ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — критическая брешь в аутентификации Microsoft, уязвимость в веб-сервисах Cisco, скрытый бэкдор в расширениях Chrome, риски ИИ-агентов в Salesforce, эволюция киберугроз от Северной Кореи.

Критическая брешь в аутентификации Microsoft

Microsoft исправила критическую уязвимость CVE-2025-55241 (CVSS: 10.0) в Entra ID. Эта уязвимость позволяла злоумышленникам с помощью поддельных токенов S2S, выданных Access Control Service, и устаревшего API Azure AD Graph импровизировать глобальных администраторов в любых тенантах, обходя MFA, Conditional Access и логирование. В результате злоумышленники получали доступ к конфиденциальным данным, таким как BitLocker-ключи и настройки Azure, без оставления следов эксплуатации. Рекомендуется мигрировать приложения на Microsoft Graph, поскольку Azure AD Graph API был отключен 31 августа 2025 года.

Уязвимость в веб-сервисах Cisco позволяетудаленное выполнение произвольного кода

Cisco выпустила предупреждение о критической уязвимости CVE-2025-20363 (CVSS: 9.0) в веб-сервисах Secure Firewall ASA, Threat Defense, IOS, IOS XE и IOS XR. Она позволяет удаленным неавторизованным атакующим выполнять произвольный код на уязвимых маршрутизаторах и файерволах без обходных мер. Она Уязвимость требует немедленного обновления для предотвращения потенциальных сетевых вторжений. Рекомендуется применить доступные обновления безопасности.

Скрытый бэкдор в расширениях Chrome

Исследователи Synacktiv раскрыли технику Phantom Extension для компрометации браузеров на базе Chromium в Windows-доменах. Злоумышленники с помощью записи на диск манипулируют файлами предпочтений вроде Secure Preferences, вычисляя хэши расширений и MAC с использованием HMAC-SHA256 из resources.pak, чтобы принудительно