🚨 Пять тревожных новостей Windows: Критические уязвимости, ESU и революция безопасности в ноябре 2025

16 ноября 2025 года Microsoft выпустил очередной Patch Tuesday, и этот месяц стал поворотным для системной безопасности Windows. На фоне конца поддержки Windows 10, внедрения новых механизмов защиты в Windows 11 и критических уязвимостей, затрагивающих миллионы систем, администраторам, DevOps-инженерам и опытным разработчикам нужно действовать срочно.

В этой статье разбираю пять самых тревожных новостей ноября, которые прямо влияют на безопасность ваших инфраструктур: от активно эксплуатируемых zero-day уязвимостей в ядре Windows до критических проблем с переходом на Extended Security Updates. Вы узнаете, что произошло, почему это опасно, как приоритизировать патчи и какие изменения внедрить прямо сейчас.

1️⃣ CVE-2025-62215: Zero-Day в ядре Windows с активной эксплуатацией

Механика уязвимости

CVE-2025-62215 — это race condition (состояние гонки) в обработке ядром Windows общих ресурсов. Проще говоря: ядро Windows работает с одним и тем же объектом в памяти из разных потоков одновременно, и если программист не синхронизирует доступ правильно, возникает узкое временное окно, в которое злоумышленник может "проскользнуть" и исказить управление этим ресурсом.

Поле атаки: локальный. Атакующий должен иметь доступ на машину (не админ, но авторизованный пользователь). После успешного использования — получает права SYSTEM.

CVSS 7.0 — средняя, но опасная оценка, потому что это активно эксплуатируется в природе. CISA добавила уязвимость в каталог Known Exploited Vulnerabilities с дедлайном патчинга 3 декабря 2025 года.

Почему это тревожно

• Уязвимость уже используется злоумышленниками. Это не теоретический риск.
• Требует локального доступа, но на многих корпоративных машинах рядовых пользователей это норма.
• Даже если первая атака не удалась, киберпреступники имеют публичные PoC (proof-of-concept) и будут совершенствовать эксплойты.

Как защититься

Немедленно установите обновление:

• Windows 11 25H2, 24H2, 23H2: KB5068861, KB5068865
• Windows 10 22H2, 21H2: KB5068781 (входит в ESU)
• Windows Server 2025: KB5068861, KB5068966
• Windows Server 2022, 2019, 2016, 2012 R2: соответствующие KB номера из таблицы выше

На Windows 10 без ESU обновление больше не выйдет. Это критично — см. раздел про ESU ниже.

Проверка установки (PowerShell, админ):

# Для Windows 11/Windows Server

Get-HotFix | Select-Object HotFixID, Description, InstalledOn | Where-Object {$_.HotFixID -match "KB5068861|KB5068865"}

# Для Windows 10

Get-HotFix | Select-Object HotFixID, Description, InstalledOn | Where-Object {$_.HotFixID -match "KB5068781"}

Если команда вернёт строку с KB номером и датой — патч установлен ✅.

2️⃣ CVE-2025-60724: RCE в GDI+ с CVSS 9.8 — критическая угроза

Что произошло

GDI+ (Graphics Device Interface Plus) — это компонент Windows, ответственный за рендеринг графики, изображений и шрифтов. Это фундаментальный компонент, используемый везде: в Microsoft Office, веб-серверах, которые парсят документы, в тысячах третьесторонних приложений.

В GDI+ обнаружена heap-based buffer overflow в коде парсинга специально сформированных метафайлов (метафайлы — это векторные графические форматы). Когда приложение открывает такой файл, переполнение буфера позволяет злоумышленнику перезаписать память и выполнить произвольный код.

CVSS 9.8 (критическое, максимум 10) — это означает:

• Атака по сети (не требует физического доступа)
• Не требует аутентификации (если вы посетили скомпрометированный сайт, этого достаточно)
• Не требует взаимодействия пользователя (в некоторых сценариях — просто открыть документ)

Сценарии эксплуатации

1. Веб-серверы, обрабатывающие документы: Пользователь загружает поддельный документ → сервер парсит его → RCE на сервере.
2. Email и системы управления контентом: Вложение с метафайлом → автоматический превью → код выполняется.
3. Локально: Открыть скачанный файл из письма или интернета.

Защита

Критический приоритет: патчить в течение 24–48 часов.

Обновления: те же самые, что и для CVE-2025-62215:

• Windows 11 любой версии: KB5068861
• Windows 10: KB5068781 (ESU)
• Windows Server: см. таблицу

Дополнительно для серверов:

• Отключите обработку метафайлов, если не используется (реже всего).
• На веб-серверах, обрабатывающих документы, проверьте валидацию входных файлов перед парсингом.

Проверка через каталог Microsoft:

Скачайте KB из https://catalog.update.microsoft.com и вручную загрузите, если автоматическое обновление не срабатывает.

