В этот вторник Майкрософт представила патчи для 78 уязвимостей в своих продуктах, включая пять нулевых дней, которые в настоящий момент активно эксплуатируются.
Из 78 уязвимостей 11 были оценены как критические, 66 — как важные, и одна — как низкая. Двадцать восемь из них могут привести к удаленному выполнению кода, 21 представляет собой уязвимость повышения привилегий, а 16 классифицированы как утечки информации.
Эти обновления дополняют восемь других исправлений, выпущенных для браузера Edge на базе Chromium с момента предыдущего Patch Tuesday.
Вот перечень пяти уязвимостей, находящихся под активной эксплуатацией:
- CVE-2025-30397 (оценка CVSS: 7.5) - Уязвимость повреждения памяти в движке сценариев
- CVE-2025-30400 (оценка CVSS: 7.8) - Уязвимость повышения привилегий в основной библиотеке менеджера окон (DWM) Майкрософт
- CVE-2025-32701 (оценка CVSS: 7.8) - Уязвимость повышения привилегий в драйвере файловой системы общего журнала Windows (CLFS)
- CVE-2025-32706 (оценка CVSS: 7.8) - Уязвимость повышения привилегий в драйвере файловой системы общего журнала Windows
- CVE-2025-32709 (оценка CVSS: 7.8) - Уязвимость повышения привилегий в вспомогательном драйвере функций WinSock
Три из этих уязвимостей были выявлены внутренней командой угроз Майкрософт, а Бенуа Севенс из Google Threat Intelligence Group и команда CrowdStrike Advanced Research были отмечены за открытие CVE-2025-32706. Анонимный исследователь также был отмечен за сообщение о CVE-2025-32709.
«В движке сценариев Майкрософт была обнаружена очередная нулевая уязвимость, являющаяся критически важным компонентом для Internet Explorer и режимов Internet Explorer в Microsoft Edge», - прокомментировал Алекс Вовк, генеральный директор и соучредитель Action1, касаясь CVE-2025-30397.
«Злоумышленники могут воспользоваться этой уязвимостью через вредоносные веб-страницы или скрипты, заставляющие движок сценариев неправильно интерпретировать типы объектов, что приводит к повреждению памяти и произвольному выполнению кода от имени текущего пользователя. Если пользователь имеет административные права, злоумышленники могут получить полный контроль над системой, что может привести к краже данных, установке вредоносных программ и несанкционированному доступу к сети.»
CVE-2025-30400 является третьей уязвимостью повышения привилегий в DWM Core Library, которая уже используется злоумышленниками с 2023 года. В мае 2024 года Майкрософт выпустила патчи для CVE-2024-30051, которая, по данным Kaspersky, использовалась в атаках с вредоносной программой QakBot (также известной как Qwaking Mantis).
«С 2022 года в контексте Patch Tuesday было устранено 26 уязвимостей повышения привилегий в DWM», - отметил Сатнам Наранг, старший исследователь Tenable, в своем заявлении.
«На самом деле, в апреле 2025 года были исправлены пять уязвимостей повышения привилегий в DWM Core Library. До CVE-2025-30400 только две уязвимости в DWM подвергались эксплуатации как нулевые дни – это CVE-2024-30051 в 2024 и CVE-2023-36033 в 2023 году.»
CVE-2025-32701 и CVE-2025-32706 стали седьмой и восьмой уязвимостями повышения привилегий, обнаруженными в компоненте CLFS, использовавшимися в реальных атаках с 2022 года. В прошлом месяце Майкрософт сообщила, что CVE-2025-29824 использовалась в ограниченных атаках на компании в США, Венесуэле, Испании и Саудовской Аравии.
CVE-2025-29824 также была использована как нулевая уязвимость злоумышленниками, связанными с семейством программ-вымогателей Play, в рамках атаки на неназванную организацию в США, как сообщила ранее в этом месяце Symantec, входящая в состав Broadcom.
CVE-2025-32709, в свою очередь, является третьей уязвимостью повышения привилегий во вспомогательном драйвере функций WinSock, которая была подвергнута эксплуатации за последний год после CVE-2024-38193 и CVE-2025-21418. Злоупотребление CVE-2024-38193 было связано с группой Лазаря, действующей от имени Северной Кореи.
Такое развитие событий подтолкнуло Агентство кибербезопасности и инфраструктурной безопасности США (CISA) включить все пять уязвимостей в свой каталог известных эксплуатируемых уязвимостей (KEV), требуя от федеральных агентств применения исправлений до 3 июня 2025 года.
Обновление Patch Tuesday от Майкрософт также устраняет уязвимость повышения привилегий в Microsoft Defender для Linux (CVE-2025-26684, оценка CVSS: 6.7), которая может позволить авторизованному атакующему повысить свои привилегии локально.
Исследователь Stratascale Рич Мёрч, один из тех, кто был отмечен за сообщение о уязвимости, рассказал, что проблема связана со скриптом помощи на Python, который включает в себя функцию ("grab_java_version()") для определения версии среды выполнения Java (JRE).
«Функция определяет расположение java-бинарного файла на диске, проверяя символическую ссылку /proc/<PID>/exe и затем выполняет команду java -version», - объяснил Мёрч. «Проблема в том, что java-бинарный файл может выполняться из ненадежного местоположения. Злоумышленный локальный пользователь без особых прав может инициировать процесс с именем java или javaw, который будет исполнен с правами root для определения версии JRE.»
Еще одной заметной уязвимостью является уязвимость подделки, затрагивающая Microsoft Defender для идентификации (CVE-2025-26685, оценка CVSS: 6.5), которая позволяет атакующему, имеющему доступ к локальной сети, производить подделку в соседней сети.
«Обнаружение путей перемещения по сети может быть использовано злоумышленником для получения хэша NTLM», - заявил Адам Барнетт, ведущий инженер-программист Rapid7. «Скомпрометированные учетные данные в этом случае будут считать учетной записью служб каталогов, а эксплуатация основывается на переходе от Kerberos к NTLM.»
Самая критическая уязвимость — это CVE-2025-29813 (оценка CVSS: 10.0), уязвимость повышения привилегий в Azure DevOps Server, которая позволяет неавторизованным злоумышленникам повышать свои привилегии через сеть. Майкрософт сообщила, что это недоразумение уже было исправлено в облаке, и пользователям ничего дополнительного делать не требуется.
Обновления программного обеспечения от других поставщиков#
Помимо Майкрософт, в последние недели другие компании тоже выпустили обновления безопасности для устранения нескольких уязвимостей, включая:
- Adobe
- Amazon Web Services
- AMD
- Apple
- Arm
- ASUS
- Bosch
- Broadcom (включая VMware)
- Canon
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android и Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise (включая Aruba Networking)
- IBM
- Intel
- Ivanti
- Juniper Networks
- Lenovo
- Дистрибутивы Linux: Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE и Ubuntu
- MediaTek
- Mitel
- Mitsubishi Electric
- Moxa
- Mozilla Firefox, Firefox ESR и Thunderbird
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SonicWall
- Splunk
- Spring Framework
- TP-Link
- Trend Micro
- Veritas
- Zoom
- Zyxel
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru