Исследователи опубликовали PoC-эксплоит для новой уязвимости повышения привилегий в ядре Linux. Баг, получивший название DirtyDecrypt (он же DirtyCBC), позволяет локальному атакующему получить root-права в уязвимых системах.
Для подписчиковСегодня мы разберемся с нестандартным протектором ElecKey и посмотрим, как защита приложения может быть скомпрометирована. Попутно выясним, почему стандартные инструменты дампинга не справляются с этой задачей, найдем обходной путь и напишем небольшой демонстрационный скрипт.
На завершившемся соревновании Pwn2Own Berlin 2026 ИБ-исследователи заработали 1 298 250 долларов США, продемонстрировав эксплуатацию 47 уникальных уязвимостей нулевого дня. В этом году соревнование было посвящено корпоративным технологиям и ИИ, а среди целей оказались Windows 11, Microsoft Exchange, VMware ESXi, браузеры, контейнерные среды и LLM-инструменты.
Специалисты Microsoft предупредили об атаках на новую zero-day уязвимость в Exchange Server, получившую идентификатор CVE-2026-42897. Проблема затрагивает Exchange Server 2016, 2019 и Subscription Edition (SE). Пока полноценного патча нет, в компании предлагают использовать временные защитные меры и рекомендуют администраторам срочно включить Exchange Emergency Mitigation Service (EEMS).
В последние годы российский корпоративный рынок информационной безопасности переживает бурный рост: спрос на обучение сотрудников основам кибергигиены стремительно увеличивается. Однако за оптимистичными отчетами об охвате персонала и закупках лицензий на образовательные платформы часто скрывается горькая правда. Большинство программ Security Awareness застревают на уровне формального комплаенса, не принося реальной пользы бизнесу и не делая инфраструктуру по-настоящему безопасной.
Хакеры получили доступ к GitHub-инфраструктуре Grafana Labs с помощью похищенного токена и украли исходные коды компании. После этого злоумышленники попытались шантажировать разработчиков, угрожая публикацией украденных данных. В Grafana заявили, что платить выкуп не намерены.
Представители Mozilla раскритиковали британские власти за попытки запретить VPN в рамках закона Online Safety Act. В организации предупредили, что борьба с инструментами анонимизации не решит проблему обхода возрастных проверок, но ударит по приватности и безопасности миллионов обычных пользователей.
ИБ-исследователь Джастин О'Лири (Justin O'Leary) заявил, что разработчики Microsoft незаметно устранили критическую уязвимость в Azure Backup for AKS, но при этом отказались признавать проблему и не стали присваивать ей идентификатор CVE.
Для подписчиковBurp Suite — основной инструмент при работе с вебом. Освоить его — это, считай, освоить азы атак на веб‑серверы. Из этого гайда ты узнаешь, как пентестеры подделывают запросы для обхода аутентификации, подбирают пароли и находят другие уязвимости с помощью Burp.