ИБ-специалистов, расследующих утечки данных, выведут из-под статьи УК

ИБ-специалистов, расследующих утечки данных, выведут из-под статьи УК

ИБ-специалистов, расследующих утечки данных, выведут из-под статьи УК

Директор по стратегическим проектам Ассоциации больших данных Ирина Левова анонсировала внесение поправок в Уголовный кодекс, которые полностью декриминализируют анализ фрагментов утёкших данных в рамках расследования инцидентов.

По её словам, положения статьи 272.1 УК РФ, предусматривающей ответственность за «использование и передачу личной информации, полученной незаконным путём», а также за «создание и поддержку сайтов и программ, предназначенных для хранения и передачи таких данных», сформулированы некорректно.

Это создаёт риск уголовного преследования специалистов по информационной безопасности. В первую очередь это касается тех, кто занимается мониторингом и расследованием инцидентов на ресурсах, где злоумышленники публикуют украденные данные.

Ещё до окончательного принятия в ноябре 2024 года законопроектов, ужесточающих ответственность за утечки данных, эксперты из 15 ИБ-компаний направили письмо с предупреждением о том, что формулировки ряда статей УК являются нечеткими и могут привести к привлечению к ответственности специалистов, занимающихся расследованием утечек.

Как отметила Ирина Левова, компании — участники Ассоциации больших данных — подготовили соответствующие поправки в Уголовный кодекс. Они уже получили одобрение Минцифры.

В ONLYOFFICE нашли цепочку уязвимостей: достаточно открыть один файл

Эксперты BI.ZONE обнаружили в ONLYOFFICE Desktop Editors цепочку уязвимостей OnlyShells, которая позволяла атакующему выполнить произвольный код и повысить привилегии в Windows. Жертве достаточно открыть специально подготовленный офисный документ.

Никаких макросов, кнопок «Разрешить содержимое» и долгих уговоров — атака относится к классу 1-click.

Сначала злоумышленник мог использовать сразу несколько уязвимостей для запуска своего кода в системе. Затем ещё одна проблема позволяла повысить права до привилегированного пользователя. В результате атакующий получал максимально широкий доступ к компьютеру.

Причиной стали недостаточная проверка пользовательских данных и устаревшие зависимости. Отдельным уязвимостям присвоили оценки до 6,4 по шкале CVSS 3.1, но в связке их опасность заметно возрастала.

По оценке BI.ZONE TDR, ONLYOFFICE используют около 30% российских компаний. Сам разработчик заявляет о более чем 15 млн пользователей по всему миру.

В BI.ZONE отмечают, что современные средства защиты могут не заметить сам момент эксплуатации цепочки. То есть пользователь просто открывает документ, а дальше система уже начинает жить немного не своей жизнью.

Разработчика уведомили в рамках ответственного раскрытия, после чего он выпустил исправление. Пользователям рекомендуют обновить ONLYOFFICE Desktop Editors до версии 9.3.0.

RSS: Новости на портале Anti-Malware.ru