Microsoft інтегрує захист даних в Edge for Business, щоб запобігти витокам через ШІ
Microsoft представила нову функцію захисту даних – inline data protection – у корпоративній версії браузера Edge for Business. Вона автоматично блокує введення конфіденційної інформації у додатки штучного інтелекту, такі як ChatGPT, Google Gemini та DeepSeek, а також у поштові сервіси та соцмережі. Очікується, що в майбутньому підтримка розшириться на ще більше платформ, що допоможе запобігти ненавмисним витокам корпоративних даних.
Крім того, Microsoft покращує безпеку в Teams: тепер адміністратори зможуть контролювати, з ким можуть спілкуватися співробітники, а система зможе блокувати підозрілі посилання та файли в реальному часі. Також підозрілі об’єкти автоматично перевірятимуться у безпечному середовищі (sandbox), що ускладнить атаки через месенджер.
Джерело

CISA попереджає про вразливості RCE у Sitecore; активні експлойти впливають на пристрої Next.js та DrayTek
Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) додало до свого каталогу відомих експлуатованих вразливостей дві шестирічні вразливості, що впливають на Sitecore CMS та Experience Platform (XP). Це CVE-2019-9874, що дозволяє неавтентифікованому нападнику виконати довільний код через модуль Sitecore.Security.AntiCSRF, і CVE-2019-9875, що дозволяє автентифікованому нападнику виконати довільний код. Федеральні служби США мають застосувати виправлення до 16 квітня 2025 року.
Akamai зафіксувала спроби експлуатації нової вразливості в Next.js (CVE‑2025‑29927), яка дозволяє обійти перевірки безпеки через хедер "x‑middleware‑subrequest". Це може надати неавторизований доступ до чутливих ресурсів програми.
GreyNoise попереджає про активні спроби експлуатації кількох вразливостей у пристроях DrayTek. Серед них CVE-2020-8515, що дозволяє виконання віддаленого коду, та CVE-2021-20123 і CVE-2021-20124, що дозволяють завантаження довільних файлів з привілеями root. Найбільша активність атак зафіксована в Індонезії, Гонконгу та США.

Джерело

Google випустила патч для Chrome для виправлення експлойту, який використовувався в атаках
Google випустила позачергові виправлення для усунення серйозної вразливості в браузері Chrome для Windows, що використовувалася в атаках на організації в різні країни. Вразливість, ідентифікована як CVE-2025-2783, пов'язана з некоректним обробленням даних у Mojo на Windows, що є набором бібліотек для міжпроцесного зв'язку. Google випустила виправлення у версії Chrome 134.0.6998.177/.178 для Windows.
Декілька антивірусних організацій виявиявило і повідомило про цю вразливість 20 березня 2025 року, відзначивши, що вона використовувалася в цільових атаках з фішинговими електронними листами, що містили посилання на шкідливі сайти, які відкривалися у Chrome. Атаки були спрямовані на медіа, навчальні заклади та держорганізації різних країн. Вразливість дозволяла обійти захист браузера та запускати шкідливий код.

Джерело

Mozilla виправила критичну помилку у Firefox, схожу на нещодавню вразливість нульового дня в Chrome
Mozilla випустила оновлення для усунення критичної вразливості безпеки у браузері Firefox для Windows, через кілька днів після того, як Google виправила схожу вразливість у Chrome. Вразливість CVE-2025-2857, пов'язана з неправильним обробленням, могла призвести до виходу із пісочниці. Розробники Firefox виявили схожу проблему у своєму коді IPC після випадку з Chrome (CVE-2025-2783). Вразливість була усунена в оновленнях Firefox 136.0.4, Firefox ESR 115.21.1 та Firefox ESR 128.8.1. Немає доказів експлуатації CVE-2025-2857 у реальних умовах.
Проект Tor також випустив оновлення для браузера Tor (версія 14.0.8) для вирішення цієї ж проблеми для користувачів Windows. Це сталося після того, як Google випустила версію Chrome 134.0.6998.177/.178 для виправлення CVE-2025-2783, яка активно використовувалася в атаках на медіа, освітні установи та урядові організації в деяких країнах. Деякі антивірусні організації виявили активність у середині березня 2025 року, коли жертви переходили за спеціально створеними посиланнями у фішингових листах. CVE-2025-2783 була об'єднана з іншим невідомим експлойтом для досягнення виконання коду.

