CyberSecureFox

⚙️ Цікавий хід від Microsoft, який я сьогодні помітив у changelog VS Code. Тепер розширення оновлюються не одразу, а з затримкою, і це не про «гальма», а про безпеку.Починаючи з VS Code 1.123, автооновлення розширень відбувається з двогодинною паузою ⏱️. Ідея проста: дати час спільноті й системам безпеки помітити шкідливі оновлення, перш ніж вони розкотяться мільйонам користувачів. При цьому, якщо дуже хочеться, завжди можна натиснути Update і оновитись вручну миттєво.Цікаво, що ця затримка не діє для розширень від Microsoft, GitHub та OpenAI 🧩 — їм довіряють настільки, що оновлення летять відразу. Паралельно схожі механізми вже є в npm / pnpm / Yarn / Bun, де можна задати мінімальний «вік» пакета 🛡️. Мені здається, це повільно стає новим стандартом безпеки в інструментах розробника.Я б радив хоча б глянути, чи ввімкнений мінімальний вік пакетів у вашому менеджері залежностей 🤔. А ви зазвичай оновлюєтесь миттєво чи навпаки тягнете до останнього?🔗 Докладніше:https://cybersecurefox.com/uk/vs-code-dvogodynna-zatrymka-avto-onovlen-rozshyren#vscode #безпека #розробка #javascript #devtoolsCyberSecureFox

🔍 Натрапив на доволі цікаву й трохи лячну історію про новий кластер загроз OP-512, який полює на старі сервери Microsoft IIS. Мені здається, це ще один дзвіночок, що «воно якось працює, не чіпай» у 2024 році вже не варіант 😅OP-512 використовує кастомний фреймворк із трьох вебшелів: віддалений доступ, керування файлами й автоматичне сповіщення атакувальників через DNS/HTTP — усе з криптографічним захистом доступу 🕵️‍♂️ Кожне розгортання унікальне, тому класичні сигнатури його майже не бачать, а ціль передусім — шпигунство по серверах на кшталт Windows Server 2016 + .NET 4.0.Особливо мене вразив їхній підхід до маскування: замість рандомних дат файлам ставлять медіанну часову мітку з оточення, тож вебшели виглядають «старожилами» у системі 🧩 Після закріплення вони ще й пробують піднятися до рівня SYSTEM через Potato Suite, перевіряючи привілеї командою whoami /priv ⚠️Я для себе роблю висновок: усі ІIS з виходом в інтернет на старих платформах — це вже не просто технічний борг, а повноцінний вхідний шлюз для APT 🛡️ А ви ще тримаєте в продакшені старі IIS/Windows Server 2016 — і якщо так, то як підстраховуєтеся?🔗 Докладніше:https://cybersecurefox.com/uk/op-512-ataky-na-microsoft-iis#кібербезпека #infosec #iis #windows #apt #адміниCyberSecureFox

🔥 Я натрапив на кейс, від якого трохи холоне спина: частину легітимних хмарних серверів AWS, Google Cloud і Azure тихцем переобладнали в мережу SMTP-проксі. Тобто твій звичайний Linux-сервер раптом стає ланкою у ланцюгу для спаму чи фішингу — і ти про це навіть не здогадуєшся.Хлопці з Hunt.io виявили понад 230 таких вузлів, пов’язаних з угрупованням PCPJack. Зломщики юзали зв’язку Sliver + Chisel, щоб піднімати SOCKS5-проксі й тестувати, чи може сервер відправляти пошту назовні (smtp.gmail.com:587 як “лакмусовий папірець”). Якщо у вас є Linux у хмарі, я б точно перевірив: 💡 чи немає файлу /var/tmp/.xs, дивних процесів Chisel і підозрілих SOCKS5-портів 10000–14999, а також вихідного трафіку на 587 й підключень до 213.136.80.73 / 38.242.204.245. Мені здається, це гарний привід переглянути політики вихідної пошти й не тримати сервер “відкритим у всесвіт”.🤔 Як ви обмежуєте вихідний SMTP у своїх хмарах: усе через окремий поштовий шлюз, чи досі “якось працює — не чіпаємо”?🔗 Докладніше:https://cybersecurefox.com/uk/pcpjack-230-khmarnykh-serveriv-smtp-proxy#кібербезпека #хмарнісервери #linux #devops #infosec #spamCyberSecureFox

