может привести к тому, что пользователь неосознанно предоставит полный доступ к диску, а не только к файлу или папке, с которыми он работает.
В результате может возникнуть ситуация, представляющая серьезную угрозу безопасности и конфиденциальности пользователей. Злоумышленник, создавший вредоносное приложение, может воспользоваться избыточными разрешениями для чтения, изменения или удаления всех файлов пользователя в OneDrive, что может привести к потере данных, проблемам с целостностью или утечке данных.
До тех пор, пока в OneDrive не появится механизм детальной настройки разрешений, пользователи, которые используют OneDrive для хранения и обмена файлами, должны регулярно проверять и отменять ненужные разрешения приложений, чтобы не оставить приложениям ненужный доступ.
Новое вредоносное ПО использует поврежденные заголовки для обхода системы обнаружения
Недавно обнаруженное вредоносное ПО использует поврежденные заголовки DOS (Disk Operating System) и PE (Portable Executable) для обхода системы обнаружения.
Согласно новому отчету Fortinet, злоумышленники запустили пакет скриптов и PowerShell для запуска вредоносного ПО в процессе Windows dllhost.exe. Повреждая заголовки, злоумышленники затруднили извлечение информации для анализа. Fortinet обошла эту проблему, запустив процесс dllhost.exe в отладчике в качестве целевого процесса для сброшенного вредоносного ПО, что позволило проанализировать вредоносное ПО в локальной среде анализа.
Хотя Foritnet не прокомментировала характер атаки в своем отчете, в заявлении для Hacker News она сообщила, что наблюдала подобное поведение в рамках одного инцидента, связанного с деятельностью программ-вымогателей.
Злоумышленники используют Google App Script для размещения фишингового контента
Злоумышленники постоянно ищут новые места для сокрытия вредоносного контента и, по данным исследователей, все чаще обращаются к Google Apps Script – платформе автоматизации на базе JavaScript, интегрированной в Google Workspace – в качестве инструмента для проведения своих атак.
Исследователи недавно отметили, что злоумышленники используют фишинговые электронные письма, замаскированные под счета-фактуры или уведомления о налогах, содержащие ссылки на вредоносные веб-страницы, размещенные на доверенном поддомене Google script.google.com. Используя Google Apps Script, злоумышленники могут использовать доверенного поставщика услуг для размещения поддельных страниц входа, которые имитируют легитимные страницы.
Если целевой пользователь нажимает ссылку в фишинговом письме, чтобы просмотреть документ, он попадает на фишинговую страницу, размещенную в поддомене службы Google, где ему предлагается нажать кнопку для предварительного просмотра документа. Это приводит к переходу на поддельную страницу входа, где ему предлагается ввести свои учетные данные электронной почты для просмотра документа. Информация, введенная в форму, отправляется злоумышленникам, а пользователь перенаправляется на настоящую страницу входа в учетную запись Microsoft в качестве приманки.
Злоумышленники часто злоупотребляют легитимными сервисами, чтобы размещать и осуществлять свои атаки, поскольку их трудно заблокировать, не нарушив легитимные сценарии использования. Например, злоумышленники известны тем, что злоупотребляют сервисами
Cloudflare, такими как Turnstile, чтобы обойти автоматический анализ, а также сервисами pages.dev и workers.dev для размещения вредоносного контента. Использование службы Google App Script – это еще один способ, который злоумышленники обнаружили для проведения атак, и он может стать популярным среди киберпреступников.
Google устранили уязвимость нулевого дня в Chrome и отозвал доверие к двум центрам сертификации
Google выпустила срочные обновления безопасности для браузера Chrome, чтобы исправить ряд уязвимостей, в том числе уязвимость нулевого дня с высоким уровнем опасности, отслеживаемую как CVE-2025-5419 (оценка CVSS: 8,8), которая активно эксплуатируется в реальных условиях.
Эта уязвимость представляет собой проблему чтения и записи за пределами области памяти в движке V8 JavaScript и WebAssembly браузера Chrome. Злоумышленник мог бы воспользоваться уязвимостью, создав вредоносный веб-сайт с эксплойтом и заманить на него пользователей. Код эксплойта мог вызвать сбой в работе памяти при посещении сайта с уязвимого браузера.
Проблема была впервые обнаружена и сообщена Клементом Лесинь (Clement Lecigne) и Бенуа Севенсом (Benoît Sevens) из группы анализа угроз Google 27 мая 2025 года. Google быстро исправила проблему на следующий день, выпустив обновление конфигурации для стабильной версии Chrome на всех платформах. Хотя в Google упоминается, что уязвимость уже активно используется злоумышленниками, подробности об этом не разглашаются, чтобы не дать им слишком много информации. В том же выпуске была исправлена еще одна уязвимость высокой степени опасности в движке Blink, отслеживаемая под номером CVE-2025-5068 (оценка CVSS: 8,8).
Пользователям настоятельно рекомендуется обновить Chrome до версии 137.0.7151.68 или более поздней на Windows, macOS и Linux, чтобы защититься от потенциального взлома. Кроме того, пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, следует устанавливать обновления, когда они становятся доступны от поставщиков.
Из новостей, касающихся браузеров Chrome, следует, что Google намерена прекратить доверять цифровым сертификатам, выданным двумя центрами сертификации (ЦС), а именно Chunghwa Telecom, крупнейшим поставщиком интегрированных телекоммуникационных услуг в Тайване, и Netlock, венгерской компанией, предоставляющей решения в области цифровой идентификации, электронной подписи, маркировки времени и аутентификации. Эта мера обусловлена тем, что Google описывает как «вызывающие беспокойство модели поведения, наблюдавшиеся в течение последнего года» со стороны этих двух компаний. Посетители, которые используют браузеры Chrome для посещения сайтов, использующих сертификаты, предоставленные этими компаниями, после 31 июля 2025 года будут видеть заметные предупреждения.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
