В современном цифровом мире угрозы кибербезопасности становятся все более изощрёнными и многогранными. Эта неделя не стала исключением — специалисты зафиксировали сразу несколько критических уязвимостей и атак, которые способны повлиять на крупнейшие корпоративные сети и пользователей по всему миру. В центре внимания оказались SharePoint Server с уязвимостью zero-day, эксплойты для браузера Google Chrome, шпионское ПО на macOS, а также серьезная проблема в NVIDIA Container Toolkit, открывающая путь для удалённого выполнения кода. Рассмотрим подробнее эти и другие важнейшие события, которые формируют текущий ландшафт киберугроз и требуют срочного внимания специалистов по безопасности. Одной из главных новостей стало обнаружение и активная эксплуатация двух новых уязвимостей в Microsoft SharePoint Server (CVE-2025-53770 и CVE-2025-53771).
Эти бреши, объединённые в цепочку эксплойтов под названием ToolShell, позволяют злоумышленникам запускать произвольный код на уязвимых серверах и, следовательно, получить полный контроль над инфраструктурой компаний. Уязвимости существенно усложняют защиту, так как они являются обходами ранее исправленных ошибок (CVE-2025-49704 и CVE-2025-49706). Учитывая активность злоумышленников и масштабы атак, Microsoft оперативно выпустила патчи, однако многие организации еще не успели внедрить обновления, оставляя критически важные системы открытыми для угроз. Не меньшую тревогу вызвала публикация информации о серьезной уязвимости в браузере Google Chrome (CVE-2025-6558), затрагивающей компоненты ANGLE и GPU. Эта уязвимость позволяла злоумышленникам запускать вредоносный код, выходя за пределы песочницы браузера, что резко повышало опасность атак через вредоносные веб-страницы.
Уязвимость была быстро устранена в версиях браузера для Windows, macOS и Linux. Важно отметить, что это уже пятый zero-day в Chrome, ставший объектом кибератак или демонстраций для доказательства концепции в этом году, что говорит о сохранении высокого уровня риска для пользователей даже популярных браузеров. В сфере аппаратного обеспечения и виртуализации серьезная проблема выявлена в NVIDIA Container Toolkit (CVE-2025-23266), которая представляет угрозу для среды с общими вычислительными ресурсами, где несколько клиентов используют одну и ту же аппаратную инфраструктуру GPU. Эксплуатация этой уязвимости способна привести к полномасштабному выполнению кода с повышенными привилегиями, что открывает киберпреступникам доступ к чувствительным данным и фирменным моделям компьютерного обучения. Уязвимость была раскрыта исследователями компании Wiz, которые отметили простоту использования эксплойта с минимальным кодом.
Для владельцев и арендаторов серверов с NVIDIA GPU своевременное обновление и мониторинг являются критически важными мерами безопасности. Не осталась без внимания киберсообщества и ситуация с вредоносным ПО для macOS, предназначенным для слежки и кражи данных. Новейшие образцы шпионских программ демонстрируют сложные методы обхода стандартных мер защиты операционной системы, работают незаметно для пользователя, собирают информацию о системе, активности и конфиденциальных данных. Разработчики вредоносного кода используют модульные методы и автоматизацию, что позволяет маскировать вредоносную активность под легитимные процессы и успешно внедряться даже в хорошо защищенные устройства Apple. Уязвимость в программном обеспечении для передачи файлов CrushFTP (CVE-2025-54309) также подверглась активной атаке.
Исследователи сообщили, что злоумышленники, изучив исходный код и предыдущие публичные исправления, сумели использовать старую ошибку, которая до сих пор остается не зафиксированной в последних версиях. Эксплуатация проводится через HTTP(S)-протокол, что упрощает проникновение в организации, работающие с файловыми серверами CrushFTP без своевременного обновления систем. Постоянное слежение за исправлениями поставщиков и своевременная установка патчей является ключевым элементом защиты. Также вызывает серьезное беспокойство «Golden dMSA Attack» — атака, выявленная в Windows Server 2025, предусматривающая использование структурных ошибок в механизме делегированных управляемых сервисных аккаунтов (dMSA). Уязвимость связана с предсказуемостью компонентов пароля, что позволяет злоумышленникам с высокой вероятностью получить доступ к сервисным учетным записям и осуществить междоменное перемещение внутри Active Directory с последующим сохранением доступа к критически важным ресурсам организации.
Эта угроза демонстрирует, насколько важно пересматривать и обновлять архитектуру корпоративной идентификации. В положительном свете стоит отметить усилия Google, которые через разработанный ИИ-агент Big Sleep смогли выявить и предотвратить эксплойт критической уязвимости в базе данных SQLite (CVE-2025-6965), ранее известной злоумышленникам как zero-day и готовой к эксплуатации. Это первый случай успешного применения ИИ в реальном времени для отражения кибератак, что свидетельствует о растущей роли искусственного интеллекта в обеспечении безопасности цифровых систем. Однако, даже так, не все новости положительны. Неизвестные хакерские группы, к примеру, UNC6148, осуществляют целенаправленные атаки на устаревшие или снятые с поддержки устройства сетевого доступа SonicWall SMA 100.
Они используют ранее скомпрометированные данные для доступа и развертывают сложные механизмы сокрытия следов и постоянного контроля над оборудованием, включая использование реверсных шеллов и корреляции с вероятным нулевым днем. Нападения на сетевые устройства остаются особенно опасными из-за возможности получения доступа к ключевым сегментам инфраструктуры и широкой сети клиентов организации. На фоне роста количества новых уязвимостей, выявленных в этом году, включая десятки CVE с высокой степенью риска для таких продуктов, как HPE, Cisco, Broadcom, Apache, Node.js, Oracle и многих других, становится очевидна необходимость комплексного подхода к управлению уязвимостями и скоординированной работы подразделений кибербезопасности в организациях. Быстрый отклик на патчи, автоматизация сопоставления известных угроз по стеку, постоянный мониторинг изменений и подозрительной активности — ключевые факторы защиты в таком сложном и динамичном ландшафте.
Кроме технических аспектов, немаловажную роль сегодня играет человеческий фактор и правовое поле. Так, недавно в Нидерландах был приговорён к трём годам лишения свободы российский гражданин за нарушение международных санкций и передачу технологической информации, а в Великобритании ведется расследование против криминальной группы, ответственной за взломы крупных розничных сетей. В Азии и Восточной Европе происходят массовые аресты, связанные с мошенничеством и киберпреступлениями, что говорит о возрастающих усилиях правоохранительных органов против киберпреступников. Для пользователей и организаций рекомендации остаются неизменными, но критически важными. Регулярное обновление программного обеспечения и оборудования, внедрение многофакторной аутентификации и строгих политик доступа, использование современных средств мониторинга и анализа поведения, освоение лучших практик для защиты больших языковых моделей и искусственного интеллекта — все это помогает минимизировать риски и повысить уровень защиты.