Джерело

Microsoft ліквідувала скрипт, що дозволяв встановлювати Windows 11 без акаунта
Microsoft видалила скрипт BypassNRO.cmd з тестових збірок Windows 11, який дозволяв користувачам уникати вимоги входу в Microsoft-акаунт під час встановлення системи. Ця зміна з’явилася у свіжій інсайдерській збірці Windows 11 Dev і, ймовірно, незабаром стане частиною офіційних оновлень.
З моменту виходу Windows 11 компанія активно ускладнює можливість роботи з локальним обліковим записом, наполягаючи на використанні акаунта Microsoft. Це пояснюється тим, що хмарні сервіси Microsoft, такі як збереження ключів BitLocker, синхронізація налаштувань і програм між пристроями, працюють саме через обліковий запис. Однак багато користувачів вважають таке примусове підключення порушенням приватності, оскільки воно відкриває Microsoft доступ до їхньої активності.

Джерело

NCSC закликає користувачів негайно виправити уразливість у Next.js
Національний центр кібербезпеки Великобританії (NCSC) закликав користувачів популярного веб-фреймворку Next.js негайно встановити патч для критичної уразливості. Вразливість дозволяє обійти перевірки авторизації та отримати доступ до конфіденційних даних. Патч було виправлено розробниками Next.js 22 березня після відповідального і приватного повідомлення команди у лютому.
Вразливість впливає на всі версії 13.x перед 13.5.9, 14.x перед 14.2.25, 15.x перед 15.2.3 та версії від 11.1.4 до 12.3.5. NCSC рекомендує блокувати зовнішні запити з заголовком 'x-middleware-subrequest' до оновлення до останньої версії фреймворку. Це тимчасовий захід для забезпечення безпеки.
Організації також повинні моніторити логи для потенційних атак. Rapid7 зазначив, що вплив уразливості залежить від конфігурації middleware і може варіюватися. Важливо оцінити, чи покладається додаток лише на middleware для аутентифікації, щоб зрозуміти потенційний ризик.

Джерело

Google усуває вразливість Quick Share, яка дозволяла тихі передачі файлів без згоди користувача
Дослідники з кібербезпеки виявили нову вразливість у функції передачі даних Quick Share для Windows від Google, яка може бути використана для досягнення відмови в обслуговуванні (DoS) або відправлення довільних файлів на пристрій без згоди користувача. Ця проблема, позначена як CVE-2024-10668, була виявлена після виправлення 10 попередніх вразливостей QuickShell у серпні 2024 року та вирішена в версії Quick Share 1.0.2002.2 для Windows.
Quick Share - це утиліта обміну файлами між Android-пристроями, Chromebook та Windows, аналогічна Apple AirDrop. Проте, після додаткового аналізу виявилося, що дві вразливості були виправлені некоректно, що знову призводило до аварійного завершення роботи програми або обходу необхідності підтвердження прийняття файлів. Зокрема, вразливість DoS могла бути викликана використанням некоректного UTF8 байта, а обхід необхідності підтвердження - відправленням двох файлів з однаковим "payload ID".
Джерело

PoisonSeed використовує зламані акаунти CRM-сервісів, щоб масово розсилати шкідливі seed-фрази криптогаманців
Кампанія PoisonSeed використовує викрадені облікові записи CRM-сервісів та платформ масової email-розсилки (зокрема Mailchimp, SendGrid, Zoho, Hubspot, Mailgun), щоб масово надсилати спам, що містить фейкові криптовалютні seed-фрази. 
Мета – змусити жертв створити нові гаманці із заздалегідь згенерованими фразами, до яких уже мають доступ зловмисники, щоб пізніше викрасти всі кошти.
За даними Silent Push, хакери видають шкідливі seed-фрази за "безпечні" для нових криптогаманців (наприклад, Coinbase Wallet), які жертва має просто скопіювати й вставити. Атак зазнають як компанії з криптоіндустрії, так і звичайні користувачі, які не мають стосунку до криптовалют.

