ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — Microsoft обновляет базовый пакет безопасности для Windows Server 2025, новая волна рассылок Head Mare, вредоносное ПО имитирует обновление Zoom Update, в новой версии Wireshark устранены уязвимости в системе безопасности, продолжаются атаки Librarian Likho на российские компании.

1. Microsoft обновляет базовый пакет безопасности для Windows Server 2025

Корпорация Microsoft выпустила обновление пакета базовых параметров безопасности для Windows Server 2025 (v2602). Ключевым изменением в Windows Server стало отключение команды sudo на серверах и контроллерах домена. Для контроллеров домена также активирован режим блокировки для проверки ключей Windows Hello for Business, уязвимых к атаке ROCA. В целях снижения рисков возможность запуска Internet Explorer 11 через COM-автоматизацию отключена. Ко всем файлам, загруженным из интернета, применяется тег Mark of the Web (MotW). Включен аудит входящего NTLM-трафика для всех учетных записей, аудит исходящего NTLM-трафика на удаленные серверы, а на контроллерах домена активирован аудит NTLM-аутентификации в домене. Дополнительно Microsoft опубликовала рекомендации по усилению защиты SMB-сервера и управлению сертификатами Secure Boot в контексте истечения их срока действия.

2. Новая волна рассылок Head Mare

Эксперты Kaspersky сообщили о новой фишинговой кампании группировки Head Mare. Письмо отправляется от имени научно-исследовательской организации и содержит предложение заключить договор и зашифрованный архив. Архив содержит файлы-ярлыки (.lnk), запускающие скачивание вредоносного PowerShell-скрипта. Он загружает файл USOCachedData.txt (на самом деле DLL) и обеспечивает закрепление в системе через технику PSFactoryBuffer COM Hijacking. Загруженная библиотека