Сервис микропатчей 0patch компании ACROS Security опубликовал бесплатные неофициальные патчи для устранения уязвимости нулевого дня, появившейся более двух лет назад в механизме безопасности Windows Mark of the Web (MotW), сообщил BleepingComputer.

По словам Мити Колсека (Mitja Kolsek), соучредителя 0patch, эта уязвимость может позволить злоумышленникам помешать Windows применять к некоторым типам файлов, загружённых из интернета, метки (MotW), которые добавляются ко всем документам и исполняемым файлам, загружённым из ненадёжных источников, предупреждая о потенциальной опасности.

Источник изображения: Microsoft

Исследователи 0patch обнаружили ранее неизвестную уязвимость в Microsoft Windows Server 2012 и Server 2012 R2, которая позволяет злоумышленнику обойти проверку безопасности. Анализ показал, что эта уязвимость появилась в Windows Server 2012 более двух лет назад и оставалась незамеченной — или, по крайней мере, неисправленной — до сегодняшнего дня. Её присутствие можно обнаружить даже на полностью обновлённых серверах с расширенными обновлениями безопасности.

ACROS Security не будет раскрывать детальную информацию об этой уязвимости до тех пор, пока Microsoft не выпустит для неё официальные патчи безопасности. Неофициальные же патчи доступны бесплатно как для устаревших версий Windows, срок поддержки которых уже закончился, так и для полностью обновлённых, включая:

• Windows Server 2012 с обновлениями до октября 2023 г.
• Windows Server 2012 R2 с обновлениями до октября 2023 г.
• Windows Server 2012 (все расширенные обновления безопасности).
• Windows Server 2012 R2 (все расширенные обновления безопасности).

Чтобы установить эти микропатчи в системах Windows Server 2012, поддержка которых закончилась более года назад, необходимо зарегистрироваться в сервисе 0patch и установить программу-агент. Если нет политик на запрет установки исправлений, патчи будут развёрнуты автоматически после запуска агента (без необходимости перезапуска системы).

Исследователи ESET сообщили о первом UEFI-бутките, нацеленном на Linux-системы. До этого злоумышленники использовали такого рода вредоносное ПО только для атак на компьютеры под управлением Windows, пишет BleepingComputer.

Буткит Bootkitty (IranuKit) был загружен на платформу VirusTotal 5 ноября 2024 года в виде файла bootkit.efi. Как утверждают в ESET, по ряду признаков Bootkitty представляет собой подтверждение осуществимости атаки (proof-of-concept), которое работает только на некоторых версиях и конфигурациях Ubuntu и не является полноценной угрозой, используемой в реальных атаках.

«Независимо от того, является ли это проверкой концепции или нет, Bootkitty знаменует собой интересный шаг вперед в ландшафте угроз UEFI, разрушая убеждение, что современные буткиты UEFI являются угрозами, эксклюзивными для Windows», — заявили исследователи, добавив, что появление буткита «подчеркивает необходимость быть готовым к потенциальным будущим угрозам».

Источник изображений: ESET

Как сообщили в ESET, основная цель буткита — отключить функцию проверки подписи ядра и предварительно загрузить два пока не известных двоичных файла ELF в процессе инициализации ядра. Bootkitty использует самоподписанный сертификат, поэтому он не будет выполняться в системах с включенной функцией Secure Boot, если только контролируемый злоумышленником сертификат уже не был прописан ранее.

Во время загрузки компьютера буткит перехватывает функции в протоколах аутентификации безопасности UEFI, чтобы обойти проверки целостности Secure Boot, гарантируя загрузку буткита независимо от политик безопасности. После этого он подменяет функции проверки целостности и наличия подписи в загрузчике GRUB, в том числе для образа ядра. Затем Bootkitty перехватывает процесс распаковки ядра Linux и подменяет функцию проверки модулей ядра. Наконец, он позволяет прописать в LD_PRELOAD любую библиотеку, которая будет первой загружаться при запуске системы.

Индикаторы компрометации (IoC), связанные с Bootkitty, были опубликованы в репозитории GitHub.

Американская Федеральная комиссия по связи (FCC) впервые за 22 года пересмотрит правила лицензирования подводных кабелей. Ведомство одобрило т.н. «Уведомление о предложении регулирования» (Notice of Proposed Rulemaking) для того, чтобы повысить уровень безопасности и защиты подводной инфраструктуры, а также упростить процесс лицензирования, сообщает Datacenter Dynamics.

