Компания Microsoft выпустила ежемесячное обновление безопасности «Patch Tuesday», в котором устранила 63 новые уязвимости. Четыре из них классифицированы как критические, а 59 — как важные. Дополнительно было выпущено 27 исправлений для браузера Microsoft Edge на базе Chromium, не входящих в основной список.
Центральной проблемой этого обновления стала уязвимость нулевого дня в ядре Windows, зарегистрированная под идентификатором CVE-2025-62215. Она уже активно используется злоумышленниками в реальных атаках. Уязвимости присвоен рейтинг 7.0 (Важный) по шкале CVSS. Она была обнаружена специалистами из Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).
Технически CVE-2025-62215 представляет собой «состояние гонки» — ошибку, возникающую при некорректной синхронизации доступа к общему ресурсу. Для её эксплуатации атакующий должен предварительно получить первоначальный доступ к системе, например, через фишинг или другую уязвимость. После этого он запускает специально созданное приложение, которое вызывает и выигрывает состояние гонки, что приводит к ошибке «двойного освобождения» и повреждению кучи ядра.
В результате успешной эксплуатации атакующий может перезаписывать память, перехватывать поток выполнения системы и повышать свои привилегии до уровня SYSTEM, получая полный контроль над скомпрометированным устройством. Бен Маккарти, ведущий инженер по кибербезопасности в компании Immersive, объяснил, что успешная эксплуатация приводит к ошибке «двойного освобождения», которая повреждает кучу ядра и открывает путь к повышению привилегий.
Сатнам Наранг, старший штатный инженер-исследователь в Tenable, подчеркнул, что уязвимость используется для пост-эксплуатации, то есть после того, как злоумышленник уже получил первоначальный доступ к системе другими методами. На данный момент неизвестно, кто именно эксплуатирует эту уязвимость и для каких конкретно целей.
Майк Уолтерс, президент и сооснователь Action1, заявил, что эта уязвимость становится критически опасной при её объединении с другими, например, с ошибкой удалённого выполнения кода. Такая цепочка превращает удалённую атаку в полный захват системы с правами SYSTEM и открывает возможности для бокового перемещения по сети.
Среди других значимых уязвимостей выделяется CVE-2025-60704, получившая кодовое название «CheckSum». Это ошибка повышения привилегий в Windows Kerberos с рейтингом 7.5 (Высокий). Уязвимость была обнаружена исследователями Элираном Партушем и Дором Сегалом из компании Silverfort.
Атака на «CheckSum» использует недостающий криптографический шаг в механизме ограниченного делегирования Kerberos. Для её проведения злоумышленнику необходим первоначальный доступ к сети с скомпрометированными учётными данными и возможность провести атаку «человек-посередине» (Adversary-in-the-Middle, AitM) для перехвата сетевого трафика.
Успешная эксплуатация «CheckSum» позволяет атакующему выдавать себя за любого пользователя, перемещаться по сети к другим машинам, получать права администратора и, в конечном итоге, стать администратором домена. Уязвимости подвержены все организации, использующие Active Directory с включенной функцией делегирования Kerberos.
Обновление также устраняет две опасные уязвимости, ведущие к удалённому выполнению кода (RCE) через переполнение буфера на основе кучи. Первая, CVE-2025-60724, имеет критический рейтинг 9.8 и затрагивает графический компонент Microsoft. Вторая, CVE-2025-62220, с рейтингом 8.8, обнаружена в графическом интерфейсе подсистемы Windows для Linux (WSL).
Изображение носит иллюстративный характер
Центральной проблемой этого обновления стала уязвимость нулевого дня в ядре Windows, зарегистрированная под идентификатором CVE-2025-62215. Она уже активно используется злоумышленниками в реальных атаках. Уязвимости присвоен рейтинг 7.0 (Важный) по шкале CVSS. Она была обнаружена специалистами из Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).
Технически CVE-2025-62215 представляет собой «состояние гонки» — ошибку, возникающую при некорректной синхронизации доступа к общему ресурсу. Для её эксплуатации атакующий должен предварительно получить первоначальный доступ к системе, например, через фишинг или другую уязвимость. После этого он запускает специально созданное приложение, которое вызывает и выигрывает состояние гонки, что приводит к ошибке «двойного освобождения» и повреждению кучи ядра.
В результате успешной эксплуатации атакующий может перезаписывать память, перехватывать поток выполнения системы и повышать свои привилегии до уровня SYSTEM, получая полный контроль над скомпрометированным устройством. Бен Маккарти, ведущий инженер по кибербезопасности в компании Immersive, объяснил, что успешная эксплуатация приводит к ошибке «двойного освобождения», которая повреждает кучу ядра и открывает путь к повышению привилегий.
Сатнам Наранг, старший штатный инженер-исследователь в Tenable, подчеркнул, что уязвимость используется для пост-эксплуатации, то есть после того, как злоумышленник уже получил первоначальный доступ к системе другими методами. На данный момент неизвестно, кто именно эксплуатирует эту уязвимость и для каких конкретно целей.
Майк Уолтерс, президент и сооснователь Action1, заявил, что эта уязвимость становится критически опасной при её объединении с другими, например, с ошибкой удалённого выполнения кода. Такая цепочка превращает удалённую атаку в полный захват системы с правами SYSTEM и открывает возможности для бокового перемещения по сети.
Среди других значимых уязвимостей выделяется CVE-2025-60704, получившая кодовое название «CheckSum». Это ошибка повышения привилегий в Windows Kerberos с рейтингом 7.5 (Высокий). Уязвимость была обнаружена исследователями Элираном Партушем и Дором Сегалом из компании Silverfort.
Атака на «CheckSum» использует недостающий криптографический шаг в механизме ограниченного делегирования Kerberos. Для её проведения злоумышленнику необходим первоначальный доступ к сети с скомпрометированными учётными данными и возможность провести атаку «человек-посередине» (Adversary-in-the-Middle, AitM) для перехвата сетевого трафика.
Успешная эксплуатация «CheckSum» позволяет атакующему выдавать себя за любого пользователя, перемещаться по сети к другим машинам, получать права администратора и, в конечном итоге, стать администратором домена. Уязвимости подвержены все организации, использующие Active Directory с включенной функцией делегирования Kerberos.
Обновление также устраняет две опасные уязвимости, ведущие к удалённому выполнению кода (RCE) через переполнение буфера на основе кучи. Первая, CVE-2025-60724, имеет критический рейтинг 9.8 и затрагивает графический компонент Microsoft. Вторая, CVE-2025-62220, с рейтингом 8.8, обнаружена в графическом интерфейсе подсистемы Windows для Linux (WSL).
