Microsoft выпустила обновления безопасности во вторник, направленные на устранение 57 уязвимостей в своем программном обеспечении, среди которых шесть уже активно эксплуатируемых нулевых уязвимостей. Обновления охватывают ошибки, оцененные как критические (6 случаев), важные (50) и низкой важности (1 случай).
В составе исправлений представлено 23 уязвимости, позволяющие удаленное выполнение кода, и 22 проблемы, связанные с эскалацией привилегий. Кроме того, Microsoft обновила 17 уязвимостей браузера Edge, основанного на Chromium, включая специфическую для браузера уязвимость CVE-2025-26643 (CVSS 5.4), связанную с подделкой данных.
Среди эксплуатируемых нулевых уязвимостей каждую подробно описывают следующие кейсы. CVE-2025-24983 (CVSS 7.0) представляет уязвимость use-after-free в подсистеме ядра Windows Win32, позволяющую авторизованному злоумышленнику повысить свои привилегии; CVE-2025-24984 (CVSS 4.6) в NTFS дает возможность считывания данных из кучи памяти при наличии физического доступа и использования зараженного USB-носителя. CVE-2025-24985 (CVSS 7.8) — переполнение целочисленной переменной в драйвере Windows Fast FAT File System Driver, что позволяет выполнить код локально, в то время как CVE-2025-24991 (CVSS 5.5) посредством выхода за пределы выделенной памяти раскрывает информацию. Еще одна уязвимость, CVE-2025-24993 (CVSS 7.8), основана на переполнении буфера в NTFS и дает возможность несанкционированного выполнения кода. Наконец, CVE-2025-26633 (CVSS 7.0) — ошибка нейтрализации данных в Microsoft Management Console (MMC), позволяющая обходить защитные механизмы, о чем заявила Zero Day Initiative, отметившая, что проблема возникает из-за обработки MSC-файлов, что связывают с группировкой EncryptHub (также известной как LARVA-208).
Уязвимость CVE-2025-24983 была обнаружена словацкой компанией ESET и впервые зафиксирована в марте 2023 года. Эксплуатация происходит через заднюю дверь под названием PipeMagic на скомпрометированных устройствах. Техническая суть проблемы заключается в использовании уязвимости use-after-free в драйвере Win32k, где гонка потоков через вызов WaitForInputIdle приводит к повторному разыменованию структуры W32PROCESS.
Троян PipeMagic, обнаруженный впервые в 2022 году, атакует организации в Азии и Саудовской Аравии и распространяется под видом поддельного приложения OpenAI ChatGPT в кампаниях конца 2024 года. Троян работает по плагинной архитектуре, загружая многочисленные плагины с серверов управления (C2), размещенных на Microsoft Azure. Для создания именованных каналов генерируется 16-байтовый случайный массив, формат имени канала: \\.\pipe\1.<hex string>, при этом происходит непрерывное создание и уничтожение канала для чтения данных, как отметили специалисты Kaspersky в октябре 2024 года.
Эксперты предупреждают о возможности цепного использования четырех уязвимостей, затрагивающих ключевые компоненты файловой системы Windows. По информации Action1, злоумышленники могут комбинировать CVE-2025-24985 и CVE-2025-24993 (удаленное выполнение кода) с CVE-2025-24984 и CVE-2025-24991 (раскрытие информации), что позволяет создать вредоносный виртуальный жесткий диск (VHD). Пользователь, обманом открыв VHD-файл, может незаметно смонтировать его, что, как отметил старший директор по исследованиям угроз Kev Breen из Immersive, уже неоднократно использовалось в фишинговых кампаниях для обхода антивирусных решений.
Старший инженер-исследователь Satnam Narang из Tenable отметил, что уязвимость CVE-2025-26633 стала вторым нулевым дефектом в MMC, первым из которых был CVE-2024-43572. В свою очередь, CVE-2025-24985 является первой уязвимостью в драйвере Windows Fast FAT File System Driver с марта 2022 года, впервые эксплуатируемой как нулевой дефект.
Американское агентство кибербезопасности CISA включило данные уязвимости в свой каталог известных эксплуатируемых проблем и обязало федеральные агентства установить исправления до 1 апреля 2025 года. Остальные 51 проблема пока не имеют четкой информации об эксплуатации, однако мера по обновлению программного обеспечения остается критически важной.
Обновления безопасности охватывают широкий временной промежуток: от обнаружения нулевой уязвимости CVE-2025-24983 в марте 2023 года до кампаний с использованием поддельных приложений в конце 2024 года и первоначальной идентификации трояна PipeMagic в 2022 году. Принятие обновлений становится неотъемлемой мерой по обеспечению информационной безопасности организаций.
