❓ Хорошо ли вы знаете современные подходы в кибербезопасности?

ИБ давно вышла за рамки «регламент, файрвол и антивирус на каждом компьютере». Чтобы принимать стратегические решения о защите компании, надо понимать, какие инструменты есть у защитников, и какие угрозы наиболее важны.

Наш короткий тест поможет не только практикам ИБ, но и их коллегам из нетехнических отделов и даже совета директоров! Важно, чтобы все в компании говорили на одном языке – ведь кибербезопасность достижима только коллективными усилиями.

Пройдите тест и обсудите итоги с коллегами!
А десять подписчиков, которые правильно ответят на все вопросы, получат от нас приятный цифровой приз: код активации Kaspersky Premium на 1 год на 1 устройство. Если финалистов окажется больше десяти, счастливчиков выберет рандомайзер, итоги подведём прямо в канале 10.07 в 18:00. Участники должны быть подписаны на наш канал и иметь открытый профиль в Telegram с возможностью принимать сообщения от пользователей не из списка своих контактов.

И! Опасайтесь мошенников! Мы свяжемся с победителями исключительно с аккаунта @KasperskyCrew.

Полные правила акции опубликованы здесь.

#квиз @П2Т

👾 Интересные новости APT и crimeware за неделю

😮 Термоядерный разбор новой APT NightEagle / APT-Q-95, которая занимается шпионажем в китайских организациях высоких технологий и оборонного сектора. C2 создаются под каждую жертву отдельно. Они неактивны, когда у клавиатуры нет оператора, а работают они сугубо в офисные часы западного побережья Северной Америки. Группа предположительно проникает в организации, используя неизвестную уязвимость Exchange, после чего разворачивает импланты на сервере, а на рабочих станциях устанавливают модифицированный инструмент туннелирования Chisel.

🐥 Атаки на нишевые сборки Linux перестали быть редкостью. APT36/Transparent Tribe разработала ВПО специально для Boss Linux, популярной в индийских госучреждениях.

🔵Вымогательская группировка Hunters International объявила о прекращении деятельности и бесплатно раздаёт жертвам декрипторы. Разумеется, это всего лишь ребрендинг и они продолжают не только красть данные, но и шифровать под новым названием Word Leaks.

🟠Масштабы злоупотребления драйверами и сертификатами подписи ПО растут: с 2020 года во вредоносных кампаниях замечены 620 подписанных драйверов ядра и более 80 сертификатов.

👮‍♀️ Интерпол сообщает о глобализации скам-центров, кроме Азии они замечены в Африке и на Ближнем Востоке.

🔴Пошаговый анализ вредоносного применения Inno Setup для распространения RedLine stealer. В инсталляторе используются затейливые скрипты на Паскале, включающие борьбу с отладчиками, загрузку и расшифровку ВПО из сети, и многое другое.

🟣Новый ботнет Hpingbot заражает десктопы Windows, Linux и IoT-устройства, используется для DDoS и для разнообразия не является форком Mirai.

🔵Серия вредоносных SEO-кампаний распространяет троянизированные версии PuTTY и WinSCP.

🔵Интересная кампания устанавливает жертвам комбо из Janela RAT и вредоносного расширения Chrome для кражи данных.

🔴В альтернативном реестре расширений VSCode, OpenVSX, поймали вредоносные расширения, загружающие разработчикам вредоносную версию ScreenConnect. У зловредов 200 тысяч загрузок.

🐩 А в официальном каталоге Firefox удалили 40 расширений, притворяющихся известными криптокошельками.

🔐Мелочь, но не забудьте: в следующих превью-выпусках Windows 11 уже будет отключён PowerShell 2.0.

#APT #дайджест @П2Т

🏭 Во что обходится ИБ-инцидент промышленному предприятию?

На этот сложный вопрос взялись ответить в VDC research, проанализировав инциденты в промышленности за последние два года. В четверти случаев ущерб от серьёзного инцидента превысил $5 млн, складываясь из незапланированного простоя, прямой потери выручки, необходимости ремонта, потери сырья и полуфабрикатов, не говоря уже о прямых затратах на реагирование. Большинство инцидентов останавливают производство на 4-12 или 12-24 часа. Существенно.

