Киберугрозы продолжают эволюционировать и обходят даже надёжную защиту. На прошлой неделе исследователи безопасности обнаружили ряд критических уязвимостей, затрагивающих различные уровни ИТ-инфраструктуры — от низкоуровневых атак на аппаратные решения до целевых фишинговых кампаний против разработчиков.
Новый метод атаки VMScape позволяет обойти защиту от Spectre-BTI
Исследователи из Швейцарской высшей технической школы Цюриха обнаружили уязвимость под названием VMScape. Она позволяет обойти защиту от Spectre-BTI и из гостевой ОС в KVM/QEMU читать память гипервизора, получая конфиденциальные данные, например, ключи доступа к зашифрованным дисковым разделам.
Атака использует уязвимость спекулятивного выполнения процессора. Злоумышленник манипулирует буфером предсказания переходов (BTB), подставляя в него значения, чтобы вызвать неверное предсказание перехода. Это заставляет процессор спекулятивно выполнить переход по определённому адресу и сохранить данные в кэш. Затем злоумышленник извлекает информацию из кэша с помощью анализа времени доступа к кэш-памяти.
Процессоры и ядра ОС изначально содержат защиту от атак Spectre-BTI. Но она не учитывает, что процессы гипервизора (например, QEMU) и гостевой системы работают на одном уровне привилегий — это позволяет смешивать записи в BTB.
Для Linux уже выпустили патчи 6.16.7, 6.12.47, 6.6.106, 6.1.152, 5.15.193 и 5.10.244. В них с помощью инструкции IBPB добавили защиту, которая сбрасывает состояние предсказания переходов. Она настраивается параметром ядра vmscape и может работать в двух режимах: после каждого выхода из VM или только после первого. Её использование снижает производительность в среднем на 10%, а в задачах с активным вводом-выводом — до 51%.
Атаке VMScape подвержены почти все современные CPU: AMD Zen (все поколения), Hygon и Intel (начиная с Coffee Lake 2017 года). Частично уязвимы Intel Cascade Lake и Alder Lake. Даже современная защита Intel eIBRS не полностью блокирует атаки через буфер истории переходов (BHB). Атака пока подтверждена только для KVM/QEMU, Xen не подвержен уязвимости, другие гипервизоры изучаются.
AMD подтвердила уязвимость и планирует программные исправления. Компания Intel заявила, что существующие механизмы защиты процессоров могут помочь устранить проблему, и компания намерена сотрудничать с разработчиками Linux для реализации патчей. Ожидается, что патч будет доступен во всех основных дистрибутивах Linux и будет работать даже на новейших процессорах, где атака теоретически невозможна.
Фишинг-атака на Rust-разработчиков
Rust Foundation предупредил разработчиков о фишинговой атаке на пользователей репозитория crates.io. Злоумышленники рассылали поддельные письма, маскирующиеся под официальные уведомления от crates.io, в которых сообщали о компрометации инфраструктуры и предлагали срочно изменить учётные данные через систему единого входа (SSO).
Ссылки в письмах вели на фиктивный сайт rustfoundation.dev — копию GitHub, который мошенники использовали для перехвата логинов, паролей и кодов двухфакторной аутентификации. Подобные атаки уже наблюдались против NPM, PyPI и Mozilla AMO для публикации релизов с вредоносным кодом. Сведений об утечке учётных данных пока нет.
Вирус-вымогатель HybridPetya научился обходить защиту UEFI Secure Boot
HybridPetya — новая версия вымогателей Petya/NotPetya, которая умеет обходить защиту UEFI Secure Boot через уязвимость, исправленную в начале 2025 года.
HybridPetya работает так:
- Вирус проникает в системный раздел EFI и модифицирует загрузчик UEFI, вызывая синий экран для принудительной перезагрузки.
- После перезагрузки запускается буткит, который шифрует критически важные системные файлы, включая таблицу MFT с метаданными всех файлов NTFS, алгоритмом Salsa20. Процесс маскируется под стандартную проверку диска CHKDSK.
- Появляется экран с требованием выкупа 1000 $ в биткоинах за ключ расшифровки.
В отличие от NotPetya, который уничтожал данные, HybridPetya позволяет их восстановить после оплаты. При вводе правильного ключа восстанавливаются оригинальные загрузчики из резервных копий и начинается постепенная расшифровка данных. Особенность вируса — использование скрытых файлов в системном разделе EFI для управления процессом.
На практике активных атак пока не зафиксировано — возможно, это исследовательский проект. Однако его появление показывает, что обход Secure Boot становится реальной угрозой.
Атака Phoenix (CVE-2025-6202): обход защиты DDR5 и угроза безопасности данных
Исследователи из Швейцарской высшей технической школы Цюриха и компании Google разработали новую технику атаки класса Rowhammer — Phoenix (CVE-2025-6202). Метод позволяет обходить встроенную защиту TRR в чипах DDR5 и менять конкретные биты в оперативной памяти, что может привести к повышению привилегий в системе. Атака успешно протестирована на ПК с процессором AMD Zen 4 и памятью SK Hynix DDR5.
Атака Rowhammer использует особенность архитектуры DRAM: интенсивное чтение данных из определенных областей памяти вызывает электрические помехи, приводящие к потере заряда в соседних ячейках и изменению хранимой информации. Несмотря на то что производители внедрили механизм защиты TRR (Target Row Refresh), он оказался уязвим к новым методам обхода.
Ключевые особенности Phoenix (CVE-2025-6202):
- Работает на всех 15 протестированных модулях SK Hynix (2021-2024).
- Для получения root-доступа на системе с AMD Ryzen 7 7700X требуется около 109 секунд.
- Изменение одного бита позволяет модифицировать таблицы страниц памяти, ключи SSH или обходить проверки sudo.
Для блокировки атаки Phoenix предлагают увеличить частоту обновления памяти в три раза. Производителям рекомендуют пересмотреть архитектуру механизма защиты TRR, отказавшись от модели, основанной на сохранении в тайне принципов его работы.
Дополнительно разработана техника Rubicon для контролируемого размещения данных в памяти, что значительно ускоряет атаки (в 284 раза для Intel и в 6,8 раз для AMD). Отдельно показана возможность применения Rowhammer-атак к ИИ-системам (метод OneFlip), где изменение одного бита может кардинально изменить поведение AI-моделей: например, исказить работу модели автопилота или изменить интерпретацию дорожных знаков.
Из Windows удаляют устаревший и небезопасный язык VBScript
Корпорация Microsoft официально подтвердила планы по отказу от языка сценариев VBScript. Окончательно поддержку прекратят в течение следующих двух лет, поэтому пользователям придётся пересмотреть решения автоматизации.
VBScript основан на языке Visual Basic. Microsoft представил его в 1996 году как часть Windows 98 и NT 4.0. Он долгое время оставался ключевым инструментом для автоматизации задач и создания макросов в продуктах Microsoft Office, стал стандартом для Active Scripting-решений.
Почему решили отказаться от VBScript:
- Технология устарела: современный Windows предлагает более мощные альтернативы — PowerShell, Python.
- Есть проблемы с безопасностью: раньше VBScript часто использовали хакеры для распространения вредоносного ПО (Emotet, Qbot и др.).
Отключение пройдёт в три этапа: VBScript будет доступен по умолчанию до 2026–2027 года, затем станет опциональным компонентом, а в будущем — будет окончательно удалён. Соответственно, внешние VBS-скрипты и макросы перестанут поддерживаться.
Microsoft настоятельно рекомендует разработчикам и корпоративным клиентам заблаговременно перейти на современные средства автоматизации, например, PowerShell, чтобы избежать сбоев в работе приложений.