Сейчас процесс регулирования деятельности в соответствующей сфере весьма сложен — для получения лицензий необходимо подавать заявки сразу нескольким федеральным регуляторам США. FCC намерена упростить этот процесс, но вместе с тем ужесточить правила отчётности. Так, предлагается ввести обязательные отчёты для прокладчиков кабелей каждые три года или же сократить срок действия их лицензий с 25 лет до более короткого периода.

Американский регулятор делает акцент на обеспечении национальной безопасности. Например, FCC также предложила обязать операторов, имеющих право на ведение международного телеком-бизнеса, подавать заявки на продление соответствующих разрешений в FCC. Дополнительно FCC работает над механизмом устранения из американских сетей связи телеком-оборудования, которое регулятор сочтёт опасным или хотя бы «рискованным».

Источник изображения: Drew Beamer/unsplash.com

Речь идёт о первом пересмотре правил работы с подводными кабелями с 2001 года. На сегодня функционируют 84 кабельные системы, получившие лицензии FCC. Текущая суммарная ёмкость кабелей лицензиатов превышает 5,3 Пбит/с, к ним планируется добавить ещё 6,8 Пбит/с.

Безопасность кабелей по разным причинам стала весьма актуальной темой. Помимо инцидентов в Красном море, из-за которых пострадала связь Азии с Европой, были и другие случаи, в частности — обрыв кабелей у берегов Вьетнама и Тайваня и недавний инцидент в Балтийском море.

Microsoft представила на конференции Microsoft Ignite новые специализированные чипы Azure Boost DPU и Azure integrated Hardware Security Module (HSM), предназначенные для использования в ЦОД с целью поддержки рабочих нагрузок в облаке Azure и повышения безопасности.

Источник изображений: Microsoft

Чтобы снизить зависимость от поставок чипов сторонних компаний, Microsoft занимается разработкой собственных решений для ЦОД. Например, на прошлогодней конференции Microsoft Ignite компания представила Arm-процессор Azure Cobalt 100 и ИИ-ускоритель Azure Maia 100 собственной разработки. Azure Boost DPU включает специализированные ускорители для работы с сетью и хранилищем, а также предлагает функции безопасности. Так, скорость работы с хранилищем у будущих инстансов Azure будет вчетверо выше, чем у нынешних, а энергоэффективность при этом вырастет втрое.

Не вызывает сомнений, что в разработке Azure Boost DPU участвовали инженеры Fungible, производителя DPU, который Microsoft приобрела в декабре прошлого года. Как отмечает TechCrunch, в последние годы популярность DPU резко увеличилась. AWS разработала уже несколько поколений Nitro, Google совместно с Intel создала IPU, AMD предлагает DPU Pensando, а NVIDIA — BlueField. Есть и другие нишевые игроки. Согласно оценкам Allied Analytics, рынок чипов DPU может составить к 2031 году $5,5 млрд.

Ещё один кастомный чип — Azure integrated Hardware Security Module (HSM) — отвечает за хранение цифровых криптографических подписей и ключей шифрования в защищённом модуле «без ущерба для производительности или увеличения задержки». «Azure Integrated HSM будет устанавливаться на каждом новом сервере в ЦОД Microsoft, начиная со следующего года, чтобы повысить защиту всего парка оборудования Azure как для конфиденциальных, так и для общих рабочих нагрузок», — заявила Microsoft. Azure Integrated HSM работает со всем стеком Azure, обеспечивая сквозную безопасность и защиту.

Microsoft также объявила, что задействует ускорители NVIDIA Blackwell и кастомные серверные процессоры AMD EPYC. Так, инстансы Azure ND GB200 v6 будут использовать суперускорители NVIDIA GB200 NVL 72 в собственном исполнении Microsoft, а интерконнект Quantum InfiniBand позволит объединить десятки тысяч ускорителей Blackwell. Компания стремительно наращивает закупки этих систем. А инстансы Azure HBv5 получат уникальные 88-ядерные AMD EPYC 9V64H с памятью HBM, которые будут доступны только в облаке Azure. Каждый инстанс включает четыре таких CPU и до 450 Гбайт памяти с агрегированной пропускной способностью 6,9 Тбайт/с.

Кроме того, Microsoft анонсировала новое решение Azure Local, которое заменит семейство Azure Stack. Azure Local — это облачная гибридная инфраструктурная платформа, поддерживаемая Azure Arc, которая объединяет локальные среды с «большим» облаком Azure. По словам компании, клиенты получат обновление до Azure Local в автоматическом режиме.

Наконец, Microsoft анонсировала новые возможности в Azure AI Foundry, новой «унифицированной» платформе приложений ИИ, где организации смогут проектировать, настраивать и управлять своими приложениями и агентами ИИ. В числе новых опций — Azure AI Foundry SDK (пока в виде превью).

