Commvault підтверджує, що хакери використали CVE-2025-3928 як нульовий день у зломі Azure

Компанія Commvault, відома платформа для резервного копіювання даних, повідомила про злом її середовища Microsoft Azure невідомим зловмисником через вразливість CVE-2025-3928, але підкреслила відсутність несанкціонованого доступу до даних. Це торкнулося небагатьох спільних з Microsoft клієнтів, з якими Commvault активно працює для розв'язання проблеми. Важливо, що резервні дані клієнтів не були скомпрометовані, і це не вплинуло на бізнес-компанії.
Commvault зазначила, що Microsoft повідомила її про несанкціоновану активність 20 лютого 2025 року, використовуючи CVE-2025-3928, zero-day вразливість. Компанія оновила паролі та посилила безпеку. У своїй рекомендації від 7 березня 2025 року, Commvault підкреслює необхідність оновлення систем для захисту від цієї вразливості, особливо для федеральних агентств США.
Для зменшення ризику атак, Commvault радить клієнтам застосувати політику умовного доступу до всіх реєстрацій додатків Microsoft 365 та Azure AD, а також регулярно оновлювати клієнтські секрети. Компанія також рекомендує відстежувати активність входу для виявлення спроб доступу з IP-адрес, які не є дозволеними, серед яких 108.69.148.100, 128.92.80.210 та інші. Якщо виявлено спроби доступу з цих IP, слід негайно повідомити Commvault Support.

Джерело

Microsoft з 5 травня блокуватиме неавтентифіковані електронні листи: нові правила для захисту користувачів

Компанія Microsoft оголосила про важливі зміни в політиці безпеки електронної пошти: з 5 травня 2025 року всі повідомлення, які не відповідають обов’язковим стандартам автентифікації, будуть повністю відхилятися із повідомленням про помилку "550 5.7.15 Access denied".
"Це стосується організацій, які надсилають понад 5 000 листів щодня на домени Microsoft (Outlook.com, Hotmail.com, Live.com). Якщо раніше такі повідомлення могли бути переміщені до папки "Спам", то тепер вони блокуватимуться вже на рівні SMTP-сервера". 
Для того, щоб уникнути блокування, відправники повинні забезпечити належну конфігурацію таких технологій автентифікації:
● SPF (Sender Policy Framework): DNS-записи мають правильно вказувати дозволені IP-адреси.● DKIM (DomainKeys Identified Mail): Підписи мають бути коректними й відповідати політикам безпеки.● DMARC (Domain-based Message Authentication, Reporting & Conformance): Має бути встановлений щонайменше на рівні p=none та узгоджуватись із SPF або DKIM.

У випадку порушення цих вимог Microsoft повністю відхилятиме повідомлення з таким текстом:
"550 5.7.15 Access denied, sending domain [Домен] does not meet the required authentication level."

Джерело

Microsoft впроваджує passkeys як стандарт для нових облікових записів

Починаючи з травня 2025 року, Microsoft автоматично створює нові облікові записи без паролів — за замовчуванням використовується технологія passkeys. Це частина стратегії компанії з переходу до повністю безпарольної автентифікації, яка підвищує безпеку та зручність для користувачів.
Це сучасна альтернатива паролям, що працює на основі криптографії з використанням біометрії (обличчя, відбиток пальця) або PIN-коду. Приватні ключі зберігаються на пристрої користувача і не передаються онлайн, що захищає від фішингу та викрадення облікових даних.
Ключові переваги:
● безпечніше, ніж паролі;● увійти можна швидше та зручніше;● працює на всіх основних платформах: Windows 11, Microsoft 365, Xbox, Copilot.
Існуючі користувачі можуть добровільно видалити пароль у налаштуваннях облікового запису та перейти на passkey.
Microsoft продовжує рух у напрямку повної відмови від паролів, формуючи новий стандарт цифрової безпеки.

Джерело

Android Security Update: Google закрила критичну вразливість CVE-2025-27363 — експлуатація вже зафіксована

У межах травневого оновлення безпеки Android Google виправила 46 вразливостей, серед яких — критична CVE-2025-27363 (CVSS 8.1). Це вразливість типу out-of-bounds write у системному компоненті, що використовує бібліотеку FreeType. Вона дозволяє локальне виконання довільного коду без додаткових привілеїв і без взаємодії з користувачем.
Проблема виникає під час обробки GX/variable TrueType-шрифтів: спеціально сформований файл може призвести до запису за межами виділеної пам’яті, що відкриває шлях до remote code execution (RCE).
Вперше експлуатацію цієї вразливості зафіксувала Facebook у березні 2025 року. Наразі Google підтверджує обмежене, цілеспрямоване використання уразливості в реальних умовах, хоча конкретні сценарії атак не розголошуються.
“Виправлення вже доступне у травневому патчі Android (рівень безпеки 2025-05-01), а також у бібліотеці FreeType, починаючи з версії 2.13.1.”
Крім цього, оновлення також усуває 8 серйозних вразливостей у System і ще 15 — у Framework, пов’язаних із підвищенням привілеїв (EoP), витоком даних (ID) та відмовою в обслуговуванні (DoS).
Рекомендується якомога швидше встановити оновлення, щоб мінімізувати ризики для пристроїв та інфраструктури.

Джерело

Google Chrome оновлено для усунення критичної вразливості WebAudio (CVE-2025-4372)

7 травня 2025 року компанія Google випустила позапланове оновлення безпеки для браузера Chrome, яке усуває критичну вразливість CVE-2025-4372 у компоненті WebAudio API. Помилка типу Use-After-Free, оцінена за шкалою CVSS на 9.8, дозволяла зловмисникам виконувати довільний код на пристрої жертви через спеціально створені HTML-сторінки. Уразливими були всі версії Chrome до 136.0.7103.92 включно для Windows і macOS. 
Вразливість виявив 20 квітня 2025 року дослідник Хуан Сілін з Ant Group Light-Year Security Lab, за що отримав винагороду в розмірі $7 000. Експлуатація цієї проблеми могла надати зловмисникам можливість не лише запускати шкідливий код, але й викрадати конфіденційні дані користувачів або розповсюджувати шкідливе ПЗ через заражені веб-сторінки.
Джерело

Google виплатить штату Техас $1,375 млрд у справі про незаконне відстеження та збір біометричних даних

Компанія Google погодилася на виплату $1,375 млрд штату Техас у межах врегулювання справ щодо незаконного збору персональних та біометричних даних користувачів без їхньої згоди. Це один із найбільших штрафів за подібні порушення конфіденційності в США.
Позови стосувалися відстеження геолокації навіть при вимкненій історії місцеперебування, а також збору голосових та біометричних даних обличчя. Генеральний прокурор Техасу Кен Пекстон заявив, що компанія роками таємно стежила за користувачами.
Це врегулювання відбувається на фоні зростаючого регуляторного тиску на Google у США та ЄС, де компанію звинувачують у зловживанні ринковою позицією та порушеннях приватності.

Джерело