Microsoft выпустила обновления, устраняющие 126 уязвимостей в своих продуктах, включая 11 с критическим уровнем риска, 112 – с уровнем важности и 2 – с низким приоритетом. В перечень входят 49 ошибок повышения привилегий, 34 уязвимости удалённого выполнения кода, 16 случаев утечки информации и 14 сбоев отказа в обслуживании. Эти исправления дополняют уже недавно устранённые 22 уязвимости для браузера на базе Chromium Edge.
Особое внимание уделено уязвимости в драйвере Windows Common Log File System (CLFS) с идентификатором CVE-2025-29824, имеющей оценку CVSS 7.8. Проблема, вызванная сценарием use-after-free, позволяет злоумышленнику с локальным доступом повысить привилегии до уровня SYSTEM, что уже используется в атаках с программами-вымогателями. Уязвимость включена в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и инфраструктуре США, требуя от федеральных учреждений установки исправления до 29 апреля 2025 года. Это уже шестая подобная уязвимость в компоненте CLFS, предшествующими были CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 и CVE-2024-49138.
Mike Walters, президент и соучредитель Action1, отмечает, что возможность повышения привилегий до SYSTEM позволяет злоумышленникам устанавливать вредоносное ПО, изменять системные настройки, нарушать работу защитных механизмов и сохранять постоянный доступ к конфиденциальной информации. Ben McCarthy, ведущий инженер по кибербезопасности компании Immersive, указывает на отсутствие патчей для Windows 10 (как 32-битной, так и 64-битной версии), что создаёт критический разрыв в защите значительного числа пользователей.
Техническая сторона проблемы заключается в том, что уязвимость эксплуатируется за счёт манипуляций с памятью, инициируя сценарий use-after-free без необходимости наличия административных прав – достаточно получения локального доступа. Анализ подобных ошибок в CLFS подтверждает, что злоумышленники в целевых атаках и операторы программ-вымогателей активно используют уязвимости повышения привилегий для полного контроля над системой.
Другие критические проблемы охватывают обход защитного механизма Kerberos (CVE-2025-29809) и ряд уязвимостей в Windows Remote Desktop Services (CVE-2025-27480, CVE-2025-27482) и Windows Lightweight Directory Access Protocol (CVE-2025-26663, CVE-2025-26670). Дополнительно, ряд критических ошибок в Microsoft Office и Excel (CVE-2025-29791, CVE-2025-27749, CVE-2025-27748, CVE-2025-27745, CVE-2025-27752) позволяет через специально сконструированный документ Excel получить полный контроль над системой.
К дополнительным уязвимостям относятся ошибки в Windows TCP/IP (CVE-2025-26686) и Windows Hyper-V (CVE-2025-27491), при определённых условиях позволяющие выполнять произвольный код по сети. Эти проблемы демонстрируют масштабность текущих угроз в экосистеме Windows и необходимость комплексных мер по защите как серверных, так и клиентских систем.
Обновления для Windows 10 пока не доступны для некоторых уязвимостей, но Microsoft гарантирует выпуск патчей в ближайшее время с последующим уведомлением через изменения в информации о CVE. Федеральным учреждениям напомнили о необходимости установки исправлений для уязвимости CLFS до 29 апреля 2025 года согласно требованиям Агентства по кибербезопасности и инфраструктуре США.
Изображение носит иллюстративный характер
Особое внимание уделено уязвимости в драйвере Windows Common Log File System (CLFS) с идентификатором CVE-2025-29824, имеющей оценку CVSS 7.8. Проблема, вызванная сценарием use-after-free, позволяет злоумышленнику с локальным доступом повысить привилегии до уровня SYSTEM, что уже используется в атаках с программами-вымогателями. Уязвимость включена в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и инфраструктуре США, требуя от федеральных учреждений установки исправления до 29 апреля 2025 года. Это уже шестая подобная уязвимость в компоненте CLFS, предшествующими были CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 и CVE-2024-49138.
Mike Walters, президент и соучредитель Action1, отмечает, что возможность повышения привилегий до SYSTEM позволяет злоумышленникам устанавливать вредоносное ПО, изменять системные настройки, нарушать работу защитных механизмов и сохранять постоянный доступ к конфиденциальной информации. Ben McCarthy, ведущий инженер по кибербезопасности компании Immersive, указывает на отсутствие патчей для Windows 10 (как 32-битной, так и 64-битной версии), что создаёт критический разрыв в защите значительного числа пользователей.
Техническая сторона проблемы заключается в том, что уязвимость эксплуатируется за счёт манипуляций с памятью, инициируя сценарий use-after-free без необходимости наличия административных прав – достаточно получения локального доступа. Анализ подобных ошибок в CLFS подтверждает, что злоумышленники в целевых атаках и операторы программ-вымогателей активно используют уязвимости повышения привилегий для полного контроля над системой.
Другие критические проблемы охватывают обход защитного механизма Kerberos (CVE-2025-29809) и ряд уязвимостей в Windows Remote Desktop Services (CVE-2025-27480, CVE-2025-27482) и Windows Lightweight Directory Access Protocol (CVE-2025-26663, CVE-2025-26670). Дополнительно, ряд критических ошибок в Microsoft Office и Excel (CVE-2025-29791, CVE-2025-27749, CVE-2025-27748, CVE-2025-27745, CVE-2025-27752) позволяет через специально сконструированный документ Excel получить полный контроль над системой.
К дополнительным уязвимостям относятся ошибки в Windows TCP/IP (CVE-2025-26686) и Windows Hyper-V (CVE-2025-27491), при определённых условиях позволяющие выполнять произвольный код по сети. Эти проблемы демонстрируют масштабность текущих угроз в экосистеме Windows и необходимость комплексных мер по защите как серверных, так и клиентских систем.
Обновления для Windows 10 пока не доступны для некоторых уязвимостей, но Microsoft гарантирует выпуск патчей в ближайшее время с последующим уведомлением через изменения в информации о CVE. Федеральным учреждениям напомнили о необходимости установки исправлений для уязвимости CLFS до 29 апреля 2025 года согласно требованиям Агентства по кибербезопасности и инфраструктуре США.