Трудности по линии ИБ являются главным стопором проектов цифровизации промышленности, поэтому в план и бюджет таких проектов нужно сразу закладывать специализированные решения для защиты ОТ-сетей и устройств АСУ ТП. Подробнее о практических сложностях внедрения ИБ-систем и о том, как с этими трудностями справляются специально разработанные решения, читайте в нашем посте.

#статистика @П2Т

🟡 Citrix strikes back

Развивается сюжет с уязвимостью в NetScaler ADC, CVE-2025–5777, aka CitrixBleed2. Этот дефект приводит к возврату хостом NetScaler фрагмента памяти в ответ на специально сформированный POST-запрос при аутентификации.

Citrix запутали даже матёрых ИБ-исследователей, выпустив фиксы для двух разных уязвимостей (CVE-2025-5777 и -6543), первая из которых приводит к утечке данных из памяти, а вторая — к повреждению памяти и возможному DoS. По данным производителя, вторая эксплуатируется в атаках, а первая — нет.

Независимые исследователи, впрочем, считают, что CVE-2025-5777 тоже эксплуатируется в атаках, примерно как и первый CitrixBleed — для извлечения из памяти хостов Citrix сессионных токенов администраторов и другой полезной атакующим информации. Напомним, что первый CitrixBleed стал настоящим хитом среди банд ransomware и шпионских APT.

Две ИБ-компании опубликовали исследования (1, 2), которые демонстрируют возможности CitrixBleed2 по извлечению данных. Не являясь полноценными PoC, эти посты дают достаточно информации, чтобы ускорить разработку эксплойтов злоумышленниками. Авторы одного из постов признаются, что из-за скупой информации Citrix не уверены, к какому из дефектов смогли разработать эксплойт. 🤯

Поскольку Citrix продолжает отрицать эксплуатацию, то IoC и правила для поиска следов компрометации предлагают только независимые исследователи. Тем, кто не установил патч сразу после его выхода, этот анализ нужно проводить обязательно.

Что касается патча, то Citrix (опять) рекомендует оборвать все активные сессии ICA и PCoIP после установки обновления. Но с учётом возможной эксплуатации, перед этим необходимо проанализировать все активные сессии, чтобы идентифицировать подозрительную активность.

#уязвимости @П2Т

💻 Июльский вторник патчей

Свежее обновление Microsoft закрывает 137 уязвимостей, в том числе 1 дефект в SQL Server, разглашённый до устранения.
14 уязвимостей имеют статус критических, десять из них приводят к RCE. В этот раз больше всего ошибок, приводящих к повышению привилегий, их 53. Ещё 41 уязвимость ведёт к RCE, 18 — к разглашению информации, также есть 6 DoS и 8 обходов функций безопасности.

В 137 устранённых багов входят 7 дефектов в git/gitk, поставляемых в составе Visual Studio, однако описания к ним крайне лаконичны, назначила эти CVE MITRE, а ссылки на них пока неактивны.

Уязвимость, считающаяся разглашённой — это CVE-2025-49719 в MS SQL Server, позволяющая атакующему дистанционно считать фрагмент неинициализированной памяти без аутентификации кто сказал CitrixBleed.
Для устранения дефекта надо обновить SQL Server, а для клиентских приложений — OLE DB Driver. Прямо в бюллетене приведена обширная таблица релевантных обновлений для разных версий SQL Server.

Установка обновления также устранит критическую CVE-2025-49717 (CVSS 8.5), приводящую к RCE в SQL Server, но требующую от атакующего быть аутентифицированным.

Другие критические уязвимости, требующие срочного внимания админов:

CVE-2025-47981 (CVSS 9.8) — RCE в механизме согласования протоколов аутентификации SPNEGO Extended Negotiation (NEGOEX). Атакующему достаточно отправить вредоносный пакет на уязвимый сервер, после эксплуатации его код получает высокие привилегии. Microsoft также указывает, что из-за коробочной групповой политики дефекту подвержены некоторые клиентские машины начиная с Windows 10 v1607. Смягчить ситуацию можно, отключив политику Network security: Allow PKU2U authentication requests.

CVE-2025-49704 (CVSS 8.8) в SharePoint — аутентифицированный атакующий может выполнить на сервере произвольный код.

шесть RCE в Office (CVE-2025-49695 по -49698, -49702 и -49703) срабатывают из панели предварительного просмотра и не требуют от пользователя никаких действий. Microsoft оценивает эксплуатацию как высоко вероятную, мы тоже.

