Microsoft объявила о выпуске патчей, закрывающих две серьезные уязвимости, угрожавшие безопасности пользователей Azure AI Face Service и Microsoft Account. Обе уязвимости, относящиеся к классу Elevation of Privilege (повышение привилегий), позволяли злоумышленникам потенциально получить несанкционированный доступ к системам и данным.
Особенно тревожным фактом является существование Proof-of-Concept (PoC) эксплойта для одной из уязвимостей, а именно CVE-2025-21415, затрагивающей Azure AI Face Service. Это означает, что злоумышленники, обладающие необходимыми знаниями и инструментами, могли воспользоваться данной уязвимостью для повышения своих привилегий в системе.
Согласно информации, предоставленной Microsoft, уязвимость CVE-2025-21415 позволяла обходить аутентификацию путем подмены (spoofing), что давало злоумышленнику возможность повысить свои привилегии по сети. Уязвимость CVE-2025-21396, затрагивающая Microsoft Account, была связана с отсутствием должной авторизации, что также могло привести к несанкционированному повышению привилегий по сети.
Обе уязвимости были присвоены идентификаторы CVE: CVE-2025-21396 для Microsoft Account Elevation of Privilege Vulnerability и CVE-2025-21415 для Azure AI Face Service Elevation of Privilege Vulnerability. CVSS score (Common Vulnerability Scoring System) для CVE-2025-21396 составил 7.5, что указывает на серьезный уровень риска. CVSS score для CVE-2025-21415 достиг 9.9, что свидетельствует о критически опасном характере уязвимости.
Важно отметить, что обе уязвимости на данный момент полностью устранены компанией Microsoft. Разработчики оперативно выпустили необходимые патчи, и никакой дополнительной активности со стороны пользователей не требуется.
Стоит отметить вклад исследователей в обнаружение уязвимостей. Уязвимость CVE-2025-21415 была обнаружена анонимным исследователем, а CVE-2025-21396 была найдена Sugobet (под псевдонимом).
Microsoft активно работает над повышением прозрачности в вопросах безопасности облачных сервисов. В рамках этой инициативы, начиная с июня 2024 года, компания публикует CVE (Common Vulnerabilities and Exposures) для уязвимостей в облачных сервисах, даже если для их устранения не требуется немедленных действий со стороны клиентов.
Высокий CVSS score (9.9) для уязвимости Azure AI Face Service (CVE-2025-21415) подчеркивает серьезность потенциальных последствий, которые могли бы возникнуть в случае ее эксплуатации. Существование PoC эксплойта для этой уязвимости лишь подчеркивает важность своевременного реагирования на подобные угрозы.
Проактивный подход Microsoft к раскрытию информации об уязвимостях в облачных сервисах отражает приверженность компании принципам безопасности и прозрачности, даже если не требуется немедленных действий со стороны пользователей.
В целом, данная ситуация подчеркивает важность постоянного мониторинга и оперативного устранения уязвимостей в программном обеспечении. Несмотря на то, что в данном случае Microsoft успешно справилась с угрозой, пользователям всегда следует быть бдительными и следить за обновлениями безопасности от поставщиков программного обеспечения.
Изображение носит иллюстративный характер
Особенно тревожным фактом является существование Proof-of-Concept (PoC) эксплойта для одной из уязвимостей, а именно CVE-2025-21415, затрагивающей Azure AI Face Service. Это означает, что злоумышленники, обладающие необходимыми знаниями и инструментами, могли воспользоваться данной уязвимостью для повышения своих привилегий в системе.
Согласно информации, предоставленной Microsoft, уязвимость CVE-2025-21415 позволяла обходить аутентификацию путем подмены (spoofing), что давало злоумышленнику возможность повысить свои привилегии по сети. Уязвимость CVE-2025-21396, затрагивающая Microsoft Account, была связана с отсутствием должной авторизации, что также могло привести к несанкционированному повышению привилегий по сети.
Обе уязвимости были присвоены идентификаторы CVE: CVE-2025-21396 для Microsoft Account Elevation of Privilege Vulnerability и CVE-2025-21415 для Azure AI Face Service Elevation of Privilege Vulnerability. CVSS score (Common Vulnerability Scoring System) для CVE-2025-21396 составил 7.5, что указывает на серьезный уровень риска. CVSS score для CVE-2025-21415 достиг 9.9, что свидетельствует о критически опасном характере уязвимости.
Важно отметить, что обе уязвимости на данный момент полностью устранены компанией Microsoft. Разработчики оперативно выпустили необходимые патчи, и никакой дополнительной активности со стороны пользователей не требуется.
Стоит отметить вклад исследователей в обнаружение уязвимостей. Уязвимость CVE-2025-21415 была обнаружена анонимным исследователем, а CVE-2025-21396 была найдена Sugobet (под псевдонимом).
Microsoft активно работает над повышением прозрачности в вопросах безопасности облачных сервисов. В рамках этой инициативы, начиная с июня 2024 года, компания публикует CVE (Common Vulnerabilities and Exposures) для уязвимостей в облачных сервисах, даже если для их устранения не требуется немедленных действий со стороны клиентов.
Высокий CVSS score (9.9) для уязвимости Azure AI Face Service (CVE-2025-21415) подчеркивает серьезность потенциальных последствий, которые могли бы возникнуть в случае ее эксплуатации. Существование PoC эксплойта для этой уязвимости лишь подчеркивает важность своевременного реагирования на подобные угрозы.
Проактивный подход Microsoft к раскрытию информации об уязвимостях в облачных сервисах отражает приверженность компании принципам безопасности и прозрачности, даже если не требуется немедленных действий со стороны пользователей.
В целом, данная ситуация подчеркивает важность постоянного мониторинга и оперативного устранения уязвимостей в программном обеспечении. Несмотря на то, что в данном случае Microsoft успешно справилась с угрозой, пользователям всегда следует быть бдительными и следить за обновлениями безопасности от поставщиков программного обеспечения.
