38265
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Второй ежеквартальный «Хакер» ушел в печать
Второй ежеквартальный номер «Хакера» уже передан в типографию. Сейчас журналы печатают, а значит, до начала рассылки заказов осталось совсем немного времени. Так как тираж ограничен, и допечатки мы не планируем, свободных экземпляров становится все меньше. Поэтому если ты еще не оформил заказ — сейчас самое время. Обрати внимание: стоимость журнала составляет 1800 рублей, но после выхода из типографии цена возрастет.
https://xakep.ru/2026/05/15/quarterly-2-printed/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
На Pwn2Own Berlin показали взлом Windows 11 и Microsoft Edge
В Берлине стартовало соревнование Pwn2Own Berlin 2026, посвященное взлому корпоративных технологий и ИИ. В первый день исследователи заработали 523 000 долларов США, продемонстрировав 24 уникальных 0-day-уязвимости в Windows, браузерах, LLM-инструментах и контейнерных решениях.
https://xakep.ru/2026/05/15/pwn2own-berlin-2026/
Гора с секретами. Скрываем процессы в Linux c помощью mount
👑 Статья для подписчиков
Сокрытие процессов — классическая задача для малвари. Обычно это территория руткитов: LKM-модули, перехват syscall-таблицы, подмена обработчиков в /proc. Все это требует загрузки кода в ядро, компиляции под конкретную версию и оставляет заметные следы. Но есть способ проще. Никаких модулей ядра и компиляции, только один штатный вызов mount с флагом MS_BIND.
https://xakep.ru/2026/05/15/mount-hiding/
Уязвимость в NGINX 18-летней давности приводит к удаленному выполнению кода
Исследователи из компании DepthFirst AI обнаружили в NGINX критическую уязвимость CVE-2026-42945, набравшую 9,2 балла по шкале CVSS. Проблема затрагивает все версии NGINX от 0.6.27 до 1.30.0 и существовала в коде около 18 лет.
https://xakep.ru/2026/05/15/cve-2026-42945/
Уязвимость Fragnesia позволяет получить root-права в Linux
Исследователи обнаружили уже третью за последние недели уязвимость в Linux, связанную с повышением привилегий. Новый баг получил название Fragnesia и позволяет локальному атакующему получить root-права в большинстве популярных дистрибутивов. PoC-эксплоит для свежей проблемы уже доступен в сети.
https://xakep.ru/2026/05/15/fragnesia/
Microsoft исправила 30 критических уязвимостей в рамках «вторника обновлений»
В этом месяце разработчики Microsoft исправили множество уязвимостей в продуктах компании, включая баги в DNS Client, Netlogon и Office. Хотя в этом месяце обошлось без zero-day, некоторые проблемы позволяют удаленно выполнить код без аутентификации, а другие можно эксплуатировать через предварительный просмотр документов.
https://xakep.ru/2026/05/14/may-2026-patches/
Соседи по проводу. Препарируем сеть провайдера, который забыл про изоляцию клиентов
👑 Статья для подписчиков
В обычный пятничный вечер я залез в Winbox поправить NAT — и обнаружил в Neighbors своего MikroTik два десятка чужих устройств: роутеры, NAS, точки доступа неизвестных контор. В этой статье я расскажу, как выяснил, что провайдер свалил всех корпоративных клиентов в один L2-сегмент без какой‑либо изоляции, разберу шесть сценариев атак — от ARP spoofing и брутфорса MAC Telnet до инъекции маршрутов через OSPF и построения ботнета, не выходящего в интернет, — и покажу, как закрыть периметр своими силами, раз уж провайдеру это неинтересно.
https://xakep.ru/2026/05/14/l2-neighbors/
Исследователь опубликовал эксплоиты для двух 0-day в Windows
Недовольный действиями компании Microsoft ИБ-исследователь Chaotic Eclipse (он же Nightmare-Eclipse) выложил на GitHub еще два эксплоита для непропатченных уязвимостей. На этот раз речь идет о YellowKey — обходе BitLocker, и GreenPlasma — проблеме повышения привилегий до уровня SYSTEM.
https://xakep.ru/2026/05/14/yellowkey-greenplasma/
Если ты до сих пор боишься дизассемблера — ты не реверсер, ты пользователь инструментов.