RCE в Windows KDC Proxy Service (CVE-2025-49735, CVSS 8.1) — на сервер, работающий как прокси для Kerberos Key Distribution Center, возможна атака со стороны неаутентифицированного злоумышленника. Доменные контроллеры атаке не подвержены.

#новости #Microsoft @П2Т

😳 Подсветка кода в Cursor AI за полмиллиона долларов

Эксперты Kaspersky GReAT детально разобрали недавнюю кибератаку c публикацией вредоносных расширений в Open VSX, популярном реестре расширений VSCode. Поскольку официальным магазином расширений Microsoft альтернативные среды разработки пользоваться не могут, Open VSX незаменим для фанатов модных ИИ-сред, таких как Windsurf и Cursor.

Злоумышленники опубликовали в Open VSX плагин для подсветки синтаксиса Solidity, языка программирования смарт-контрактов Ethereum. Они смогли накрутить число загрузок плагина и обмануть алгоритм ранжирования, в результате чего вредоносный плагин имел более высокий ранг в поисковой выдаче, чем настоящий. Вредоносный плагин разворачивал на поражённой машине инструменты удалённого управления и инфостилеры. В результате у одного из разработчиков, скачавших плагин, похитили реквизиты криптокошелька и украли с него 500 тысяч долларов.

Хотя конкретный плагин был оперативно удалён администрацией, злоумышленники не останавливают свою активность и публикуют другие плагины с аналогичной функциональностью. Более подробно и с IoC об этом можно прочитать на Securelist.

На последних стадиях подобных атак часто используется хорошо известное вредоносное ПО, поэтому даже опытные разработчики должны использовать современные защитные решения на своих компьютерах.

#угрозы @П2Т

🔎 Подводим итоги викторины!

Проверка знаний о корпоративной кибербезопасности заинтересовала многих подписчиков — 168 пользователей прошли тест до конца.
Рандомайзеру пришлось как следует потрудиться, потому что 100% правильных ответов дал 51 участник! 🔥

Поздравляем победителей — вы не только знатоки современной ИБ, но ещё и везунчики!

Иии... Вот они, слева направо сверху вниз:

@a*d*gord
@ig**_se**im
@E*IL*A
@Ev**nyBi*g**t
@*pt**an*6
@Twi***htS*arkl**RRH
@c*m*lk*
@Nai**ae*
@ali**c*il*g*na

Мы свяжемся с вами в личных сообщениях для вручения приза в течение 3-х дней.
Оставайтесь с нами — держите знания на высоте!

#итоги @П2Т

😞 Текущее Печальное состояние API security

Что общего у похищения данных о 49 миллионах клиентов Dell и инцидента с журналами звонков абонентов Verizon, лежащими в открытом доступе? В обоих случаях атакующие воспользовались слабо защищёнными API, допускающими перебор параметров, подмену идентификаторов доступа и отсутствующую аутентификацию.

То, что защита доступа к данным по API хромает даже у топовых компаний, знает любой, кто, например, пробовал пользоваться API OpenAI, Anthropic или DeepSeek — кроме собственно статического API-ключа для доступа не нужно вообще ничего. На дворе 2025 год... Неудивительно, что злоумышленники находят всё новые креативные способы эксплуатации API-доступа — от кражи вычислительных ресурсов и данных до обхода защитных инструментов на веб-сайтах и рассылки фишинга.

Судя по отчёту Raidiam, 84% компаний используют в поддерживаемых API предельно слабые методы защиты:
⚪️ статические API-ключи и базовая OAuth-аутентификация;
⚪️ отсутствие проверки подлинности клиента.
⚪️ избыточные права доступа, отсутствие тонкой настройки (RBAC/ABAC).
⚪️ меньше половины компаний проводят регулярное тестирование или мониторинг API.

При оценке каждого API учитывалось, какого рода информация им обрабатывается. Для API, через который проходит анонимная статистика или базовые технические данные, защиты по статическому API-ключу достаточно. А в вот для платёжных или медицинских данных нужен полный комплект из защитных мер. Вот они:

⚪️ криптография: mutual TLS, PKI, подписанные JWT или токены, привязанные к сертификатам;
⚪️ токены с коротким сроком действия и частой повторной валидацией;
⚪️ ограниченные права доступа в рамках каждого OAuth-запроса;
⚪️ мониторинг сетевых аномалий.