Изображение носит иллюстративный характер
В составе исправлений представлено 23 уязвимости, позволяющие удаленное выполнение кода, и 22 проблемы, связанные с эскалацией привилегий. Кроме того, Microsoft обновила 17 уязвимостей браузера Edge, основанного на Chromium, включая специфическую для браузера уязвимость CVE-2025-26643 (CVSS 5.4), связанную с подделкой данных.
Среди эксплуатируемых нулевых уязвимостей каждую подробно описывают следующие кейсы. CVE-2025-24983 (CVSS 7.0) представляет уязвимость use-after-free в подсистеме ядра Windows Win32, позволяющую авторизованному злоумышленнику повысить свои привилегии; CVE-2025-24984 (CVSS 4.6) в NTFS дает возможность считывания данных из кучи памяти при наличии физического доступа и использования зараженного USB-носителя. CVE-2025-24985 (CVSS 7.8) — переполнение целочисленной переменной в драйвере Windows Fast FAT File System Driver, что позволяет выполнить код локально, в то время как CVE-2025-24991 (CVSS 5.5) посредством выхода за пределы выделенной памяти раскрывает информацию. Еще одна уязвимость, CVE-2025-24993 (CVSS 7.8), основана на переполнении буфера в NTFS и дает возможность несанкционированного выполнения кода. Наконец, CVE-2025-26633 (CVSS 7.0) — ошибка нейтрализации данных в Microsoft Management Console (MMC), позволяющая обходить защитные механизмы, о чем заявила Zero Day Initiative, отметившая, что проблема возникает из-за обработки MSC-файлов, что связывают с группировкой EncryptHub (также известной как LARVA-208).
Уязвимость CVE-2025-24983 была обнаружена словацкой компанией ESET и впервые зафиксирована в марте 2023 года. Эксплуатация происходит через заднюю дверь под названием PipeMagic на скомпрометированных устройствах. Техническая суть проблемы заключается в использовании уязвимости use-after-free в драйвере Win32k, где гонка потоков через вызов WaitForInputIdle приводит к повторному разыменованию структуры W32PROCESS.
Троян PipeMagic, обнаруженный впервые в 2022 году, атакует организации в Азии и Саудовской Аравии и распространяется под видом поддельного приложения OpenAI ChatGPT в кампаниях конца 2024 года. Троян работает по плагинной архитектуре, загружая многочисленные плагины с серверов управления (C2), размещенных на Microsoft Azure. Для создания именованных каналов генерируется 16-байтовый случайный массив, формат имени канала: \\.\pipe\1.<hex string>, при этом происходит непрерывное создание и уничтожение канала для чтения данных, как отметили специалисты Kaspersky в октябре 2024 года.
Эксперты предупреждают о возможности цепного использования четырех уязвимостей, затрагивающих ключевые компоненты файловой системы Windows. По информации Action1, злоумышленники могут комбинировать CVE-2025-24985 и CVE-2025-24993 (удаленное выполнение кода) с CVE-2025-24984 и CVE-2025-24991 (раскрытие информации), что позволяет создать вредоносный виртуальный жесткий диск (VHD). Пользователь, обманом открыв VHD-файл, может незаметно смонтировать его, что, как отметил старший директор по исследованиям угроз Kev Breen из Immersive, уже неоднократно использовалось в фишинговых кампаниях для обхода антивирусных решений.
Старший инженер-исследователь Satnam Narang из Tenable отметил, что уязвимость CVE-2025-26633 стала вторым нулевым дефектом в MMC, первым из которых был CVE-2024-43572. В свою очередь, CVE-2025-24985 является первой уязвимостью в драйвере Windows Fast FAT File System Driver с марта 2022 года, впервые эксплуатируемой как нулевой дефект.
Американское агентство кибербезопасности CISA включило данные уязвимости в свой каталог известных эксплуатируемых проблем и обязало федеральные агентства установить исправления до 1 апреля 2025 года. Остальные 51 проблема пока не имеют четкой информации об эксплуатации, однако мера по обновлению программного обеспечения остается критически важной.
Обновления безопасности охватывают широкий временной промежуток: от обнаружения нулевой уязвимости CVE-2025-24983 в марте 2023 года до кампаний с использованием поддельных приложений в конце 2024 года и первоначальной идентификации трояна PipeMagic в 2022 году. Принятие обновлений становится неотъемлемой мерой по обеспечению информационной безопасности организаций.