Джерело

Oracle підтверджує злом своїх хмарних систем
Oracle нещодавно підтвердила приватно клієнтам, що деякі з її хмарних систем були зламані. Інцидент стосується витоку даних, що включають зашифровані облікові дані понад 140 000 клієнтів Oracle Cloud. Хакер під псевдонімом rose87168 запропонував на продаж мільйони рядків даних, в тому числі записи з обліковими даними користувачів. Спочатку зловмисник вимагав від Oracle 20 мільйонів доларів, а пізніше заявив, що може продати ці дані будь-кому або обміняти їх на експлойти нульового дня.
За інформацією від журналістів Bloomberg, Oracle почала інформувати постраждалих клієнтів про витік, який стосується таких даних, як імена користувачів, ключі доступу та зашифровані паролі. Розслідування інциденту ведуть ФБР і компанія CrowdStrike.
Джерела повідомляють, що інцидент стався через застаріле середовище, яке не використовувалося вже вісім років, а скомпрометовані дані становлять мінімальний ризик. Проте, деякі джерела стверджують, що серед скомпрометованих даних є і нові, що датуються 2024 роком.
Джерело

Українські установи атакує новий стілер GIFTEDCROOK: CERT-UA попереджає

Державна служба спеціального зв'язку та захисту інформації України (CERT-UA) виявила нову серію кібератак, спрямованих на українські установи, з використанням шкідливого програмного забезпечення для крадіжки інформації. Ці атаки націлені на військові формування, правоохоронні органи та органи місцевого самоврядування, особливо в східних регіонах України. CERT-UA приписує цю активність групі UAC-0226.
Зловмисники розповсюджують фішингові електронні листи, що містять файли Microsoft Excel з макросами (XLSM). Після відкриття таких файлів та активації макросів відбувається завантаження двох видів шкідливого ПЗ:
● PowerShell - скрипт з репозиторію GitHub "PSSW100AVB" ("Powershell Scripts With 100% AV Bypass").
● GIFTEDCROOK – новий стілер, написаний на C/C++, що краде конфіденційні дані з веб-браузерів, таких як Google Chrome, Microsoft Edge та Mozilla Firefox, включаючи кукі, історію переглядів та аутентифікаційні дані.
Теми та назви вкладених файлів у фішингових листах стосуються актуальних та чутливих питань, таких як розмінування, адміністративні штрафи, виробництво безпілотників та компенсація за зруйноване майно. Листи надсилаються з компрометованих облікових записів через веб-інтерфейси поштових клієнтів, що додає їм правдоподібності та підвищує ймовірність відкриття шкідливих вкладень.

Джерела новини: https://cert.gov.ua/article/6282946 та https://thehackernews.com/2025/04/uac-0226-deploys-giftedcrook-stealer.html 

Microsoft April 2025 Patch Tuesday
8 квітня 2025 року Microsoft опублікувала щомісячне оновлення безпеки — Patch Tuesday, у межах якого усунено 134 вразливості, серед яких одна zero-day вразливість.
Цього місяця було виправлено:
● 11 критичних вразливостей, усі з яких — з віддаленим виконанням коду (RCE)● 49 уразливостей підвищення привілеїв-9 обхідних механізмів функцій безпеки-31 вразливість віддаленого виконання коду-17 витоків інформації-14 атак типу "відмова в обслуговуванні" (DoS)-3 уразливості підробки (spoofing)
Ці цифри не включають виправлення для Mariner та 13 уразливостей у Microsoft Edge, виправлених раніше цього місяця.
Джерело

Група Gamaredon атакувала військову місію західної країни в Україні за допомогою інфікованих носіїв
Дослідники з Symantec Threat Hunter Team (підрозділ компанії Broadcom) зафіксували кібератаку, скоєну угрупованням Gamaredon (також відоме як Shuckworm), що має зв’язки з Росією. Об'єктом атаки стала військова місія однієї із західних країн, яка функціонує на території України.
Основні факти:
● Дата першої активності: 26 лютого 2025 року.● Початковий вектор атаки: інфікований знімний носій (USB).● Мета атаки: доставлення оновленої версії відомого шкідливого програмного забезпечення GammaSteel.
Висновок від Symantec: "Ця атака демонструє зростання технічної складності з боку угруповання Shuckworm. Хоча воно поступається за майстерністю іншим російським акторам, його перевагою залишається наполеглива та постійна активність на території України. Використання обфускації, регулярні модифікації коду та залучення легітимних вебсервісів дозволяють їм знижувати ризик виявлення."
Джерело

