Наступил февральский вторник 2025 года, и Microsoft предоставила исправления для 56 уязвимостей, включая два «нулевых дня» – CVE-2025-21418 и CVE-2025-21391, которые активно эксплуатируются.
CVE-2025-21418 и CVE-2025-21391
CVE-2025-21418 – это уязвимость в драйвере вспомогательных функций Windows (AFD.sys), который взаимодействует с Windows Sockets API, позволяя приложениям Windows подключаться к Интернету. Она может быть использована злоумышленниками для повышения привилегий на целевом хосте.
«Аутентифицированный пользователь должен запустить специально созданную программу, которая в итоге выполнит код с привилегиями SYSTEM. Именно поэтому подобные ошибки обычно используются в паре с ошибкой выполнения кода для захвата системы»
- говорит Дастин Чайлдс (Dustin Childs), руководитель отдела по борьбе с угрозами в Trend Micros Zero Day Initiative
Сатнам Наранг, старший штатный инженер-исследователь Tenables, говорит, что с 2022 года в драйвере дополнительных функций для WinSock было обнаружено девять уязвимостей, связанных с повышением привилегий, и только одна из них была использована в дикой природе как «нулевой день» (CVE-2024-38193).
«Согласно отчетам, CVE-2024-38193 была использована северокорейской APT-группой, известной как Lazarus Group (также известной как Hidden Cobra или Diamond Sleet), для внедрения новой версии руткита FudModule, чтобы сохранить устойчивость и незаметность на скомпрометированных системах. На данный момент неизвестно, эксплуатировался ли CVE-2025-21418 также Lazarus Group»- добавил он
CVE-2025-21391 затрагивает Windows Storage в различных версиях Windows и Windows Server. Это еще один недостаток, связанный с повышением привилегий, который, по словам Microsoft, позволит злоумышленникам удалять только целевые файлы в системе, что может привести к недоступности службы.
Очевидно, однако, что это может привести и к повышению привилегий – как описал исследователь ZDI Саймон Цукербраун.
«Хотя мы уже сталкивались с подобными проблемами в прошлом, похоже, что это первый случай использования данной техники в дикой природе. Вероятно, в паре с ошибкой выполнения кода она позволяет полностью захватить систему»
- прокомментировал Чайлдс и посоветовал пользователям быстро протестировать и установить патч для этой проблемы
Эти два «нулевых дня» были добавлены в каталог CISA «Известные эксплуатируемые уязвимости».
Другие уязвимости, заслуживающие внимания
CVE-2025-21194, уязвимость обхода функций безопасности, затрагивающая ноутбуки Microsoft Surface, и CVE-2025-21377, уязвимость раскрытия хэша NTLMv2, которая может быть использована злоумышленниками для аутентификации в качестве пользователя, были отмечены как «публично раскрытые».
Последняя уязвимость, по мнению Microsoft, имеет больше шансов быть использованной. «Организации, использующие системы Windows, которые не полагаются исключительно на Kerberos для аутентификации, подвергаются риску.
CVE-2025-21376, критическая уязвимость удаленного выполнения кода, обусловленная несколькими недостатками, может быть использована неаутентифицированными злоумышленниками путем отправки специально созданного запроса на уязвимый сервер Windows Lightweight Directory Access Protocol (LDAP).
«Так как нет никакого взаимодействия с пользователем, это делает эту ошибку червеобразной между затронутыми LDAP-серверами. Microsoft относит ее к категории „Exploitation Likely“, поэтому, хотя это и маловероятно, я бы рассматривал ее как надвигающуюся эксплуатацию».
Комментарии (0)