уязвимости
В мартовском вторничном патче компания Microsoft закрыла целых шесть уязвимостей, которые активно эксплуатируются злоумышленниками. Четыре из этих уязвимостей связаны с файловыми системами, причем три из них имеют одинаковый триггер, что может указывать на их использование в одной атаке. Детали их эксплуатации пока (к счастью) неизвестны, однако свежее обновление крайне рекомендуется к немедленной установке.
Уязвимости в файловых системах
Две из уязвимостей в системе NTFS позволяют злоумышленникам получить доступ к частям кучи (heap), то есть к динамически распределяемой памяти приложений. Что интересно, первая из них, CVE-2025-24984 (4,6 по шкале CVSS) подразумевает физический доступ злоумышленника к атакуемому компьютеру (он должен вставить в USB-порт подготовленный вредоносный накопитель). Для эксплуатации второй уязвимости типа Information Disclosure Vulnerability, CVE-2025-24991 (CVSS 5,5), злоумышленникам необходимо каким-то образом заставить локального пользователя подключить вредоносный виртуальный жесткий диск (VHD).
Точно также активизируются и две другие уязвимости, связанные с файловыми системами CVE-2025-24985, в драйвере файловой системы Fast FAT и CVE-2025-24993 в NTFS. Вот только их эксплуатация приводит к удаленному запуску произвольного кода на атакуемой машине (RCE). У обеих уязвимостей CVSS рейтинг составляет 7,8.
Остальные эксплуатируемые уязвимости
Уязвимость CVE-2025-24983 (CVSS 7.0) в подсистеме ядра Windows Win32 может дать злоумышленникам возможность повысить привилегии до уровня системы. Для ее эксплуатации им необходимо выиграть состояние гонки.
Последняя уязвимость из списка активно эксплуатируемых, CVE-2025-26633 (также CVSS 7.0), позволяет обойти защитные механизмы Консоли управления Microsoft (Microsoft Management Console). В описании приводится целых два сценария ее эксплуатации, впрочем, оба связаны с доставкой жертве вредоносного файла, который впоследствии должен быть запущен. Первый сценарий подразумевает доставку файла в виде приложения к письму, а второй — доставку ссылки через программу для мгновенного обмена сообщениями, или, опять же, через e-mail. По информации исследователей из Zero Day Initiative, обративших внимание Microsoft на эту уязвимость, она используется группировкой EncryptHub, также известной как Larva-208.
И еще одна уязвимость нулевого дня
Кроме шести уязвимостей, замеченных в реальных атаках, обновление от Microsoft закрывает и CVE-2025-26630 в Microsoft Access, которая пока злоумышленниками не используется, хотя вполне могла бы. Потому что по сведениям Microsoft она уже некоторое время является публично известной. Эта уязвимость имеет рейтинг CVSS 7,8, а ее эксплуатация приводит к исполнению произвольного кода. Впрочем, в описании подчеркивается, что для ее использования необходимо открыть на атакуемой машине файл, а механизм предварительного просмотра не приводит к ее эксплуатации.
Остальные уязвимости
Пометка про механизм предварительного просмотра в описании CVE-2025-26630 неслучайна — в обновлении есть также патч для уязвимости CVE-2025-24057, которая через панель предварительного просмотра вполне себе эксплуатируется. Кроме нее закрыты еще пять критических, но пока не эксплуатируемых уязвимостей, позволяющих злоумышленникам запускать произвольный код:
- CVE-2025-24035 и CVE-2025-24045 в службе удаленного рабочего стола (RDS);
- CVE-2025-24057 в Microsoft Office;
- CVE-2025-24084 в Windows Subsystem for Linux, слое совместимости для запуска Linux-приложений в среде Windows;
- CVE-2025-26645 в клиенте Remote Desktop. Причем уязвимость эксплуатируется при подключении жертвы к вредоносному серверу RDP.
Мы рекомендуем как можно скорее установить обновления от Microsoft. Поскольку активно эксплуатируемые уязвимости, скорее всего, применяются злоумышленниками в достаточно сложных целевых атаках. Мы также рекомендуем компаниям использовать современные защитные решения с EDR-функциональностью, а при необходимости привлекать для защиты компании сторонних экспертов, например в рамках сервисаManaged Detection and Response.
Советы