Исследователь Сэм Карри вместе с коллегами хорошо известен благодаря своим исследованиям безопасности корпоративной инфраструктуры. Зачастую он находит довольно простые ошибки, которые тем не менее представляют интерес, — скорее как пример максимально непрофессионального подхода к безопасности. В сферу его исследований часто попадают компании из автоиндустрии (пример 1, пример 2). Детали еще одного исследования по этой теме были обнародованы на прошлой неделе: Карри, вместе с коллегами Иэном Кэрроллом и Галем Нагли, нашел серьезную уязвимость в веб-портале Международной автомобильной федерации (FIA).

FIA участвует в организации не только «Формулы-1», но и множества других автоспортивных мероприятий. Для работы с участниками соревнований предусмотрен специальный веб-портал, зарегистрироваться на котором может любой желающий. После создания учетной записи следует довольно сложный процесс регистрации, в ходе которого требуется предоставить множество данных о себе и загрузить подтверждающие документы. После создания учетной записи исследователи начали анализировать процесс обмена информацией с сервером. Они обратили внимание, что в ответ на обновление данных о собственной учетке сервер дает чуть больше информации, чем было предоставлено пользователем.

В частности, интерес исследователей вызвал параметр roles. Анализ кода веб-сайта позволил узнать, какие варианты привилегий пользователя в принципе существуют:

Ну а дальше все просто: исследователи сформировали еще один запрос на обновление данных пользователя, а в поле roles прописали роль администратора системы. И это сработало! После повторного логина они получили полный доступ ко всем данным веб-портала, в том числе к информации обо всех зарегистрированных участниках соревнований, внутренней переписке функционеров FIA и многому другому. Эксперты смогли получить доступ к карточке пилота «Формулы-1» Макса Ферстаппена, включая различные приватные данные — вплоть до копии паспорта.

Выходит, что серверная часть веб-портала доверяла любой информации, которую присылают клиенты, ожидая, что пользователи будут ограничены возможностями самой веб-страницы и не станут формировать произвольные запросы. Масштаб данного недосмотра сравним со скоростью решения проблемы: от изначального сообщения экспертов по безопасности до закрытия уязвимости прошло целых семь месяцев.

Да, Сэм Карри и его команда охотятся на простейшие уязвимости, но, с другой стороны, зачем применять сложные методы взлома, если и простых хватает для доступа к чувствительным корпоративным данным? Это было не раз показано теми же экспертами в предыдущих исследованиях: когда недооценивается безопасность сервиса, который считается «полуприватным», разрабатывается для внутренних нужд и, возможно, не обновляется в течение долгого времени. Рано или поздно такой недосмотр приводит к утечке корпоративной информации.

Что еще произошло

Свежая публикация от экспертов «Лаборатории Касперского» рассматривает примеры старых и новых тактик, используемых в почтовых фишинговых атаках. В статье показано, как хорошо известные приемы со временем модифицируются. Например, для обхода корпоративной защиты раньше часто использовались ссылки в файлах PDF. Теперь же туда обычно вставляются QR-коды. Побочным эффектом такого приема является то, что жертва, скорее всего, откроет ссылку на смартфоне, который может быть менее защищен, чем корпоративный ноутбук. Хорошо известный спам с календарными уведомлениями, когда к письму прикрепляется встреча, теперь чаще используется для атак на корпоративных пользователей. Наконец, в статье рассматривается пример сложной фишинговой атаки, которая, во-первых, старается максимально защититься от средств безопасности, пропуская пользователя аж через три капчи подряд. Во-вторых, фишинговая форма, нацеленная на кражу учетки Google, в «прямом эфире» проверяет существование введенного адреса и выводит ошибку, если такого аккаунта не существует. Более того, даже если жертва введет правильный пароль, все равно выводит сообщение об ошибке. В худшем случае такая тактика может вынудить пользователя ввести несколько адресов или паролей последовательно.

Еще одна публикация специалистов «Лаборатории Касперского» рассматривает уязвимость в логике системы вознаграждений BetterBank, которая привела к краже криптовалюты на сумму 5 миллионов долларов США. А в этом исследовании анализируется кампания PassiveNeuron, нацеленная на инфраструктуру крупных организаций в Азии, Африке и Латинской Америке.

На прошлой неделе компания OpenAI представила свой собственный браузер ChatGPT Atlas, после чего последовала дискуссия о неизбежной подверженности таких решений атакам типа prompt injection — когда контент веб-страницы, с которой работает ИИ, содержит явные или скрытые инструкции и ИИ слепо их выполняет. Пример, как это работает в Atlas, приведен здесь. Разработчики браузера Brave опубликовали статью с примерами успешного prompt injection для конкурирующего ИИ-браузера Perplexity Comet, а также решения Fellou. Сами разработчики Brave также работают над собственным ИИ-ассистентом и намекают на то, что он будет безопаснее. Заставить ИИ-ассистента выполнить какую-то инструкцию может быть и легко, но реальная уязвимость начинается с момента, когда инструкция позволяет, например, украсть приватные данные пользователя или даже выполнить какое-то действие от его имени. В обоих примерах такая подлинно вредоносная атака не рассматривается. Имеют место и традиционные атаки на волне популярности браузера Perplexity Comet, включая распространение поддельных приложений.

23 октября был выпущен срочный апдейт для Windows, закрывающий крайне опасную уязвимость в подсистеме Windows Server Update Services. Проблема CVE-2025-59287 имеет близкий к максимальному рейтинг 9,8 балла из 10 возможных и в худшем случае может приводить к выполнению произвольного кода после отправки единственного запроса на уязвимую машину. Еще одно экстренное обновление закрыло досадную ошибку, из-за которой в среде восстановления WinRE не работали USB-мыши и клавиатуры.