Медиагигант ByteDance начал перенос данных европейских пользователей TikTok в новый дата-центр в Норвегии. По данным Datacenter Dynamics, инициатива стоимостью €12 млрд реализуется в рамках т.н. Project Clover — проекта, призванного обеспечить размещение европейских данных на территории Евросоюза. TikTok сообщает, что первое здание норвежского кампуса ЦОД уже функционирует. А самый первый ЦОД для Project Clover заработал в Ирландии в 2023 году.

Норвежский кампус OSL2-Hamar предоставлен компанией Green Mountain — соответствующее партнёрство анонсировали в марте 2023 года. Изначально заключался контракт на 90 МВт, распределённые на три здания, с возможностью масштабирования до 150 МВт к 2025 году. Первые 30-МВт объект передали TikTok в декабре 2023 года. Планировалось, что ЦОД заработает уже во II квартале 2024 года, но реализация проекта замедлилась из-за задержек в получении разрешений на новую подстанцию. Впрочем, само подключение к энергосети было получено не без проблем.

Поскольку TikTok принадлежит китайской ByteDance, несколько стран выразили озабоченность возможной утечкой данных своих граждан, наиболее сильное давление на социальную сеть оказывается в США, там же чаще всего выступают и с разоблачениями вероятных угроз национальной безопасности — не исключена продажа местного подразделения Oracle или Microsoft.

Источник изображения: TikTok

Пытаясь сохранить бизнес в Европе, ByteDance анонсировала инициативу Project Clover. Помимо передачи данных в Норвегию, компания сообщила, что независимый провайдер решений в сфере кибербезопасности NCC Group занялся мониторингом движения данных социальной сети и обеспечил дополнительную защиту сведениям о европейцах.

Ранее в этом месяце появилась информация о том, что TikTok якобы намеревается открыть ЦОД в Таиланде. В июне компания сообщила, что создаст ИИ-хаб в Малайзии за RM10 млрд ($2,13 млрд). Также, по слухам, компания рассматривала открытие ЦОД в Австралии для поддержки выполнения задач по всему Азиатско-Тихоокеанскому региону. Также у компании имеется ЦОД в Техасе, управляемый Oracle.

Не желая повторения инцидента, который вывел из строя миллионы компьютеров на Windows из-за бага в ПО CrowdStrike, Microsoft собрала ключевых разработчиков решений кибербезопасности на закрытой встрече Windows Endpoint Security Ecosystem Summit, где предложила им новый подход к защите Windows-систем. По данным PC Mag, речь идёт о новой платформе, позволяющей отказаться от доступа антивирусных программ к ядру операционной системы.

В блоге компании по итогам мероприятия сообщается, что Microsoft намерена развивать принципы, уже применяемые в Windows 11 и позволяющие во многих случаях обеспечивать защиту системы без непосредственного доступа к ядру. Инцидент с антивирусным ПО CrowdStrike, затронувший миллионы компьютеров по всему миру, во многом произошёл потому, что ПО имело доступ к ядру ОС. С одной стороны, без подобной функциональности со многими угрозами справиться трудно, с другой — именно из-за неё пользователи увидели «синий экран смерти» на миллионах ПК. Microsoft обвинила в случившемся власти Евросоюза, в своё время вынудившие компанию обеспечить подобный доступ разработчикам антивирусов.

Источник изображения: Jefferson Santos/unsplash.com

Впрочем, ни о каком закрытии доступа к ядру Windows речи пока не идёт. Клиенты и партнёры попросили компанию «предоставить дополнительные возможности обеспечения безопасности вне режима ядра», что позволило бы разработчикам создавать антивирусное ПО, не обращающееся к ядру, по крайней мере — на регулярной основе. В ходе встречи Microsoft и партнёры обсудили требования к новой платформе и основные вызовы, с которыми придётся столкнуться при её разработке. Компания сообщила, что речь идёт о долговременном проекте, в рамках которого Microsoft вместе с партнёрами намерена добиться повышенной надёжности защитного ПО без ущерба безопасности.

При этом Microsoft признала, что все участники саммита согласились с тем, что вендорам антивирусного ПО и клиентам выгодно, когда у них есть выбор различных вариантов для Windows в контексте обеспечения безопасности. Например, ESET прямо заявила, что доступ к ядру должен остаться одной из опций для эффективной защиты от киберугроз. Кроме того, стороны намерены делиться практиками безопасных обновлений ПО. Именно сбой на одном из этапов выпуска обновлений ПО CrowdStrike и привёл к эпохальному сбою, обошедшемуся некоторым компаниям в сотни миллионов долларов.