#советы @П2Т

Интересные исследования APT и новости ИБ за неделю

🔴Российские промышленные предприятия получают вредоносные рассылки, содержащие ВПО Batavia, которое выгружает документы жертвы и системные данные. Заражение трёхэтапное, первый этап — вредоносные файлы .VBE.

🔵Анализ техники компрометации веб-серверов, основанной на публично доступных machine keys и вредоносных ViewState для IIS. После успешной атаки на IIS, злоумышленники повышают привилегии и проводят базовую разведку. Авторы исследования считают их брокерами первоначального доступа, предположительно Gold Melody/UNC961/Prophet Spider.

🟣Анализ шпионских атак на госорганы в ЮВА и Европе, проводимых APT-C-35/DoNot/Origami Elephant. Фишинговый документ лежит в запароленном архиве на Google Drive, ВПО первого этапа имеет действительную цифровую подпись и собирает обширную системную информацию. Второй этап исследователям получить не удалось.

⚪️Разбор ВПО группировки SafePay, которая предположительно причастна к недавним проблемам Ingram Micro.

🟣Вредоносное расширение, найденное в Open VSX, оказалось инструментом крипто-воров, у одной из жертву украли $500000. Расширение, замаскированное под подсветку синтаксиса Solidity, удалили, но атакующие уже публикуют другие. Злоумышленники накручивают число загрузок и умудряются появиться в поисковой выдаче Open VSX выше официальных расширений.

🔵С учётом популярности Cursor и Windsurf, Open VSX грозит быстро превратиться в такое же минное поле, как PyPi и npm. Другая свежая кампания скомпрометировала  легитимное расширение EHTcode — мейнтейнеры расширения не разглядели в обширном и полезном PR вредоносную зависимость.

🟢Кстати, о LLM: критическая уязвимость в mcp-remote приводит к запуску вредоносного кода на компьютере пользователя, если его LLM-инструмент обращается к вредоносному серверу MCP.

🟢Обновленная версия AMOS (Atomic stealer macOS) обзавелась функциями бэкдора.

🔵Типовые случаи распространения вторичных и поверхностных данных из утечек (комболисты и подобные) на примере AlienTXT.

🟣Новое в отношениях жабы и гадюки: группировка RansomedVC слила переписку конкурентов из Medusa, обвиняя последних в попытке обмануть «партнёрскую сеть».

🔵Android-банкер Anatsa вновь атакует пользователей в США. Злоумышленники действуют циклично: раз в несколько месяцев публикуют почти безобидное приложение в Google Play, которое спустя несколько месяцев скачивает и устанавливает отдельное вредоносное приложение. Чтобы иметь нужные разрешения, дроппер маскируют под менеджеры файлов или утилиты PDF

🟣Всё более сложные и масштабные атаки на расширения веб-браузеров заставляют ускорить переход на строгий allowlisting в организациях.
Экспонат раз: 245 расширений, миллион загрузок. Расширения превращают браузер в агент для веб-скрейпинга, перепродаваемый в коммерческих целях, а заодно удаляют заголовки CSP из загружаемых веб-страниц.
Экспонат два: 18 расширений, 2 миллиона загрузок, статус верифицированного расширения в Web store. Отправляет все посещаемые URL на C2 и переадресует жертву куда-то ещё, если С2 пришлёт такую задачу.

#дайджест @П2Т

💡Применение UserAssist в расследовании инцидентов

При анализе Windows-машин во время IR полезную информацию об активности приложений на компьютере можно получить из ключа реестра UserAssist. В нём оболочка Windows хранит информацию о числе запусков приложений, продолжительности их нахождения в фокусе, времени последнего запуска, и так далее. Этот артефакт широко известен исследователям ИБ, но плохо документирован, поэтому пользоваться им в полной мере сложно.

Исправляем упущение — описываем структуру и неоднозначное представление данных UserAssist, порядок создания и обновления данных артефакта, назначение структуры UEME_CTLSESSION. На десерт — новый парсер UserAssist для ваших нужд реагирования. Уже на GitHub.

#советы #IR @П2Т

⚡️ KUMA 4.0: большое обновление нашей SIEM

Улучшили KUMA со всех сторон: возможности детектирования, удобство использования, надёжность в эксплуатации. Обо всём этом просто, коротко и с юмором рассказал Илья Маркелов в нашем видео, а подробно всё описано на сайте.

