Сегодня в ТОП-5 — RedSun, новая уязвимость нулевого дня в Microsoft Defender, предоставляет системные привилегии, 108 вредоносных расширений для Chrome крадут данные Google и Telegram, затронув 20 000 пользователей, Программа CPUID Breach распространяет STX RAT через троянизированные загрузки CPU-Z и HWMonitor, Cisco устранила уязвимости в четырех критически важных сервисах идентификации, Активно используемая уязвимость в nginx-ui позволяет полностью захватить сервер Nginx
RedSun, новая уязвимость нулевого дня в Microsoft Defender, предоставляет системные привилегии
Исследователь Chaotic Eclipse опубликовал демонстрационный эксплойт для уязвимости нулевого дня в Microsoft Defender, получившей название RedSun. Этот эксплойт предназначен для уязвимости локального повышения привилегий (LPE), которая предоставляет привилегии SYSTEM в ОС Windows 10, Windows 11 и Windows Server с последними апрельскими обновлениями при включенном Windows Defender. Уязвимость RedSun на данный момент не исправлена. Рекомендуется мониторить запись вызовов CfRegisterSyncRoot через ETW (поставщик Microsoft-Windows-CloudFiles), предупреждения о нераспознанных именах поставщиков и TieringEngineService.exe.
108 вредоносных расширений для Chrome крадут данные Google и Telegram, затронув 20 000 пользователей
Группа исследователей компании Socket выявила 108 вредоносных расширений для Chrome, работающих в рамках скоординированной кампании с использованием общей инфраструктуры управления и контроля. 108 расширений распространяются в нескольких категориях продуктов: Telegram-клиенты, онлайн-игры, улучшения для YouTube и TikTok, инструмент перевода текста и расширения для работы со страницами. Расширения выполняют свои функции, но в них также существует и вредоносный код, работающий в фоновом режиме, который может красть личные данные, извлекать данные из сессий и открывать произвольные URL-адреса в браузере пользователя. Рекомендуется проверить установленные расширения Chrome на идентификаторы расширений из раздела IOC и в случае обнаружения немедленно удалить их, а также проверить доступ сторонних приложений на myaccount.google.com/permissions и отозвать все незнакомые записи.
Программа CPUID Breach распространяет STX RAT через троянизированные загрузки CPU-Z и HWMonitor
Исследователи из Kaspersky уведомляют о взломе сайта, на котором размещались установщики популярных программ для системного администрирования CPU-Z, HWMonitor (HWMonitor Pro) и Perfmonitor 2. Вредоносное программное обеспечение распространялось как в виде ZIP-архивов, так и в виде отдельных установщиков для вышеупомянутых продуктов. Эти файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку под названием «CRYPTBASE.dll», использующую технику боковой загрузки DLL. Вредоносная DLL-библиотека отвечает за подключение к C2-серверу и дальнейшее выполнение полезной нагрузки. Рекомендуется изучить DNS-журналы для вредоносных веб-сайтов, с которых были загружены троянизированные установщики. Также крайне важно проверить файловые системы на наличие следов вредоносных архивов и исполняемых файлов, связанных с этой атакой.
Cisco устранила уязвимости в четырех критически важных сервисах идентификации
Компания Cisco выпустила обновления безопасности для устранения четырех критических уязвимостей, включая исправленную ошибку некорректной проверки сертификатов в облачной платформе Webex Services. Уязвимость, отслеживаемая как CVE-2026-20184 (CVSS 9.8), была обнаружена в интеграции единого входа (SSO) с Control Hub (веб-порталом, помогающим ИТ-администраторам управлять настройками Webex) и позволяла злоумышленникам без привилегий выдавать себя за любого пользователя. Хотя компания уже устранила эту уязвимость в сервисе Cisco Webex, она предупредила клиентов, использующих интеграцию SSO, что им необходимо загрузить новый сертификат SAML для своего поставщика идентификации (IdP) в Control Hub, чтобы избежать перебоев в работе сервиса.
Активно используемая уязвимость в nginx-ui позволяет полностью захватить сервер Nginx
Команда Pluto Security рассказала о критической уязвимости в пользовательском интерфейсе Nginx. Уязвимость, отслеживаемая как CVE-2026-33032 (CVSS 9.8), вызвана тем, что nginx-ui оставляет конечную точку «/mcp_message» незащищенной, что позволяет злоумышленникам вызывать привилегированные действия MCP без учетных данных. Поскольку эти действия включают запись и перезагрузку конфигурационных файлов nginx, один неаутентифицированный запрос может изменить поведение сервера и фактически захватить его. Для эксплуатации требуется только сетевой доступ, и она достигается путем установления соединения SSE, открытия сессии MCP, а затем использования возвращенного «sessionID» для отправки запросов к конечной точке «/mcp_message». Учитывая активный статус эксплуатации и наличие общедоступных PoC, системным администраторам рекомендуется как можно скорее установить доступные обновления безопасности.
ссылка на оригинал статьи https://habr.com/ru/articles/1025846/