Последний пакет обновлений безопасности от Microsoft устраняет 80 уязвимостей, 8 из которых классифицированы как критические. Третий раз в этом году доминирующим типом угроз стали уязвимости повышения привилегий (Elevation of Privilege), составившие 47,5% от общего числа исправлений, как отметил Сатнам Наранг, старший инженер-исследователь в компании Tenable. На момент выпуска ни одна из уязвимостей не была замечена в активных атаках.
Наибольшее внимание привлекает публично известная уязвимость повышения привилегий в Windows SMB (CVE-2025-55234) с рейтингом CVSS 8.8. Проблема заключается в том, что сервер SMB подвержен атакам типа "relay", позволяющим злоумышленнику повысить свои привилегии. Это происходит, когда сеансы SMB устанавливаются без надлежащей проверки контекста аутентификации, если не активированы такие меры, как подписывание SMB (SMB signing) и расширенная защита для аутентификации (EPA).
Установка патча для CVE-2025-55234 не является исчерпывающей мерой. Обновление лишь добавляет поддержку аудита для проверки совместимости клиентов SMB. Администраторы должны использовать эти новые функции аудита, чтобы оценить свою среду на наличие потенциальных проблем, и только после этого применять меры по усилению защиты. Адам Барнетт, ведущий инженер-программист в Rapid7, подчеркнул, что администраторы обязаны использовать новые опции аудита для проверки совместимости клиентов перед применением защиты.
По словам Майка Уолтерса, президента и соучредителя компании Action, эта уязвимость открывает двери для атак «человек посередине» (man-in-the-middle), в ходе которых аутентификационные данные перехватываются и перенаправляются. Такая атака может стать частью сложной кампании: фишинг, затем SMB Relay для кражи учетных данных, боковое перемещение по сети и, в конечном итоге, хищение данных.
Самую высокую оценку критичности, CVSS 10.0, получила уязвимость повышения привилегий в Azure Networking (CVE-2025-54914). Однако, поскольку это облачная уязвимость, Microsoft исправила ее на своей стороне, и от клиентов не требуется никаких действий.
Среди других критических уязвимостей выделяется возможность удаленного выполнения кода (RCE) в Microsoft High Performance Compute (HPC) Pack (CVE-2025-55232) с оценкой CVSS 9.8. Также исправлена уязвимость повышения привилегий в Windows NTLM (CVE-2025-54918, CVSS 8.8), которая позволяет злоумышленнику получить права уровня SYSTEM. Кев Брин, старший директор по исследованию угроз в Immersive, отметил, что для эксплуатации требуется отправка специально созданных пакетов по сети, а примечание к патчу об «авторизованном злоумышленнике» предполагает, что у атакующего уже должен быть доступ к NTLM-хешу или учетным данным пользователя.
Пакет обновлений также затрагивает BitLocker, устраняя две уязвимости повышения привилегий: CVE-2025-54911 (CVSS 7.3) и CVE-2025-54912 (CVSS 7.8). Обе были обнаружены Хусейном Альрубаи из Microsoft. Кроме того, исправлена уязвимость отказа в обслуживании (DoS) в стороннем компоненте Newtonsoft.Json, используемом в SQL Server (CVE-2024-21907, CVSS 7.5). В браузере Microsoft Edge устранена уязвимость обхода системы безопасности CVE-2025-53791 (CVSS 4.7), которая стала одной из 12 исправленных в браузере с августа 2025 года. Защищенной является версия 140.0.3485.54.
Эти обновления последовали за июльским патчем 2025 года, который закрыл четыре уязвимости "BitUnlocker". Эти дефекты (CVE-2025-48003, CVE-2025-48800, CVE-2025-48804, CVE-2025-48818), все с оценкой CVSS 6.8, позволяли злоумышленнику с физическим доступом к устройству обойти шифрование BitLocker и получить доступ к данным.
Для защиты от подобных атак исследователи из группы Security Testing and Offensive Research at Microsoft (STORM), Нетанель Бен Симон и Алон Левиев, рекомендуют включать предварительную аутентификацию TPM+PIN. Также следует активировать механизм REVISE для предотвращения атак на понижение версии BitLocker и Secure Boot.
Недавно команда Purple Team подробно описала новую технику бокового перемещения под названием "BitLockMove", разработанную исследователем безопасности Фабианом Мошем. Эта техника использует удаленное манипулирование ключами реестра BitLocker через Windows Management Instrumentation (WMI) для перехвата COM-объектов и выполнения произвольного кода.
Атака "BitLockMove" разворачивается следующим образом: злоумышленник устанавливает удаленное WMI-соединение с целевым хостом, копирует вредоносную DLL-библиотеку через SMB, создает новый ключ в реестре с путем к этой библиотеке и инициирует BitLocker. В результате BitLocker загружает вредоносную библиотеку через механизм перехвата COM-объектов. Цель атаки — выполнить код в контексте интерактивного пользователя. Если этот пользователь обладает высокими привилегиями, например, администратора домена, это может привести к эскалации привилегий на уровне всего домена.