Разница в деньгах: x3–x5 к зарплате.
До старта новинки от Codeby Academy осталась неделя. Что будет внутри:
⏺️ Ассемблер x86/x64: от нуля до уверенного чтения
⏺️ Анализ вредоносного ПО (статика + динамика)
⏺️ Форматы PE, ELF, APK
⏺️ Противодействие защитным механизмам
⏺️ Портфолио и подготовка к собеседованию
10 месяцев. 450 ак.часов. Онлайн.
Поэтапный платеж от 8 150 ₽/мес.
👉👉👉 Узнать подробнее
Реклама. АНО ДПО «Академия цифровой защиты», ИНН 9706049526.
Создатель Curl называет ИИ-модель Mythos маркетинговым трюком
Основатель и ведущий разработчик Curl Даниэль Стенберг (Daniel Stenberg) протестировал «закрытую» ИИ-модель Mythos компании Anthropic и остался не слишком впечатлен: Mythos нашла в Curl лишь одну незначительную уязвимость.
https://xakep.ru/2026/05/13/stenberg-mythos/
CVE в cPanel. Разбираем критический баг, угрожающий хостингам
👑 Статья для подписчиков
cPanel — популярная панель управления хостингом, которая занимает около 20% рынка среди панелек. Shodan находит 1,5 миллиона серверов, где она установлена. Один сервер с панелью может обслуживать тысячи сайтов, и всего их десятки, если не сотни миллионов. Поэтому новость о zero-day-уязвимости в cPanel серьезно напугала многих админов.
https://xakep.ru/2026/05/13/cpanel-cve/
Взлом Canvas нарушил работу образовательных учреждений
На прошлой неделе хакеры взломали компанию Instructure, разрабатывающую образовательную платформу Canvas, подменили страницы входа и потребовали выкуп. Из-за массового сбоя образовательные учреждения переносили экзамены, а студенты по всему миру лишились доступа к заданиям и материалам.
https://xakep.ru/2026/05/13/canvas-hacked/
HTB OverWatch. Эксплуатируем linked server MSSQL через DNS-спуфинг
👑 Статья для подписчиков
В этот раз мы декомпилируем .NET-приложение и получим учетные данные для подключения к серверу Microsoft SQL Server. Затем через связанный сервер и DNS-спуфинг добудем учетные данные пользователя. Для повышения привилегий выполним инъекцию команд в локально доступный SOAP-сервис.
https://xakep.ru/2026/05/13/htb-overwatch/
Операторы «большой четверки» подключат Max к сервисным уведомлениям
Представители МТС, «Билайна», «Мегафона» и T2 договорились с разработчиками Max о доставке кодов подтверждений, уведомлений и транзакционных сообщений через мессенджер. Если доставка сообщений через Max будет невозможна, они продублируются в SMS.
https://xakep.ru/2026/05/12/max-sms/
19 мая команда RuDesktop представит релиз версии 3.0
19 мая (в 11:00 по московскому времени) команда RuDesktop представит релиз версии 3.0 и расскажет о ключевых обновлениях платформы. RuDesktop 3.0 сделает работу пользователей и ИТ-команд быстрее, удобнее и безопаснее: новые интерфейсы сервера и клиента, расширенные возможности передачи файлов, инвентаризации, установки ОС, управления Android-устройствами и защиты входа.
https://xakep.ru/2026/05/12/rudesktop-3-0/
Реклама. ООО «ПЕРЕДОВЫЕ ТЕХНОЛОГИИ». ИНН 9703094665. Erid: 2SDnjdVpLN6.
