ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — RedSun, новая уязвимость нулевого дня в Microsoft Defender, предоставляет системные привилегии, 108 вредоносных расширений для Chrome крадут данные Google и Telegram, затронув 20 000 пользователей, Приложение CPUID Breach распространяет STX RAT через троянизированные загрузки CPU-Z и HWMonitor, Cisco устранила уязвимости в четырех критически важных сервисах идентификации, Активно используемая уязвимость в nginx-пользовательский оболочку позволяет полностью захватить хост Nginx

RedSun, новая уязвимость нулевого дня в Microsoft Defender, предоставляет системные привилегии

Исследователь Chaotic Eclipse опубликовал демонстрационный эксплойт для уязвимости нулевого дня в Microsoft Defender, получившей название RedSun. Этот эксплойт предназначен для уязвимости локального повышения привилегий (LPE), которая предоставляет привилегии SYSTEM в ОС Windows 10, Windows 11 и Windows Server с последними апрельскими обновлениями при включенном Windows Defender. Уязвимость RedSun сейчас не исправлена. Рекомендуется мониторить запись вызовов CfRegisterSyncRoot через ETW (поставщик Microsoft-Windows-CloudFiles), предупреждения о нераспознанных именах поставщиков и TieringEngineService.exe.

108 вредоносных расширений для Chrome крадут информация Google и Telegram, затронув 20 000 пользователей

Группа исследователей компании Socket выявила 108 вредоносных расширений для Chrome, работающих в контексте скоординированной кампании с использованием общей инфраструктуры управления и контроля. 108 расширений распространяются в нескольких категориях продуктов: Telegram-клиенты, онлайн-игры, улучшения для YouTube и TikTok, средство перевода текста и расширения для работы со страницами. Расширения выполняют свои функции, но в них также существует и вредоносный код, работающий в фоновом режиме, который может красть личные информация, извлекать информация из сессий и открывать произвольные URL-адреса в браузере пользователя. Рекомендуется проверить установленные расширения Chrome на идентификаторы расширений из раздела IOC и в случае обнаружения немедленно удалить их, а равным образом проверить доступ сторонних приложений на myaccount.google.com/permissions и отозвать все незнакомые записи.

Программа CPUID Breach распространяет STX RAT через троянизированные загрузки CPU-Z и HWMonitor

Исследователи из Kaspersky уведомляют о взломе сайта, на котором размещались установщики популярных программ для системного администрирования CPU-Z, HWMonitor (HWMonitor Pro) и Perfmonitor 2. Вредоносное программное обеспечение распространялось как в виде ZIP-архивов, так и в виде отдельных установщиков для вышеупомянутых продуктов. Эти файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку под названием «CRYPTBASE.dll», использующую технику боковой загрузки DLL. Вредоносная DLL-библиотека отвечает за подключение к C2-серверу и дальнейшее выполнение полезной нагрузки. Рекомендуется изучить DNS-журналы для вредоносных веб-сайтов, с которых были загружены троянизированные установщики. Также крайне важно проверить файловые системы на наличие следов вредоносных архивов и исполняемых файлов, связанных с этой атакой.

Cisco устранила уязвимости в четырех критически важных сервисах идентификации

Организация Cisco выпустила обновления безопасности для устранения четырех критических уязвимостей, включая исправленную ошибку некорректной проверки сертификатов в облачной платформе Webex Services. Уязвимость, отслеживаемая как CVE-2026-20184 (CVSS 9.8), была обнаружена в интеграции единого входа (SSO) с Control Hub (веб-порталом, помогающим ИТ-администраторам управлять настройками Webex) и позволяла злоумышленникам без привилегий выдавать себя за любого пользователя. Хотя организация уже устранила эту уязвимость в сервисе Cisco Webex, она предупредила клиентов, использующих интеграцию SSO, что им необходимо скачать новый сертификат SAML для своего поставщика идентификации (IdP) в Control Hub, чтобы избежать перебоев в работе сервиса.

Активно используемая уязвимость в nginx-ui даёт возможность полностью захватить хост Nginx

Команда Pluto Security рассказала о критической уязвимости в пользовательском интерфейсе Nginx. Уязвимость, отслеживаемая как CVE-2026-33032 (CVSS 9.8), вызвана тем, что nginx-ui оставляет конечную точку «/mcp_message» незащищенной, что позволяет злоумышленникам вызывать привилегированные действия MCP без учетных данных. Поскольку эти действия включают запись и перезагрузку конфигурационных файлов nginx, один неаутентифицированный запрос может изменить поведение сервера и фактически захватить его. Для эксплуатации требуется только веб доступ, и она достигается путем установления соединения SSE, открытия сессии MCP, а затем использования возвращенного «sessionID» для отправки запросов к конечной точке «/mcp_message». С учётом активный статус эксплуатации и наличие общедоступных PoC, системным администраторам рекомендуется как можно скорее инсталлировать доступные обновления безопасности.