Чуть подробнее о том, что появилось в KUMA 4.0:

🟢 интеграция с сервисом киберразведки Kaspersky DFI;
🟢 обнаружение атак с подменой DLL (DLL hijacking) при помощи нового правила обогащения;
🟢 удобная работа с дэшбордами: ими можно делиться, переносить между инсталляциями, получать обновления. Также на них можно выносить новые типы визуализаций;
🟢 масштабирование и отказоустойчивость без необходимости использовать k8s.

Эти и другие улучшения в KUMA 4.0 полностью основаны на отзывах и пожеланиях заказчиков.

Пробуйте и делитесь впечатлениями!

#SIEM @П2Т

🟦 Новые сюрпризы BYOD

Microsoft уже много лет из кожи вон лезет, чтобы Windows-компьютеров без включённого антивируса не осталось в природе. Windows принудительно активирует Defender, как только сторонние СЗИ отключаются или деинсталлируются. Это в целом хорошая новость для служб ИБ, вынужденных как-то работать с политикой BYOD, но увы, пользователи, желающие отключить защиту любой ценой, всё не переводятся. 

Недавно выпущенная утилита Defendnot уже набрала более двух тысяч звёзд на GitHub, поэтому в парке личных компьютеров наверняка станет больше машин вообще без защиты (окей, есть ещё сканер, встроенный прямо в Chrome 😏).  Конечно, часть загрузок и форков Defendnot приходятся на редтимеров и злоумышленников, которые воспользуются новым инструментом для обхода Defender в атакуемых организациях.

Появление ещё одного сценария, когда устройство сотрудника заражено ВПО, мало что меняет в общей картине ИБ, но стоит убедиться:
🟣 что в программе обучения сотрудников ИБ явно сказано, что отключать на личных устройствах встроенную защиту можно никогда;
🔵 что система управления доступом в организации эффективно различает ситуации, когда сотрудник входит в систему с корпоративного устройства и с личного, применяет более жесткую аутентификацию и соразмерные ограничения во втором варианте;
🔵 что SOC компании оснащен инструментами, сенсорами и правилами, позволяющими определять аномальный доступ с личных устройств.

В идеале, конечно, на BYOD-устройства тоже ставить UEM/EMM, но обычно политически дешевле купить всем корпоративные устройства 😼.

#советы #Microsoft @П2Т

🤖 Что нужно ботам в вашем онлайн-магазине?

Любая площадка, принимающая платежи, имеющая учётные записи или программу лояльности, может прямо или косвенно стать жертвой онлайн-мошенничества. Ждите ботов, перебирающих пароли, создающих сотни корзин с дешёвыми товарами, регистрирующих новых клиентов, оставляющих мусор в формах обратной связи, пытающихся использовать для оплаты украденные платёжные данные.

Хотя кажется, что всё это скорее досадные помехи, чем прямой вред бизнесу, на самом деле ущерб от мошеннических операций накапливается немалый:
🪲 активность ботов сбивает таргетинг в рекламной аналитике и приводит к потере рекламных бюджетов;
🪲 мусорные аккаунты и корзины ведут к прямым расходам на SMS- и email-рассылки, а также потерям времени сотрудников, если одномоментно появились сотни и тысячи таких объектов и с ними надо разбираться;
🪲 попытки оплат украденными картами создают целую гамму трудностей с платёжным шлюзом — вплоть до временной блокировки, парализующей нормальную торговлю.

Разобрали основные схемы мошенничества на веб-сайтах в подробном посте Kaspersky Daily. Зачем мошенникам каждая из активностей, как её замечает бизнес, какой она наносит ущерб, а главное — как её прекратить.
➡️ Читать

#угрозы @П2Т

🗣 MDR бесплатно — не пропустите!

Хотя большинство организаций применяет многоуровневую стратегию защиты, злоумышленники все равно находят уязвимости, незаметно обходят несколько уровней безопасности и могут оставаться незамеченными в инфраструктуре неделями и месяцами.

До 15 августа у вас есть возможность подключить Kaspersky MDR на 3 месяца бесплатно и оценить, есть ли следы компрометации в вашей сети. С нашим решением по круглосуточной управляемой защите вы получаете непрерывный поиск, обнаружение и устранение киберугроз силами экспертов мирового уровня.

