ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — обход защиты Windows, критическая уязвимость в Veeam Backup, PoC-эксплойт для ядра macOS, обновления от Cisco, а также злоумышленники, использующие открытые ключи ASP.NET для развертывания вредоносного ПО.

Уязвимость CVE-2025-0411 позволяет обходить защиту Windows Mark-of-the-Web

Уязвимость CVE-2025-0411 (CVSS 7.0) позволяет злоумышленникам обходить механизм защиты WIndows Mark-of-the-Web путем двойного архивирования содержимого с помощью 7-Zip. При разархивировании Motw помечает локальную копию файла, если он был получен из интернета, что предотвращает выполнение на конечном узле. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл, например, с помощью фишинговых писем. При извлечении файлов из созданного архива, который содержит Mark-of-the-Web, 7-Zip не распространяет Mark-of-the-Web на извлеченные файлы. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в контексте текущего пользователя. Чтобы предотвратить проведение атаки, рекомендуется немедленно обновить архиватор до версии 7-Zip 24.09.

Критическая уязвимость Veeam Backup

Критическая уязвимость CVE-2025-23114 (CVSS 9.0), обнаруженная в компоненте Veam Updater, затрагивает продукты Veam Backup для Salesforce, Nutanix AHV, AWS, Microsoft Azure, Google Cloud, Oracle Linux Virtualization Manager и Red Hat. Эксплуатация уязвимости позволяет злоумышленникам перехватывать и изменять запросы на обновление между уязвимым устройством Veam и сервером обновлений, внедряя вредоносный код, что может привести к полному взлому системы. Специалисты Veeam уже выпустили обновление для уязвимых продуктов Veeam Updater. Обновление