Компанія Sensata Technologies постраждала від атаки програм-вимагачів

11 квітня 2025 року — Компанія Sensata Technologies, що базується в Аттлборо (штат Массачусетс, США), повідомила Комісію з цінних паперів і бірж (SEC) про нещодавню кібератаку з використанням програми-вимагача, яка призвела до тимчасових збоїв у її роботі.
За інформацією компанії, атака була виявлена 6 квітня. В результаті інциденту було зашифровано файли на низці пристроїв, а також зафіксовано несанкціоноване вилучення даних. Наразі триває внутрішнє розслідування, щоб з’ясувати повний обсяг викраденої інформації.
Sensata зазначила, що інцидент негативно вплинув на ключові бізнес-процеси, зокрема на доставлення, отримання, виробництво та інші функції підтримки. Компанія вже впровадила тимчасові рішення для часткового відновлення роботи, однак строки повного відновлення поки що невідомі.

Джерело

Fortinet повідомляє про нову загрозу: зловмисники зберігають доступ до FortiGate навіть після оновлень
Компанія Fortinet виявила, що зловмисники можуть зберігати доступ до пристроїв FortiGate навіть після виправлення вразливостей. Вони використовують SSL-VPN і створюють символічне посилання (symlink), що дозволяє читати файли системи, зокрема конфігураційні дані.
Загроза пов'язана з раніше відомими вразливостями: CVE-2022-42475, CVE-2023-27997 та CVE-2024-21762. Навіть після встановлення оновлень, symlink залишався активним у файловій системі пристрою. Користувачі, які не використовували SSL-VPN, не постраждали.
Джерело

Хакери використовують Microsoft Teams для розповсюдження шкідливого ПЗ на Windows-системах

У березні 2025 року аналітики з кібербезпеки компанії ReliaQuest виявили нову складну кібератаку, під час якої зловмисники використовують платформу Microsoft Teams для поширення шкідливого програмного забезпечення та забезпечення стійкого доступу до корпоративних мереж.
Атака базується на соціальній інженерії нового рівня. Зловмисники маскуються під працівників служби підтримки ІТ та надсилають фішингові повідомлення через Microsoft Teams, використовуючи фальшивий Microsoft 365-тенант із назвою «Technical Support».
Після встановлення контакту хакери переконують жертву запустити вбудований у Windows інструмент Quick Assist, що дозволяє отримати віддалений доступ до пристрою користувача.

Джерело

Фінансування урядом США CVE від MITRE закінчується 16 квітня, спільнота кібербезпеки на сторожі

Фінансування урядом США спільного проекту з кібербезпеки MITRE, яке забезпечує функціонування програми Common Vulnerabilities and Exposures (CVE), закінчується в середу. Це може мати серйозні наслідки для глобальної кібербезпеки. Програма CVE, якій вже 25 років, є важливим інструментом для управління вразливостями, надаючи стандарти для ідентифікації та каталогізації публічно відомих вразливостей. На сьогодні в базі CVE зареєстровано понад 274,000 записів. 
Компанія VulnCheck, яка також є CVE Numbering Authority, планує зарезервувати 1,000 CVE для 2025 року, щоб частково компенсувати можливий розрив. Експерти з кібербезпеки, такі як Джейсон Сороко з Sectigo і Тім Пек з Securonix, попереджають про серйозні наслідки для кібербезпеки у разі припинення фінансування, що може завадити своєчасному розголошенню вразливостей та вплинути на практики безпечного програмування та оцінки ризиків.

Джерело

CVE-2025-24054: Активна експлуатація вразливості Windows для крадіжки NTLM-хешів

Управління з кібербезпеки та інфраструктурної безпеки США (CISA) додало вразливість CVE-2025-24054 до списку активно експлуатованих, після повідомлень про її використання в атаках.
Вразливість стосується механізму автентифікації NTLM у Windows і дозволяє зловмисникам отримувати NTLM-хеші користувачів через спеціально сформовані файли .library-ms. Достатньо лише завантажити та розпакувати такий файл, щоб Windows Explorer автоматично ініціював SMB-запит до віддаленого сервера, передаючи NTLM-хеш без додаткової взаємодії з користувачем.
З березня 2025 року зафіксовано щонайменше 10 фішингових кампаній, які використовували цю вразливість для атак на державні та приватні установи в Польщі та Румунії. Зловмисники розповсюджували архіви з шкідливими файлами через посилання на Dropbox, спрямовані на крадіжку NTLMv2-SSP хешів.
Ця вразливість підкреслює важливість своєчасного оновлення систем та обмеження використання застарілих протоколів автентифікації.