Что предлагаем:

▶️ подключение за несколько минут без нарушения бизнес-процессов;
▶️ выявление скрытых угроз в инфраструктуре и помощь в их устранении
▶️ нулевые затраты на серверное оборудование;
▶️ вы не платите за три месяца сервиса и используете это время, чтобы ИБ-команда решала стратегические задачи компании!

Трёхмесячный пилот позволяет оценить и эффективность защиты, и влияние на бизнес-процессы компании, и все возможности, которые появляются у внутренней команды.

Подключайтесь скорее, количество заявок ограничено!

#события @П2Т

🆔 Сложный фишинг маскируется под личные документы для сотрудников

Новая фишинговая кампания, нацеленная на сотрудников крупных организаций, демонстрирует высокий уровень персонализации атаки. Письмо с убедительными плашечками «доверенный отправитель» (это часть тела письма), содержит личное обращение к сотруднику и вложенный файл, в имя которого тоже внедрено имя сотрудника.
В файле якобы содержатся обновлённые правила для сотрудников организации.
Внутри файл тоже адаптирован под жертву — прямо на первой странице написано, что документ подготовлен лично для имярек. Из оглавления следует, что в компании действуют новые правила удалённой работы и выплаты бонусов, поэтому нужно ознакомиться с версией, созданной лично для сотрудника и подтвердить согласие цифровой подписью. Помимо этого вводного слова и оглавления, документ содержит QR-код, уводящий на фишинговую страницу, выманивающую корпоративные учётные данные.

Наши эксперты не исключают, что такая многоуровневая адаптация фишинга под жертву может быть новой функцией одного из фишкитов, и стоит ожидать, что подобных атак станет больше.

Подробности и дополнительные скрины — в Kaspersky Daily.

#угрозы @П2Т

❗️ Два 0day в SharePoint активно эксплуатируются злоумышленниками

Вечером в пятницу стало известно об активной эксплуатации двух уязвимостей в on-prem версиях SharePoint 2016, 2019 и Subscription edition. Злоумышленники сначала обходят аутентификацию, устанавливая значение заголовка Referer в запросах "/_layouts/SignOut.aspx", а затем запускают вредоносный код через запрос к "/_layouts/15/ToolPane.aspx", в котором происходит опасная десериализация вредоносного _VIEWSTATE. Эта атака была названа ToolShell.

Судя по описаниям происходящих сейчас атак, злоумышленники не ограничиваются установкой на сервер банальных вебшеллов, а извлекают из него криптографические данные, что позволяет им проникать в сеть с легитимными учётными данными даже после того, как уязвимость будет устранена, а вредоносный шелл уничтожен. Исследователи называют эксплуатацию масштабной.

Microsoft выпустила бюллетень в субботу, а частичные обновления SharePoint поздно вечером в воскресенье. Уязвимости получили номера CVE-2025-53770 и -53771 (CVSS3.1 9.8 и 6.3). Обновления на данный момент доступны для 2019 и Subscription Edition, а SharePoint 2016 не имеет патча.
Также компания признала, что новые патчи являются более качественными фиксами для ранее разглашённых и якобы устранённых (CVE-2025-53770 это обход фикса для CVE-2025-49704, CVE-2025-53771 это обход фикса для CVE-2025-49706).

⚡️Рекомендации:
1️⃣В обязательном порядке установить обновления — сначала плановые июльские (KB5002741, KB5002744), а потом внеочередные.
2️⃣В обязательном порядке заменить machine keys в ASP.NET, после чего перезапустить IIS и SharePoint.
3️⃣Заменить другие криптографические ключи и учётные данные, доступные на подверженном уязвимостям сервере.
4️⃣Провести поиск угроз в инфраструктуре своих веб-серверов. Ключевым индикатором текущих атак является присутствие вредоносного файла spinstall0.aspx, дополнительные IOC здесь.
5️⃣Изолировать или отключить подверженные атаке серверы.
6️⃣Задействовать свою команду реагирования на инциденты в полной мере или обратиться к специализированной фирме для выявления признаков компрометации.

P.S. Microsoft напоминает, что с 2023 года стандартной настройкой SharePoint является включённый AMSI и рекомендует, чтобы на сервере постоянно работало защитное решение.

#Microsoft #угрозы @П2Т