Специалисты Microsoft предупредили об атаках на новую zero-day уязвимость в Exchange Server, получившую идентификатор CVE-2026-42897. Проблема затрагивает Exchange Server 2016, 2019 и Subscription Edition (SE). Пока полноценного патча нет, в компании предлагают использовать временные защитные меры и рекомендуют администраторам срочно включить Exchange Emergency Mitigation Service (EEMS).
В последние годы российский корпоративный рынок информационной безопасности переживает бурный рост: спрос на обучение сотрудников основам кибергигиены стремительно увеличивается. Однако за оптимистичными отчетами об охвате персонала и закупках лицензий на образовательные платформы часто скрывается горькая правда. Большинство программ Security Awareness застревают на уровне формального комплаенса, не принося реальной пользы бизнесу и не делая инфраструктуру по-настоящему безопасной.
Хакеры получили доступ к GitHub-инфраструктуре Grafana Labs с помощью похищенного токена и украли исходные коды компании. После этого злоумышленники попытались шантажировать разработчиков, угрожая публикацией украденных данных. В Grafana заявили, что платить выкуп не намерены.
Представители Mozilla раскритиковали британские власти за попытки запретить VPN в рамках закона Online Safety Act. В организации предупредили, что борьба с инструментами анонимизации не решит проблему обхода возрастных проверок, но ударит по приватности и безопасности миллионов обычных пользователей.
ИБ-исследователь Джастин О'Лири (Justin O'Leary) заявил, что разработчики Microsoft незаметно устранили критическую уязвимость в Azure Backup for AKS, но при этом отказались признавать проблему и не стали присваивать ей идентификатор CVE.
Для подписчиковBurp Suite — основной инструмент при работе с вебом. Освоить его — это, считай, освоить азы атак на веб‑серверы. Из этого гайда ты узнаешь, как пентестеры подделывают запросы для обхода аутентификации, подбирают пароли и находят другие уязвимости с помощью Burp.
Критическая уязвимость CVE-2026-42945 в NGINX, получившая название NGINX Rift, уже используется в реальных атаках. По данным специалистов компании VulnCheck, попытки эксплуатации начались буквально через несколько дней после публикации CVE и выхода патчей.
ИБ-исследователь Chaotic Eclipse (он же Nightmare Eclipse) опубликовал на GitHub новый 0-day-эксплоит для Windows под названием MiniPlasma. Уязвимость позволяет локально повысить привилегии до уровня SYSTEM на полностью пропатченных системах под управлением Windows 11.
Линус Торвальдс (Linus Torvalds) раскритиковал поток сгенерированных ИИ баг-репортов, который, по его словам, делает рассылку, посвященную вопросам безопасности ядра Linux, «практически неуправляемой». Проблема, как считает Торвальдс, заключается не в самих ИИ-инструментах, а в том, как именно их используют исследователи.