В Android 17 появится дополнительная защита от мошеннических звонков и функция Intrusion Logging
В Android 17 появится система, которая сможет распознавать поддельные звонки якобы «из банка» и автоматически разрывать соединение. Также разработчики Google расширяют защиту от шпионского ПО, кражи OTP-кодов и других атак на устройства.
https://xakep.ru/2026/05/15/android-17/
Конференция «Периметр» пройдет в Москве 22 мая
22 мая 2026 года в Москве состоится бесплатная конференция «Периметр», посвященная наступательной информационной безопасности и ориентированная на тех, кто привык не только читать отчеты, но и писать эксплойты. «Периметр» — пространство, где инженеры ИБ, реверсеры, хардварщики и исследователи уязвимостей говорят на одном языке и могут спокойно уходить в детали. Организатором мероприятия выступает компания «Метаскан» — разработчик одноименного сканера уязвимостей периметра.
https://xakep.ru/2026/05/15/perimetr/
Реклама. ООО «МЕТАСКАН». ИНН 5024179758.
DevSecMLOps: как безопасно внедрять ИИ в процессы разработки и эксплуатации. Открытый урок курса «Внедрение и работа в DevSecOps»
ИИ уже вошёл в рабочие процессы команд разработки, эксплуатации и информационной безопасности. Но вместе с ускорением работы он приносит и новые риски: утечки данных, небезопасное обращение с моделями и зависимостями, ошибки при встраивании инструментов ИИ в конвейеры и внутренние сервисы. Поэтому вопрос уже не в том, использовать ИИ или нет, а в том, как делать это управляемо и безопасно.
📅 На открытом уроке 18.05.2026 в 20:00 разберём, как смотреть на ИИ не только как на полезный инструмент, но и как на новый элемент ландшафта угроз. Поговорим о том, какие риски возникают при встраивании ИИ в продукты, внутренние сервисы и процессы разработки, как принципы DevSecOps применяются к таким сценариям и какие меры стоит предусмотреть ещё до внедрения. Обсудим моделирование угроз, контроль доступа, работу с данными, безопасные проверки в процессе разработки и подходы, которые помогают использовать ИИ без роста уязвимости системы.
Урок не для тех, кто считает ИИ «просто ещё одной утилитой», не думает о рисках данных и зависимостей или хочет встроить ИИ в процессы без пересмотра модели угроз и защитных мер.
Код червя Shai-Hulud опубликовали на GitHub
Новая волна атак малвари Shai-Hulud затронула сотни пакетов в npm и PyPI. Хакеры из группировки TeamPCP скомпрометировали популярные проекты, включая TanStack и Mistral AI, встроили в них стилер для кражи секретов, а затем выставили внутренние репозитории Mistral AI в продажу. Вскоре после этого исходники самого червя были опубликованы на GitHub под лицензией MIT.
https://xakep.ru/2026/05/15/shai-hulud-opened/
Foxconn пострадала от кибератаки и утечки данных
Тайваньская компания Foxconn подтвердила, что ее североамериканские предприятия пострадали от кибератаки. Пока в компании не раскрывают деталей инцидента, однако ответственность за взлом уже взяла на себя вымогательская группировка Nitrogen.
https://xakep.ru/2026/05/14/foxconn-nitrogen/
Первый менеджер паролей с сертификатом ФСТЭК России
30 апреля «Пассворк» получил сертификат соответствия ФСТЭК по четвертому уровню доверия — наивысшему для коммерческих средств защиты информации.
«Пассворк» стал первым менеджером паролей, сертифицированным для применения в системах любого класса защищенности и объектах критической инфраструктуры.
→ Протестировать «Пассворк» бесплатно
→ Подробнее о сертификате
Реклама. ООО «Пассворк». ИНН 2901311774. Erid: 2SDnjcGPUux
Преступники тоже жалуются на ИИ-слоп
Даже киберпреступники начали уставать от ИИ-слопа — потока низкокачественного контента, сгенерированного нейросетями. Издание Wired сообщает, что на подпольных форумах и хакерских площадках все чаще появляются жалобы на «ИИ-мусор», который проникает в обсуждения, гайды и технические посты.
https://xakep.ru/2026/05/14/ai-slop-hack-forums/
Регистрация в RubyGems приостановлена из-за массовой атаки
RubyGems — основной пакетный менеджер экосистемы Ruby — временно закрыл регистрацию новых аккаунтов после масштабной атаки на репозиторий. По словам представителей проекта и исследователей, злоумышленники массово создавали аккаунты и публиковали сотни вредоносных и «мусорных» пакетов.
