Microsoft встречает 2025 год с рекордным обновлением безопасности

Прочитано: 212 раз(а)


Компания выпустила исправления для беспрецедентного количества уязвимостей CVE — 159, включая ошибки в Azure и Windows Hyper-V.

Январское обновление Microsoft содержит исправления для рекордных 159 уязвимостей, включая восемь ошибок нулевого дня , три из которых уже активно эксплуатируются злоумышленниками.

Это  обновление  является крупнейшим за всю историю Microsoft и примечательно также включением трех ошибок, которые, по словам компании, были обнаружены платформой искусственного интеллекта (ИИ).  

Microsoft оценила 10 уязвимостей, раскрытых на этой неделе, как критические, а остальные — как важные ошибки, требующие исправления. Как всегда, исправления устраняют уязвимости в широком спектре технологий Microsoft, включая ОС Windows, Microsoft Office, .NET, Azure, Kerberos и Windows Hyper-V.

Они включают в себя более 20 уязвимостей удаленного выполнения кода (RCE), почти такое же количество ошибок повышения привилегий и ряд других недостатков, связанных с отказом в обслуживании, проблемами обхода безопасности, а также уязвимостями подмены и раскрытия информации.

Три уязвимости, требующие немедленного исправления

Несколько исследователей безопасности указали на три активно эксплуатируемых ошибки в обновлении этого месяца как на уязвимости, требующие немедленного внимания. Уязвимости, идентифицированные как  CVE-2025-21335 ,  CVE-2025-21333 и  CVE-2025-21334 ,  представляют собой проблемы повышения привилегий в компоненте ядра NT Windows Hyper-V.

Злоумышленники могут сравнительно легко воспользоваться этой ошибкой и получить привилегии системного уровня на уязвимых системах, имея минимальные разрешения.

Сама Microsoft присвоила каждой из трех ошибок относительно умеренную оценку серьезности 7,8 из 10 по шкале CVSS. Но тот факт, что злоумышленники уже эксплуатируют эту ошибку, означает, что организации не могут позволить себе откладывать ее исправление. «Не обманывайтесь их относительно низкими оценками CVSS 7,8», — сказал Кев Брин, старший директор по исследованию угроз Immersive Labs, в комментариях по электронной почте. «Hyper-V прочно встроен в современные операционные системы Windows 11 и используется для ряда задач безопасности».

Microsoft не опубликовала никаких подробностей о том, как злоумышленники используют уязвимости. Но, по словам исследователей, вероятно, злоумышленники используют их для повышения привилегий после того, как они получили первоначальный доступ к целевой среде. «Без надлежащих мер безопасности такие уязвимости перерастают в полный гостевой захват хоста, создавая значительные риски безопасности в вашей виртуальной среде», — написали исследователи Automox в своем блоге на этой неделе.

Пять публично раскрытых, но еще не использованных уязвимостей нулевого дня

Оставшиеся пять уязвимостей нулевого дня, которые Microsoft исправила в своем январском обновлении, — это ошибки, которые были ранее раскрыты, но которыми злоумышленники еще не воспользовались. Три из этих ошибок позволяют удаленно выполнять код и влияют на Microsoft Access: CVE-2025-21186 (CVSS:7.8/10), CVE-2025-21366 (CVSS:7.8/10) и CVE-2025-21395 . Microsoft приписала обнаружение ошибок платформе поиска уязвимостей на основе ИИ Unpatched.ai . «Автоматизированное обнаружение уязвимостей с использованием ИИ в последнее время привлекло много внимания, поэтому примечательно, что этот сервис приписывают обнаружение ошибок в продуктах Microsoft», — написал в комментариях по электронной почте Сатнам Наранг, старший научный сотрудник Tenable. «Это может быть первым из многих в 2025 году».

Две другие публично раскрытые, но пока неиспользованные уязвимости нулевого дня в январском обновлении безопасности Microsoft — это CVE-2025-21275 (CVSS: 7.8/10) в Windows App Package Installer и CVE-2025-21308 в Windows Themes. Обе они позволяют повысить привилегии до SYSTEM и, следовательно, также являются высокоприоритетными ошибками для исправления. 

Другие критические уязвимости

Помимо уязвимостей нулевого дня в последней партии есть несколько других уязвимостей, которые также заслуживают первоочередного внимания. В верхней части списка находятся три CVE, которым Microsoft присвоила почти максимальные оценки CVSS 9,8 из 10: CVE-2025-21311 в Windows NTLMv1 на нескольких версиях Windows; CVE-2025-21307 , неаутентифицированная уязвимость RCE в Windows Reliable Multicast Transport Driver; и CVE-2025-21298 , уязвимость произвольного выполнения кода в Windows OLE.

По словам Бена Хопкинса, инженера по кибербезопасности в Immersive Labs, Microsoft, вероятно, оценила CVE-2025-21311 как критическую из-за потенциально серьезного риска, который она представляет. «Эту уязвимость делает столь значимой тот факт, что ее можно эксплуатировать удаленно, поэтому злоумышленники могут получить доступ к скомпрометированной машине(ам) через Интернет», — написал он в комментариях по электронной почте. «Злоумышленнику не нужны значительные знания или навыки, чтобы добиться повторяющегося успеха с той же полезной нагрузкой в ​​любом уязвимом компоненте».

CVE-2025-21307, тем временем, является ошибкой повреждения памяти use-after-free, которая затрагивает организации, использующие многоадресный транспортный протокол Pragmatic General Multicast (PGM). В такой среде неаутентифицированному злоумышленнику достаточно отправить вредоносный пакет на сервер, чтобы активировать уязвимость, написал в комментариях по электронной почте Бен Маккарти, ведущий инженер по кибербезопасности в Immersive Labs. Злоумышленники, успешно атакующие уязвимость, могут получить доступ на уровне ядра к затронутым системам, а это означает, что организации, использующие протокол, должны немедленно применить исправление Microsoft для этой уязвимости, добавил Маккарти.

Тайлер Регули, ассоциированный директор по исследованиям и разработкам в области безопасности в Fortra, описал CVE-2025-21298 — третью ошибку уровня 9.8 — как уязвимость RCE, которую злоумышленник, скорее всего, будет использовать по электронной почте, а не по сети. «Панель предварительного просмотра Microsoft Outlook — это допустимый вектор атаки, что позволяет назвать это удаленной атакой. Рассмотрите возможность чтения всех писем в открытом виде, чтобы избежать уязвимостей, подобных этой», — отметил он в комментариях по электронной почте.

Обновление Microsoft за январь 2025 года резко контрастирует с обновлением за январь 2024 года, когда компания раскрыла всего 49 CVE. Компания выпустила исправления для 150 CVE в апреле 2024 года и для 142 в июле.

Microsoft внедряет генеративный искусственный интеллект в приложениях Windows и Office



Новости партнеров