(Без)облачная безопасность: как защититься от уязвимости в Power Pages
Microsoft выпустила экстренное обновление безопасности, устраняющее уязвимость нулевого дня (CVE-2025-24989) в своей платформе веб-разработки — облачном сервисе Power Pages. По данным BleepingComputer, эта уязвимость уже активно используется злоумышленниками для проведения атак. Она позволила злоумышленникам повышать привилегии, обходя систему авторизации.
Эксперт компании «Газинформсервис» Екатерина Едемская предупреждает, что это серьёзная угроза для безопасности, особенно в контексте облачных сервисов, где эксплуатация может происходить удалённо. «Подобные уязвимости могут оставаться незамеченными долгое время, поскольку злоумышленники могут манипулировать правами доступа или учётными записями без немедленного отклика системы безопасности. Решением этой проблемы могут стать системы, использующие поведенческую аналитику (UEBA), позволяющие обнаруживать аномалии в действиях пользователей. Эти системы анализируют привычные модели поведения и выявляют подозрительные изменения, такие как неожиданное получение административных привилегий или попытки доступа к критически важным функциям. Выявление таких действий на ранних этапах позволяет предотвратить возможную атаку или быстро её нейтрализовать», — отмечает Едемская.
«Для эффективного мониторинга и быстрого реагирования на угрозы, связанные с подобными уязвимостями, компании могут рассмотреть использование системы Ankey ASAP от "Газинформсервиса". Программный комплекс сочетает методы поведенческого анализа и машинного обучения для обнаружения скрытых угроз и аномалий в пользовательских действиях. Интеграция с различными источниками данных позволяет системе Ankey ASAP оперативно фиксировать инциденты, проводить их анализ и помогать в расследовании, что значительно снижает риски компрометации инфраструктуры», — добавляет она.
2 октября крупнейший форум по кибербезопасности GIS DAYS 2025* превратит Севкабель Порт в центр карьерных возможностей для студентов и молодых специалистов. В рамках события пройдёт Студенческий день — практическая площадка для профессионального диалога с лидерами ИБ-индустрии.
Масштабная партнёрская конференция GIS-DOUBLE-X, организованная компанией «Газинформсервис», успешно завершилась в Москве, собрав более 400 представителей партнёрской сети со всех уголков страны. Мероприятие, посвящённое актуальным вызовам кибербезопасности и стратегиям развития, стало площадкой для подведения итогов года и определения ключевых векторов стремительного движения компании.
Завершен совместный пилотный проект трансграничного электронного документооборота (ЭДО) товаросопроводительных документов между Россией и Узбекистаном.
Компания «Газинформсервис» получила сертификат соответствия ФСБ России на программный комплекс Litoria Desktop 2. Сертификат СФ/124-5229 от 22 июля 2025 года подтверждает, что СКЗИ Litoria Desktop 2 успешно прошло экспертизу, подтверждающую соответствие требованиям к средствам криптографической защиты информации.
В последние годы социальная инженерия в сочетании с искусственным интеллектом (ИИ) стала одним из самых эффективных инструментов, используемых хакерами для кибератак. Появление вредоносной кампании AI Waifu RAT демонстрирует новый уровень атак, использующих ИИ и методы социальной инженерии для проникновения в нишевые онлайн-сообщества.
В конфигурациях облачной службы Azure Active Directory (Azure AD) обнаружена критическая уязвимость, которая раскрывает конфиденциальные учётные данные приложений, предоставляя злоумышленникам доступ к облачным средам. Это ещё раз доказало: слабое место может найтись даже там, где, казалось бы, всё защищено.
В чипах Qualcomm, компании по разработке и производству микросхем для мобильных телефонов и другой электроники, обнаружены две критические уязвимости: CVE-2025-21483 и CVE-2025-27034, обе с оценкой CVSS 9.8.