https://xakep.ru/2026/05/14/rubygems-attack/
Новый червь PCPJack ворует секреты и удаляет малварь группировки TeamPCP
Новый Linux-червь PCPJack атакует облачную инфраструктуру, ворует учетные данные и одновременно «зачищает» системы от другой малвари — инструментов группировки TeamPCP. Исследователи SentinelLabs полагают, что за этой кампанией может стоять бывший участник TeamPCP, хорошо знакомый с внутренним устройством группы и ее инструментами.
https://xakep.ru/2026/05/13/pcpjack/
👩💻 Открытый урок «Деплой на стероидах: ускоряем доставку через Золотой путь (Golden Path)»
🗓 18 мая в 20:00 МСК
🆓 Бесплатно. Урок в рамках старта курса «Инженер платформенной инфраструктуры» от Otus.
Запуск нового сервиса часто превращается в сложный процесс: настройка CI/CD, инфраструктуры, доступов и окружений. Это замедляет разработку и увеличивает количество ошибок.
На вебинаре разберём концепцию Golden Path — готовых шаблонов и стандартов, которые позволяют запускать сервисы быстро, безопасно и одинаково для всех команд.
На вебинаре разберем:
- Почему деплой замедляет команды
- Что такое Golden Path и зачем он нужен
- Как стандартизировать запуск сервисов
- Роль шаблонов, CI/CD и developer portal
- Как сократить время запуска нового сервиса
- Частые ошибки при внедрении Golden Path
🔗 Ссылка на регистрацию: https://otus.ru/lessons/inzhener-platformennoj-infrastruktury/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Исследователь нашел бэкдор и множество уязвимостей в газонокосилках-роботах
ИБ-исследователь Андреас Макрис (Andreas Makris) обнаружил критические проблемы в роботах компании Yarbo — модульных газонокосилках, снегоуборщиках и триммерах с дистанционным управлением. Найденные баги позволяют удаленно перехватывать контроль над устройствами, отключать аварийную остановку и получать доступ к данным владельцев.
https://xakep.ru/2026/05/13/yarbo-flaws/
Горелкин призвал разработчиков уходить с GitHub
Первый зампред комитета Госдумы по информполитике и председатель РОЦИТ Антон Горелкин заявил, что компания Microsoft, которой принадлежит GitHub, «не просто ушла из России, но занимается откровенным вредительством». По его словам, скоро GitHub может стать недоступен в РФ, поэтому российским разработчикам следует как можно скорее переносить свои проекты на альтернативные площадки.
https://xakep.ru/2026/05/13/gorelkin-github/
Тайваньский студент взломал высокоскоростную железную дорогу и остановил поезда
На Тайване арестовали 23-летнего студента по фамилии Линь (Lin), которого обвиняют во вмешательстве в работу высокоскоростной железнодорожной сети THSR. Как сообщают местные СМИ, 5 апреля молодой человек сумел остановить сразу четыре поезда, передав в служебную TETRA-сеть сигнал тревоги.
https://xakep.ru/2026/05/12/thsr-hack/
Google обнаружила первый 0-day-эксплоит, созданный с помощью ИИ
В Google сообщили, что злоумышленники впервые использовали ИИ-модель для поиска и эксплуатации уязвимости нулевого дня. Обнаруженный эксплоит был нацелен на обход двухфакторной аутентификации в популярном опенсорсном инструменте для веб-администрирования.
https://xakep.ru/2026/05/12/ai-exploit/
Pentest award 2026 открыл прием заявок!
Каждый год у этичных хакеров появляется возможность заявить о себе, продемонстрировать свои навыки и творческий подход к решению задач в области тестирования на проникновение.
Главный приз за победу — статуэтка и макбук!
За вторые и третьи места призеры получат айфоны и смарт-часы.
Церемония награждения состоится 14 августа на Красном Октябре
Заявка на премию — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею.
Отправляйте заявки на сайте, участвуйте и побеждайте!
Реклама. ООО «Авилликс». ИНН 9729279526.