Немецкий фонд STF (Sovereign Tech Fund), сформированный Федеральным министерством экономики и защиты климата Германии (BMWK), по сообщению ресурса Phoronix, выделил €688 800 на развитие проекта с открытым исходным кодом Samba. Деньги получит организация SerNet, курирующая разработку Samba.

Samba — специализированно ПО, которое позволяет обращаться к сетевым ресурсам на различных операционных системах по протоколу SMB/CIFS. Первый выпуск Samba состоялся в 1992 году. Софт работает на большинстве Unix-подобных систем и входит во многие дистрибутивы Linux. Распространяется Samba по условиям лицензии GPL.

В течение следующих 18 месяцев разработчики займутся реализацией ряда инициатив, направленных на повышение безопасности, масштабируемости и функциональности ПО. Это, в частности, прозрачное аварийное переключение, расширения SMB3 UNIX и поддержка SMB поверх QUIC. Улучшения, разработка которых поддерживается STF, призваны гарантировать, что Samba останется надёжным и безопасным решением для организаций, которые полагаются на суверенную ИТ-инфраструктуру, максимально независимую от проприетарного ПО и при этом обеспечивающую оптимальную совместимость.

Источник изображения: STF

В августе FreeBSD Foundation, координирующая развитие ОС FreeBSD, также сообщила о выделении фондом STF €688 400 на развитие проекта. Средства, в частности, пойдут на улучшение инструментария разработки ОС, повышение безопасности и закрытие технических долгов. Работы будут проводить в 2024–2025 гг. Кроме того, STF уже вложился в развитие и поддержку GNOME, PHP, FFmpeg, coreutils, systemd, curl, OpenSSH и массу других открытых проектов.

Великобритания отнесла дата-центры к элементам критически важной национальной инфраструктуры (CNI). По данным The Register, в результате сектор будет обеспечен господдержкой, направленной на предотвращение негативных последствий сбоев в работе IT, примером которых может служить инцидент с CrowdStrike, а также на защиту от кибератак и природных катаклизмов.

ЦОД стали четырнадцатым дополнением к списку CNI-объектов Великобритании. Также в список входят гражданская атомная промышленность, энергетика, финансы, здравоохранение и др. Это первое обновление списка почти за 10 лет после добавления в него в 2015 году космической и оборонной сфер. Новость появилась через год после того, как NCSC предупредил о растущем уровне угрозы CNI-объектам Великобритании. В ноябре 2023 года было объявлено, что готовность справляться с киберугрозами в стране оставляет желать лучшего.

За поддержку отвечает специальная команда из высокопоставленных правительственных чиновников, которая будет отслеживать ландшафт угроз и прогнозировать возможные риски. Кроме того, та же команда будет отвечать за реагирование на чрезвычайные ситуации. Национальный центр кибербезопасности Великобритании (NCSC), а также другие спецслужбы будут получать приоритетный доступ к ЦОД, если те подвергнутся той или иной угрозе. Пока власти не комментируют, что подразумевается под «приоритетным доступом».

Источник изображения: Stanley Dai/unsplash.com

Как заявляют представители властей, уже само присвоение дата-центрам статуса CNI будет сдерживать киберпреступников от атак. СМИ усомнились в таких выводах, предположив, что это сделает объекты более привлекательной целью для злоумышленников. Также ожидается, что присвоение дата-центрам нового статуса повысит уверенность в будущих инвестициях в сектор.

Параллельно правительство Великобритании приветствовало инвестиции в объёме £3,75 млрд ($4,89 млрд) в крупнейший в Европе дата-центр, строительство которого запланировано компанией DC01UK в Хартфордшире, что недалеко от Лондона. После победы на выборах лейбористское правительство отозвали решения, блокировавшие строительство ЦОД в Хартфордшире и Бакингемшире, граничащими с «Большим Лондоном».

Впрочем, некоторые эксперты подчёркивают, что сегодня хранение и обработка данных обычно не ограничивается одной страной, так что любые новые правила стоит прорабатывать и принимать на международном уровне. При этом многие ЦОД обслуживают по несколько или даже много клиентов одновременно, поэтому ограничения затронут всех пользователей, даже тех, чей бизнес не относится к критической инфраструктуре. Это может замедлить инновации и повысить расходы. Возможно, операторам ЦОД придётся создать специальные кластеры только для критической инфраструктуры, что дополнительно усложнит решение вопросов и повысит затраты — необходимо будет найти баланс между безопасностью и небольшими затратами.

