Новости кибербезопасности за неделю 20 - 26 января 2025

Самое интересное из мира кибербезопасности ## с моими комментариями

1) Группа исследователей раскрыла подробности более 100 уязвимостей, затрагивающих реализации LTE и 5G. Злоумышленники могут использовать эти бреши для ограничения доступа к сервисам и получения контроля над сотовой сетью на уровне целого города.

## Вообще не удивительно. Сотовой сетью управляет софт и проблемы в этом софте совершенно обычные. Пропатчат.

2) Исследователь MrAle_98 опубликовал на своём GitHub proof-of-concept для уязвимости CVE-2024-49138. Уязвимость позволяет получить права SYSTEM (полный контроль над целевой системой) вплоть до Windows 11 23H2. CVE дали 7,8 балла по шкале CVSS. Microsoft выпустила патч для неё с декабрьскими обновлениями.

## От подобных новостей "напрягаются" сотрудники ИБ больших компаний, которые не дают сотрудникам админские права на их рабочие компьютеры, а многие сотрудники очень эти права себе хотят. Проблема в том, что в крупных компаниях декабрьские патчи будут установлены ещё очень не скоро, т. к. процедуры их проверки очень долгие. Обновите свои домашние и личные компы.

3) Хакерская группировка Silent Crow сообщила о взломе сайтов company.rt.ru и zakupki.rostelecom.ru. По их заявлению, в результате атаки были получены данные, включающие 154 000 уникальных email-адресов и 101 000 номеров телефонов.

## Подобные утечки были, есть и будут. Я недавно написал статью о том, как минимизировать для себя потенциальный ущерб от подобных взломов.