Специалисты «Лаборатории Касперского» опубликовали отчет об изменении ландшафта угроз, связанного с программами-вымогателями. Операторы программ-вымогателей переходят к использованию постквантовых криптографических алгоритмов. Злоумышленники все чаще применяют EDR killer и технику Bring Your Own Vulnerable Driver (BYOVD) для нейтрализации защитных механизмов перед запуском основной нагрузки. На фоне снижения выплат выкупов группы переходят к вымогательству без шифрования — злоумышленники угрожают публикацией данных в случае невыплаты, что делает резервное копирование бесполезным. Модель первоначального доступа как услуги (AaaS) и брокеры активно используют RDWeb и уязвимости в корпоративном ПО (FortiOS, SonicWall, Cisco ASA) для проникновения в сети. Рекомендуется использовать проактивную профилактику, настраивать строгие правила удаленного доступа и использовать резервное копирование.
Microsoft выпустила обновления для системы безопасности, устранив 120 уязвимостей. В рамках обновления исправлено 17 критических уязвимостей, 14 из которых связаны с удаленным выполнением кода (RCE), две — с повышением привилегий и одна — с раскрытием информации. Среди наиболее опасных выделяются множественные RCE-уязвимости в Microsoft Office, Word и Excel, эксплуатация которых возможна через область предварительного просмотра при открытии специально сформированных файлов. Исправлены уязвимости: CVE-2026-35421 (CVSS: 7.8) в Windows GDI, которая позволяет выполнить код через открытие вредоносного EMF-файла; CVE-2026-40365 (CVSS: 8.8) в SharePoint Server, которая дает возможность аутентифицированному атакующему выполнить удаленный код на сервере; CVE-2026-41096 (CVSS: 9.8) в DNS Client, которая может быть проэксплуатирована подконтрольным злоумышленнику DNS-сервером, повреждающим память через специально сформированный DNS-ответ. Рекомендуется установить все доступные обновления безопасности через Центр обновления Windows.
Опубликованы PoC-эксплойты для двух неисправленных уязвимостей Windows — YellowKey и GreenPlasma, действующих на Windows 11 и Windows Server 2022/2025. Уязвимость YellowKey обходит BitLocker путем размещения специально сформированных файлов FsTx на USB-накопителе или EFI-разделе с последующей загрузкой в WinRE, что открывает командную оболочку с неограниченным доступом к зашифрованному тому. Эксперт связывает проблему с механизмом транзакций NTFS: система воспроизводит NTFS-логи из директории \System Volume Information\FsTx, что приводит к удалению winpeshl.ini и подмене среды восстановления на CMD.EXE. Уязвимость GreenPlasma позволяет создать произвольный объект секции памяти в каталогах, доступных для записи от имени SYSTEM. Основной вектор атаки требует физического доступа к устройству с конфигурацией TPM-only (автоматическая разблокировка диска при загрузке). Рекомендуется переключить BitLocker-устройства с режима TPM-only на режим TPM+PIN с установкой надежного PIN-кода.
В популярном почтовом сервере MTA Exim обнаружена критическая уязвимость CVE-2026-45185 (CVSS: 9.8), которая позволяет неаутентифицированному злоумышленнику выполнить удаленный код на целевых серверах. Уязвимость затрагивает версии Exim до 4.99.3, в которых для безопасной связи по умолчанию используется библиотека GNU Transport Layer Security (GnuTLS). Проблема появляется при использовании освобожденной памяти, когда TLS-соединение обрабатывается с помощью GnuTLS. Когда TLS-соединение завершается, Exim освобождает TLS-буфер передачи. При этом вложенная оболочка приема BDAT все еще активна. В итоге вызывается функция ungetc(), которая записывает один символ перевода строки (\n) в уже освобожденную область памяти. Эта однобайтовая запись попадает прямо в метаданные распределителя памяти Exim, нарушая его внутреннюю структуру. Рекомендуется выполнить обновление Exim до версии 4.99.3, переключить сборку Exim с GnuTLS на OpenSSL или временно отключить поддержку BDAT/CHUNKING.
Компания Google выпустила масштабное обновление безопасности Chrome, в котором исправила 79 уязвимостей, из которых 14 — критические. Среди исправленных проблем — переполнение буфера в WebML (CVE-2026-8509) и целочисленное переполнение в графическом движке Skia (CVE-2026-8510). Патч затрагивает широкий спектр компонентов браузера, включая движок рендеринга Blink, JavaScript-движок V8, GPU, WebRTC и WebAudio. Также было исправлено множество уязвимостей, связанных с освобождением памяти в основных компонентах Chrome, включая пользовательский интерфейс, файловую систему, ввод данных, загрузки и группы вкладок. Пользователям рекомендуется обновить Chrome до версии 148.0.7778.167/168 (Windows и Mac) или 148.0.7778.167 (Linux).