Телеком-регулятор Малайзии был вынужден отказаться от блокировки находящихся за рубежом DNS-сервисов. По данным The Register, это случилось всего через день после введения плана в действие, поскольку местные регуляторы столкнулись с резкой критикой со стороны населения и компаний, в числе прочего обвинивших правительство в злоупотреблении полномочиями.

В прошлую пятницу местная Комиссия по коммуникациям и мультимедиа Малайзии (Malaysian Communications and Multimedia Commission, MCMC) опубликовала материал в формате вопрос-ответ, в котором сообщила, что все интернет-провайдеры получили указание перенаправлять трафик с офшорных DNS-сервисов на альтернативные, подконтрольные малайзийским интернет-провайдерам. Предполагалось, что такие меры защитят граждан от азартных игр, контента «для взрослых», нарушения авторских прав и мошенничества. Утверждалось, что новые меры не повлияют на скорость интернета при посещении легальных веб-сайтов.

Источник изображения: Yosuke Ota/unsplash.com

Немедленно граждане, медийные персоны и политики выступили против такого плана, заявив, что он может оказаться равносильным цензуре и, следовательно, речь идёт о злоупотреблении полномочиями правительством. Более того, некоторые политики назвали меры «контрпродуктивными» для развития IT-стартапов, инноваций вообще и дата-центров.

В MCMC выпустили второе заявление, в котором снова подчеркнули, что новые меры направлены на защиту уязвимых групп от вредоносного контента. В Комиссии вновь пообещали, что блокироваться будут только незаконные сайты, а считающие себя несправедливо обиженными могут подать жалобы в Апелляционный трибунал.

По данным регулятора, с 2018 года по начало августа 2024 года заблокировано более 24 тыс. сайтов, из них около 39 % — за азартные игры, 31 % — за «взрослый» медиаконтент и 14 % за нарушение авторских прав. Остальные заблокированы по иным причинам, связанным с проституцией, мошенничеством и т.п.

В итоге инициатива MCMC провалилась. Директива о запрете зарубежных DNS должна была вступить в силу 30 сентября, но уже к субботе — буквально через день после её анонса, местный министр связи Фахми Фадзил (Fahmi Fadzil) объявил, что приказал MCMC пока не принимать никаких мер, а у заинтересованных сторон запрошены дополнительные комментарии.

В странах Евросоюза, США, Китае, России и т.п. также принимаются меры по «фильтрации» неугодного контента, которые часто ведут к результатам, прямо противоположным задуманным. В случае с Малайзией проблема усугубляется тем, что страна претендует на роль нового IT-хаба, способного потеснить соседний Сингапур, а такие ограничения действительно способны повредить развивающемуся бизнесу.

Компания International Data Corporation (IDC) обнародовала результаты исследования глобального рынка устройств информационной безопасности по итогам II квартала 2024 год. Отрасль демонстрирует разнородную динамику: в годовом исчислении продажи несколько возросли в деньгах, но сократились в штуках.

Аналитики рассматривают такие продукты, как средства обнаружения и предотвращения вторжений (IPS), брандмауэры и пр. В период с апреля по июнь включительно их продажи составили около $4,25 млрд: это на 0,5 % больше по сравнению с аналогичным периодом 2023-го, когда затраты равнялись $4,23 млрд. Вместе с тем в натуральном выражении отгрузки сократились на 4,3 %, оказавшись на уровне 1 млн единиц.

С географической точки зрения Канада и Япония оказались наиболее динамичными регионами с годовым ростом на 15,4 % и 10,3 % соответственно. Вместе с тем в Латинской Америке зафиксирован спад на 10,7 %, на Ближнем Востоке и в Африке — на 17,6 %. Одним из драйверов рынка названа интеграция в продукты сетевой безопасности функций на базе ИИ, которые улучшают производительность оборудования и расширяют его возможности.

Источник изображения: IDC

Лидером мирового рынка во II квартале 2024 года стала компания Palo Alto Networks с $952,4 млн выручки и долей 22,4 % против 20,9 % годом ранее. На втором месте располагается Fortinet с $817,1 млн: у этого поставщика показатель за год ухудшился с 21,2 % до 19,2 %. Замыкает тройку Cisco с $560,3 млн и 13,2 % отрасли, что больше прошлогоднего значения в 12,7 %. Далее идут Check Point и Huawei, которые продемонстрировали продажи в размере $334,1 млн и $146,7 млн соответственно: у первого из этих производителей доля за год поднялась с 7,5 % до 7,9 %, у второго — с 3,4 % до 3,5 %.