Джерело

iOS у небезпеці, атаки через 4chan та нові інструменти для шпигунства

У понеділок, 21 квітня 2025 року, The Hacker News опублікував черговий огляд актуальних кіберзагроз, що охоплює останні атаки, вразливості та нові методи зловмисників.
iOS під прицілом: дві критичні вразливості
Apple випустила термінові оновлення для iOS та iPadOS, що усувають дві активні вразливості, які використовуються в атаках. Перша, CVE-2025-24200, дозволяє зловмисникам відключити режим обмеженого доступу USB на заблокованому пристрої, що може бути використано для обходу захисту під час фізичного доступу до пристрою. Друга вразливість, CVE-2025-24085, є помилкою типу "use-after-free" у компоненті Core Media, що може дозволити шкідливим додаткам підвищувати привілеї на пристрої.
Атаки через 4chan: нові загрози
Зловмисники використовують платформу 4chan для поширення шкідливих програм. Аналіз показав, що через 4chan передаються шкідливі скрипти, які можуть викрадати дані користувачів, зокрема паролі та токени доступу до акаунтів. Ці атаки можуть бути частиною більш широкої кампанії з використання соціальної інженерії для компрометації систем.
Шпигунські інструменти та нові методи атак
Microsoft повідомила про використання штучного інтелекту зловмисниками для створення шкідливих програм, що можуть обходити традиційні системи захисту. Зокрема, виявлено нові інструменти, які можуть викрадати дані з пристроїв, включаючи паролі та геолокацію. Ці інструменти можуть бути використані для проведення цілеспрямованих атак на організації та окремих осіб.
Рекомендації для користувачів: регулярно встановлюйте оновлення безпеки для ваших пристроїв, будьте обережні з підозрілими файлами та посиланнями, використовуйте багатофакторну автентифікацію, антивірусні програми та інші засоби для виявлення шкідливого ПЗ. Піклуйтеся про свою цифрову безпеку.

Джерело

Microsoft Defender XDR спричинив витік понад 1 700 конфіденційних документів

24 квітня 2025 року виявлено інцидент, пов'язаний із помилковим спрацюванням Microsoft Defender XDR. Система класифікувала легітимні посилання на документи Adobe Acrobat Cloud як шкідливі. У результаті ці файли автоматично завантажувалися до аналітичного сервісу ANY.RUN, де були оприлюднені у відкритому доступі.
Витік торкнувся понад 1 700 документів, що містили чутливу інформацію сотень компаній — зокрема, договори, фінансові звіти, внутрішнє листування та інші матеріали. Проблема загострилася тим, що безкоштовна версія ANY.RUN має публічний режим аналізу за замовчуванням.
Компанія ANY.RUN вже приховала всі пов’язані матеріали, а Microsoft проводить внутрішнє розслідування та оновлює сигнатури для коректного виявлення загроз.
Фахівці рекомендують:
● вимкнути автоматичне надсилання файлів на сторонні сервіси для аналізу;● використовувати лише приватні або корпоративні версії утиліт із налаштованими політиками конфіденційності;● проаналізувати можливі наслідки витоку, якщо Defender XDR використовується у компанії.

Джерело

Месенджер WhatsApp запровадив функцію Advanced Chat Privacy, яка дозволяє користувачам блокувати експорт чатів

Нова функція доступна як для приватних розмов, так і для групових чатів. За словами розробників, вона стане у пригоді під час чутливих дискусій, особливо з людьми, яких ви не знаєте особисто. 
При активації функції:
● забороняється експорт повідомлень;● вимикається автозавантаження медіафайлів;● блокується використання вмісту для ШІ-функцій.
Попри це, користувачі все ще можуть робити скриншот та вручну зберігати файли, тож абсолютної ізоляції функція не гарантує.
WhatsApp вже почав розгортання функції серед усіх користувачів, які оновили додаток до останньої версії.
Цей реліз відбувся на тлі тиску на компанії що зростає, що працюють з персональними даними. Європейська Комісія нещодавно оштрафувала Meta на €200 млн за порушення DMA — зокрема через «модель згоди або плати», що не давала користувачам альтернативи без персоналізації. Водночас Meta заявила, що такі обмеження ставлять під удар американський бізнес, дозволяючи європейським і китайським компаніям діяти за іншими стандартами.

Джерело