🧠 Уявіть: вам в Telegram/WhatsApp прилітає одне-єдине повідомлення — і через нього Google Gemini на Android починає відкривати вікна в розумному домі, приєднуватися до Zoom-дзвінків і ще й переписувати вашу пам’ять в акаунті. Без жодного віруса чи встановленого шкідливого застосунку.Я натрапив на дослідження SafeBreach: виявляється, достатньо, щоб Gemini мав доступ до сповіщень через Utilities, і він сприймав текст повідомлення як інструкції. Дослідник навіть обійшов захист Google трюком Fake Context Alignment — питання авторизації ховали в іншій мові або в посиланні, яке асистент не озвучує голосом 😬 Користувач чує безпечну фразу, каже «Так» — і фактично дає добро на дію.Гарна новина: Google вже пофіксив це на сервері (листопад 2025), оновлювати нічого не треба. Але я б все одно перевірив: чи не ввімкнена у вас функція читання сповіщень Gemini, і час від часу глянув би, які «факти» збережені в його пам’яті 🧐 Мені здається, що для більшості з нас вимкнути зайву інтеграцію з сповіщеннями — простіше, ніж потім розгрібати наслідки.А ви взагалі даєте голосовим асистентам читати свої сповіщення? Чи вже надійно відгородили їх від особистого життя? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/ataka-cherez-spovishchennya-google-gemini-android#кібербезпека #android #ai #gemini #приватність #googleCyberSecureFox

🧩 Натрапив на історію, яка звучить як класична «дрібна помилка — великі наслідки». У Microsoft 365 для Android лишили увімкнений debug-режим, і він відкрив дуже цікавий люк у безпеку.Якщо коротко: будь-який застосунок на телефоні міг тихо отримати авторизаційний токен із Word, Excel, PowerPoint, Copilot (плюс Loop і OneNote) без пароля, екрана входу чи запиту дозволів ⚠️. Через ці FOCI-токени зловмисник мав би доступ до пошти, файлів, календаря — і все це виглядало б у логах як звичайна активність. Microsoft уже викотила оновлення в Google Play, але є нюанс: старі токени продовжують жити навіть після апдейту 📱. Тому, якщо на корпоративних пристроях були підозрілі застосунки, варто не лише оновити все, а й відкликати токени через Azure AD / Entra ID 🛡️. Мені здається, це ще один аргумент регулярно чистити телефон від лівих програм і не тягнути APK «звідкись там» 🤔. А ви як ставитеся до Microsoft 365 на Android — довіра чи скоріше «краще в браузері»?🔗 Докладніше:https://cybersecurefox.com/uk/flagleft-vrazlyvist-microsoft-365-android-debug-flag#кібербезпека #android #microsoft #токени #корпоративнабезпека #приватністьCyberSecureFox

🎮 Якщо ви або ваші діти ставите моди на Minecraft — це прямо зараз болюча тема. Натрапив на історію, від якої в мене реально похололо в пальцях. Виявили сервіс Weedhack — по суті, «шкідливе ПЗ як послуга» для Minecraft. Зловмисники заливають ролики на YouTube з «крутими модами/клієнтами», а в описі — лінк на JAR-файл. Ставиш мод — а отримуєш інфостілер, який тягне паролі з браузерів, криптогаманці, Discord/Steam/Telegram, робить скріни, а в преміум-версії ще й керує вебкамерою та клавіатурою. Найцікавіше, що все це працює через Ethereum-блокчейн (техніка EtherHiding) — інфру майже неможливо «вбити». І все це таргетиться на гравців, переважно підлітків… мені здається, це новий рівень «ігрових» схем. Паралельно дослідники бачать схожі історії з піратським софтом і «безкоштовними» фільмами 🕵️‍♂️ Мій особистий мінімум безпеки: моди — тільки з CurseForge/Modrinth, ніяких JAR-ів із описів YouTube, регулярно глянути винятки в Defender 💻. А ви ставите моди/ігри з лівих сайтів чи вже переросли цей етап? ⚠️🔗 Докладніше:https://cybersecurefox.com/uk/weedhack-maas-ataky-na-hravtsiv-minecraft#кібербезпека #minecraft #моди #malware #windows #приватністьCyberSecureFox

⚠️ Здається, ми знову спостерігаємо, як теорія про «швидке патчення» розбивається об реальність. Історія про те, як зручні фічі у VPN можуть тихо відчинити двері у внутрішню мережу.Palo Alto підтвердила активну експлуатацію CVE-2026-0257 у PAN-OS / Prisma Access: через GlobalProtect можна обійти автентифікацію та залетіти у VPN як легітимний юзер. Критичний момент: цілитись будуть у тих, хто користується authentication override cookies – там, де все має бути «зручно» для користувача, стає зручно і для атакувального 🕵️‍♂️Rapid7 бачила дві хвилі атак уже з 17 травня, тобто вікно між публікацією бюлетеня та реальними зломами — буквально кілька днів. Я б на місці тих, хто крутить GlobalProtect, або терміново ставив патч, або хоча б вирубив override / перевипустив сертифікат, плюс пройшовся по логах VPN за останні тижні 🛡️Мені здається, ми недооцінюємо ризик саме периметрових VPN як «єдиних воріт» у мережу. Як у вас з патчами та GlobalProtect — вже закрили цю діру чи ще в процесі? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/cve-2026-0257-globalprotect-auth-bypass#кібербезпека #paloalto #vpn #globalprotect #soc #blueteamCyberSecureFox

