В Dropbox по-прежнему есть 0-day, эксперты предложили временный патч

В Dropbox по-прежнему есть 0-day, эксперты предложили временный патч

В Dropbox по-прежнему есть 0-day, эксперты предложили временный патч

В Dropbox для систем Windows присутствует уязвимость нулевого дня (0-day), позволяющую атакующему повысить свои права до SYSTEM — наиболее привилегированной учётной записи операционной системы. Официальный патч пока не вышел, но есть временное решение.

Брешь, по сей день непропатченная разработчиками, затрагивает стандартную установку Dropbox. В ходе её эксплуатации задействуется служба, предназначенная для обновления программы.

Проблему безопасности обнаружили исследователи в области кибербезопасности Decoder и Крис Даниели. Они же разработали код эксплойта.

Представители Dropbox получили информацию об уязвимости 18 сентября, после чего у них было 90 дней, в течение которых они должны были выпустить патч. Более того, разработчики заявили, что проблема им известна, а устранить её они планируют до конца октября.

Пока разработчики работают над полноценным патчем, пользователи могут обратить внимание на общедоступное решение для временного устранения уязвимости.

На помощь пришли специалисты платформы 0Patch, занимающейся выпуском микропатчей для известных брешей, — они поделились своим методом временного устранения дыры:

«Проанализировав проблему, мы пришли к выводу, что наиболее грамотный фикс — просто вырезать код, отвечающий за запись логов в Dropbox Updater. Такое решение не должно навредить процессу обновления приложения, единственное — ошибки не будут логироваться, поэтому будет труднее отслеживать баги».

Ранее обнаружившие проблему безопасности эксперты опубликовали видео, демонстрирующее процесс эксплуатации уязвимости:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Утечки данных в России: ущерб достигает 41 млн рублей за инцидент

Сорванные сделки и расходы на аудит информационной безопасности стали самыми дорогостоящими последствиями утечек данных для российских компаний. По данным исследования экспертно-аналитического центра (ЭАЦ) ГК InfoWatch, расходы по каждому из этих направлений в среднем достигают 5 млн рублей за один инцидент.

Общий ущерб оценивается пострадавшими компаниями в сумму свыше 41 млн рублей.

Исследование, проведённое совместно с группой ЦИРКОН, базируется на опросе представителей среднего и крупного бизнеса из сфер промышленности, строительства, торговли, ИТ/ИБ, образования и транспорта.

Большинство опрошенных компаний отметили, что утечки данных существенно повлияли на их деятельность. Наибольший ущерб был связан с:

  • персональными данными (45% респондентов),
  • платёжной информацией (41%),
  • коммерческой тайной (41%).

Компании также проанализировали финансовые потери по нескольким направлениям:

  1. Расходы на выявление и расследование инцидента.
  2. Прямой ущерб от инцидента (потеря клиентов, уплата выкупа, сорванные сделки).
  3. Затраты на ликвидацию последствий (штрафы, восстановление систем).

Наиболее дорогостоящими оказались:

  • потери от сорванных сделок (до 5 млн рублей),
  • аудит информационной безопасности (до 5 млн рублей),
  • обучение сотрудников после утечки (до 5 млн рублей),
  • компьютерно-технические экспертизы (до 3,4 млн рублей),
  • повышение страховых взносов (до 3,3 млн рублей).

Средний ущерб от утечки оценивается в 11,5 млн рублей, а максимальный — более 41 млн рублей.

Дарья Пырина, главный аналитик-эксперт ЭАЦ InfoWatch, отмечает, что представленные цифры касаются только среднего и крупного бизнеса и не учитывают данные крупнейших компаний. По её словам, масштабные утечки, такие как инцидент с более чем 986 млн записей в первой половине 2024 года, наносят куда больший ущерб, но крупные компании предпочитают не раскрывать таких данных.

Несмотря на высокие риски, многие компании всё ещё не систематизируют оценку ущерба. Согласно опросу:

  • 22% пострадавших компаний вообще не подсчитывали убытки,
  • 39% провели только общую оценку,
  • лишь 37% составили подробные отчёты с разделением по статьям затрат.

Дарья Пырина подчёркивает, что отсутствие системного подхода снижает готовность к будущим инцидентам, несмотря на признание угрозы утечек для бизнеса.

Исследование 2023 года, проведённое InfoWatch и Ассоциацией по защите деловой информации (BISA), показало, что лишь 51% компаний проводили оценку ущерба. В новом опросе этот показатель вырос, что говорит о постепенном распространении практики оценки убытков среди российских организаций.

Однако эксперты подчёркивают: компании должны активнее внедрять системные подходы к анализу последствий утечек, чтобы минимизировать риски и повысить устойчивость к подобным угрозам в будущем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru