В феврале 2024 года исследователи Varonis обнаружили критическую уязвимость в ServiceNow Now Platform (CVE-2025-3648). Оцененная в 8.2 балла по шкале CVSS, она позволяла неавторизованным и авторизованным пользователям получать доступ к скрытым данным через элемент подсчета записей. Нета Армон из Varonis объяснил: атака эксплуатировала разницу в сообщениях об ошибках ACL. Если доступ блокировался из-за «Условия данных» или «Условия скрипта», система показывала: "Number of rows removed from this list by Security constraints". При отказе из-за «Обязательных ролей» появлялось сообщение "Security constraints prevent access to the requested page...». Это позволяло злоумышленникам итеративно выявлять содержимое сотен таблиц, включая персональные данные и учетные данные.
Атака требовала минимальных привилегий: слабый аккаунт или анонимная регистрация. Используя точечный переход (dot-walking), злоумышленники расширяли доступ к связанным таблицам. ServiceNow внедрил защитные механизмы: Query ACLs, Security Data Filters и Deny-Unless ACLs. Клиентам рекомендовано настроить ограничения для чувствительных таблиц и подготовиться к смене политик Query ACLs на запрет по умолчанию.
Отдельно выявлена уязвимость в ПО Lenovo TrackPoint Quick Menu (CVE-2025-1729). Как описал TrustedSec, исполняемый файл TPQMAssistant.exe искал библиотеку hostfxr.dll в своей рабочей папке C:\ProgramData\Lenovo\TPQM\Assistant. Из-за прав CREATOR OWNER любой локальный пользователь мог подменить DLL, вызвав выполнение произвольного кода при запуске процесса. Проблема устранена в версии 1.12.54.
Критическая уязвимость Windows CVE-2025-47978 (CVSS 8.5), названная Silverfort "NOTLogon", позволяла атаковать доменные контроллеры. Любое присоединенное к домену устройство с базовой учетной записью машины могло отправить специальный запрос аутентификации, вызывая крах службы LSASS. Исследователь Дор Сегал уточнил: это приводило к перезагрузке контроллера, нарушая работу Active Directory — аутентификацию, авторизацию и выдачу билетов. Microsoft устранила угрозу в июльских обновлениях 2025 года.
Изображение носит иллюстративный характер
Атака требовала минимальных привилегий: слабый аккаунт или анонимная регистрация. Используя точечный переход (dot-walking), злоумышленники расширяли доступ к связанным таблицам. ServiceNow внедрил защитные механизмы: Query ACLs, Security Data Filters и Deny-Unless ACLs. Клиентам рекомендовано настроить ограничения для чувствительных таблиц и подготовиться к смене политик Query ACLs на запрет по умолчанию.
Отдельно выявлена уязвимость в ПО Lenovo TrackPoint Quick Menu (CVE-2025-1729). Как описал TrustedSec, исполняемый файл TPQMAssistant.exe искал библиотеку hostfxr.dll в своей рабочей папке C:\ProgramData\Lenovo\TPQM\Assistant. Из-за прав CREATOR OWNER любой локальный пользователь мог подменить DLL, вызвав выполнение произвольного кода при запуске процесса. Проблема устранена в версии 1.12.54.
Критическая уязвимость Windows CVE-2025-47978 (CVSS 8.5), названная Silverfort "NOTLogon", позволяла атаковать доменные контроллеры. Любое присоединенное к домену устройство с базовой учетной записью машины могло отправить специальный запрос аутентификации, вызывая крах службы LSASS. Исследователь Дор Сегал уточнил: это приводило к перезагрузке контроллера, нарушая работу Active Directory — аутентификацию, авторизацию и выдачу билетов. Microsoft устранила угрозу в июльских обновлениях 2025 года.