🚨 Ось історія, яка трохи лякає і одночасно захоплює. Anthropic тихо ганяє модель Claude Mythos по опенсорсу — і вона вже знайшла 23 000+ вразливостей у понад 1000 проєктах, з них 6200 high/critical, а точність після ручної перевірки — 90,6%. Для порівняння, класичні SAST-інструменти часто тонуть у фейкових спрацюваннях 🐛Я помітив цікаву деталь: частина команд прямо каже, що не встигає закривати все, що їм знаходить Mythos. Інструмент, який мав посилити захист, починає створювати інформаційний шок 🛡️ І тут виникає неприємний дисбаланс: зловмиснику достатньо однієї дірки, а захисникам треба закрити всі ⚖️Паралельно в інтерфейсах Claude Code уже сплив ідентифікатор claude-mythos-1-preview — виглядає так, ніби публічний реліз десь поруч, хоча офіційних дат немає 🧩 Якщо ви спираєтесь на open source, мені здається, саме час підтягнути SBOM, автоматизувати пріоритизацію й застосування патчів — бо кількість відомих багів може зрости на порядок. Як ви ставитеся до ідеї зробити такий «сканер світу» публічним: це більше про захист чи про новий буст для атакувальників?🔗 Докладніше:https://cybersecurefox.com/uk/anthropic-claude-mythos-project-glasswing-vrazlyvosti-oss#ai #кібербезпека #opensource #security #devsecops #anthropicCyberSecureFox

⚠️ Одна «зручність» у конфігу — і під загрозою вся екосистема застосунків.Натрапив на історію з японською LMS Digital Knowledge KnowledgeDeliver 🇯🇵. Вендор роздавав усім клієнтам однаковий machineKey в web.config, тож CVE-2026-5426 дає змогу виконувати код без логіну через підроблений ViewState. Фактично, зливши ключ з однієї інсталяції, можна бити по всіх, що стирчать в інтернет.Далі починається кібер-треш: через вебшел Godzilla 🐚 зловмисник розширює права, править JavaScript і показує юзерам фейкове «попередження безпеки». Люди ставлять «плагін автентифікації» — а насправді отримують Cobalt Strike Beacon 💻, ще й підготовлений під конкретну організацію 🧩.Мені здається, це ідеальний антиприклад для всіх, хто ще хардкодить ключі в шаблони. Чи перевіряли ви свої ASP.NET‑застосунки на стандартні machineKey, чи все ще «як розгорнули, так і працює»? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/cve-2026-5426-knowledgedeliver-viewstate-vrazlyvist#кібербезпека #vuln #lms #cobaltstrike #infosecuaCyberSecureFox

🔐 Коли вразливість виглядає «не дуже ймовірною», але може дати RCE з прав звичайного користувача — це вже історія, за якою я пильно стежу. Особливо коли йдеться про SharePoint, який у багатьох із нас живе в самісінькому центрі корпоративної інфраструктури.Microsoft тихенько залатала CVE-2026-45659 (CVSS 8.8) — десеріалізація недовірених даних, яка дозволяє будь-якому Site Member виконати довільний код на сервері по мережі 🧨. Мені здається, це особливо небезпечно там, де півкомпанії має базовий доступ до сайтів. Хоча Microsoft пише, що експлуатація «малоймовірна», історія попередніх атак на SharePoint говорить протилежне ⚠️.Оновлення вже доступні 🧑‍💻: SharePoint Server Subscription Edition (KB5002863), 2019 (KB5002870), 2016 (KB5002868). Я б ставив це в пріоритет: оновити сервери, зробити аудит акаунтів із правами Site Member+, проглянути логи на дивні запити й по можливості обмежити прямий доступ до SharePoint через проксі/WAF ✅. Як ви до такого ставитеся: розкатуєте подібні патчі одразу чи спершу чекаєте «офіційних експлойтів»? 🙂🔗 Докладніше:https://cybersecurefox.com/uk/vrazlyvist-cve-2026-45659-u-sharepoint-server#кібербезпека #sharepoint #infosec #адміністрування #windows #оновленняCyberSecureFox