Изображение носит иллюстративный характер
Наибольшее внимание привлекает публично известная уязвимость повышения привилегий в Windows SMB (CVE-2025-55234) с рейтингом CVSS 8.8. Проблема заключается в том, что сервер SMB подвержен атакам типа "relay", позволяющим злоумышленнику повысить свои привилегии. Это происходит, когда сеансы SMB устанавливаются без надлежащей проверки контекста аутентификации, если не активированы такие меры, как подписывание SMB (SMB signing) и расширенная защита для аутентификации (EPA).
Установка патча для CVE-2025-55234 не является исчерпывающей мерой. Обновление лишь добавляет поддержку аудита для проверки совместимости клиентов SMB. Администраторы должны использовать эти новые функции аудита, чтобы оценить свою среду на наличие потенциальных проблем, и только после этого применять меры по усилению защиты. Адам Барнетт, ведущий инженер-программист в Rapid7, подчеркнул, что администраторы обязаны использовать новые опции аудита для проверки совместимости клиентов перед применением защиты.
По словам Майка Уолтерса, президента и соучредителя компании Action, эта уязвимость открывает двери для атак «человек посередине» (man-in-the-middle), в ходе которых аутентификационные данные перехватываются и перенаправляются. Такая атака может стать частью сложной кампании: фишинг, затем SMB Relay для кражи учетных данных, боковое перемещение по сети и, в конечном итоге, хищение данных.
Самую высокую оценку критичности, CVSS 10.0, получила уязвимость повышения привилегий в Azure Networking (CVE-2025-54914). Однако, поскольку это облачная уязвимость, Microsoft исправила ее на своей стороне, и от клиентов не требуется никаких действий.
Среди других критических уязвимостей выделяется возможность удаленного выполнения кода (RCE) в Microsoft High Performance Compute (HPC) Pack (CVE-2025-55232) с оценкой CVSS 9.8. Также исправлена уязвимость повышения привилегий в Windows NTLM (CVE-2025-54918, CVSS 8.8), которая позволяет злоумышленнику получить права уровня SYSTEM. Кев Брин, старший директор по исследованию угроз в Immersive, отметил, что для эксплуатации требуется отправка специально созданных пакетов по сети, а примечание к патчу об «авторизованном злоумышленнике» предполагает, что у атакующего уже должен быть доступ к NTLM-хешу или учетным данным пользователя.
Пакет обновлений также затрагивает BitLocker, устраняя две уязвимости повышения привилегий: CVE-2025-54911 (CVSS 7.3) и CVE-2025-54912 (CVSS 7.8). Обе были обнаружены Хусейном Альрубаи из Microsoft. Кроме того, исправлена уязвимость отказа в обслуживании (DoS) в стороннем компоненте Newtonsoft.Json, используемом в SQL Server (CVE-2024-21907, CVSS 7.5). В браузере Microsoft Edge устранена уязвимость обхода системы безопасности CVE-2025-53791 (CVSS 4.7), которая стала одной из 12 исправленных в браузере с августа 2025 года. Защищенной является версия 140.0.3485.54.
Эти обновления последовали за июльским патчем 2025 года, который закрыл четыре уязвимости "BitUnlocker". Эти дефекты (CVE-2025-48003, CVE-2025-48800, CVE-2025-48804, CVE-2025-48818), все с оценкой CVSS 6.8, позволяли злоумышленнику с физическим доступом к устройству обойти шифрование BitLocker и получить доступ к данным.
Для защиты от подобных атак исследователи из группы Security Testing and Offensive Research at Microsoft (STORM), Нетанель Бен Симон и Алон Левиев, рекомендуют включать предварительную аутентификацию TPM+PIN. Также следует активировать механизм REVISE для предотвращения атак на понижение версии BitLocker и Secure Boot.
Недавно команда Purple Team подробно описала новую технику бокового перемещения под названием "BitLockMove", разработанную исследователем безопасности Фабианом Мошем. Эта техника использует удаленное манипулирование ключами реестра BitLocker через Windows Management Instrumentation (WMI) для перехвата COM-объектов и выполнения произвольного кода.
Атака "BitLockMove" разворачивается следующим образом: злоумышленник устанавливает удаленное WMI-соединение с целевым хостом, копирует вредоносную DLL-библиотеку через SMB, создает новый ключ в реестре с путем к этой библиотеке и инициирует BitLocker. В результате BitLocker загружает вредоносную библиотеку через механизм перехвата COM-объектов. Цель атаки — выполнить код в контексте интерактивного пользователя. Если этот пользователь обладает высокими привилегиями, например, администратора домена, это может привести к эскалации привилегий на уровне всего домена.