3️⃣ Windows 10 End of Support + ESU: Переходный период как мина замедленного действия

Что изменилось

14 октября 2025 года закончилась поддержка Windows 10. Больше никаких автоматических обновлений для обычных пользователей. Точка.

Вместо этого Microsoft предложила Extended Security Updates (ESU) — программу подписки, которая даёт критические и важные патчи ещё 1–3 года в зависимости от тарифа.

Механика ESU

Кто в опасности

Windows 10 без ESU = уязвимая мишень номер один для киберпреступников.

Почему?

1. Патчей больше не будет.
2. Безопасность стагнирует на уровне октября 2025.
3. Вся актуальная эксплуатация (включая CVE-2025-62215 и CVE-2025-60724) переведёт машины в категорию "лёгкой добычи".

Администраторы, получайте серьёзно: даже если обновление не требуется для новых функций, это жизненная необходимость для безопасности.

Проблемы с ESU на текущий момент

Microsoft выпустила исправление KB5071959 (11 ноября 2025), которое решило критические проблемы:

❌ Проблема 1: "Ваша версия Windows достигла конца поддержки" отображалась даже при активной ESU.

❌ Проблема 2: Процесс регистрации ESU иногда зависал или отклонял кредитные карточки.

✅ Решение: Установить KB5071959 перед попыткой включить ESU.

Проверка и включение ESU:

# Проверить, есть ли ESU

Get-WindowsUpdateLog | Select-String -Pattern "ESU|Extended Security" -Context 2

# Альтернатива: Settings > Update & Security > Additional options

# Должен быть пункт "Enroll in Extended Security Updates"

Если кнопка не видна, убедитесь:

1. Windows 10 версия 22H2 (Settings > System > About > Version)
2. Установлен KB5071959 (чтобы исправить ошибки регистрации)
3. Вы вошли с Microsoft аккаунтом (обязательно)

🔖Дорогие гости и подписчики канала. Если наши материалы приносят вам пользу, вы всегда можете поддержать команду символическим переводом. Любая помощь мотивирует писать для Вас больше полезного и качественного контента безо всяких подписок.🙏🤝🙏🤝🙏

💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰

Или сделать любой перевод по QR-коду через СБП. Быстро, безопасно и без комиссии.(Александр Г.)

С уважением, Команда "Т.Е.Х.Н.О Windows & Linux".

4️⃣ Administrator Protection в Windows 11: Революция в модели привилегий

Что это и почему это важно

Начиная с 11 ноября 2025 (KB5068861 для Windows 11), Microsoft внедрила Administrator Protection — совершенно новый способ обработки административных запросов.

Старая схема (User Account Control, UAC):

• Вы входите в систему как админ → Windows создаёт два токена: обычный и админский.
• Оба токена привязаны к одному профилю пользователя.
• Если админский токен украден или эксплуатирован → злоумышленник может делать всё, что хочет, в контексте этого админа.

Новая схема (Administrator Protection):

• Вы запрашиваете админские права.
• Windows создаёт изолированный скрытый аккаунт, управляемый системой.
• Привилегированное действие выполняется в контексте этого временного аккаунта, не вашего профиля.
• После завершения аккаунт удаляется.
• Украденный или скомпрометированный ваш профиль больше не даёт доступ к админским привилегиям.

Практический пример

❌ Без Administrator Protection:

1. Вредонос компрометирует ваш user token

2. Вредонос имеет доступ к админским правам твоего профиля

3. Система скомпрометирована полностью

✅ С Administrator Protection:

1. Вредонос компрометирует ваш user token

2. Когда вредонос запрашивает админские права → Windows требует

биометрическую аутентификацию (Face ID, отпечаток, PIN)

3. Права выполняются в изолированном аккаунте

4. Вредонос не может переиспользовать эти права

5. Риск минимален

Включение Administrator Protection

Требования:

• Windows 11 версия 23H2 и выше
• KB5068861 или позже (установлен автоматически)
• Windows Hello (face, fingerprint или PIN) рекомендуется для лучшей защиты
• Local Admin права на машину

Способ 1: Через Group Policy (корпоративные среды)

# Запустить от админа

gpedit.msc

# Перейти:

# Computer Configuration > Windows Settings > Security Settings >

# Local Policies > Security Options

# Найти: "User Account Control: Configure type of Admin Approval Mode"

# Установить: "Admin Approval Mode with Administrator Protection"

# Применить и перезагрузиться

Способ 2: Через Registry (Home Edition)

# Запустить PowerShell от админа

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v TypeOfAdminApprovalMode /t REG_DWORD /d 2 /f

# Проверить:

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v TypeOfAdminApprovalMode

# Должно вернуть: TypeOfAdminApprovalMode REG_DWORD 0x2

# Перезагрузиться

Restart-Computer

Способ 3: Через Settings (самый простой, если доступно)

Settings > System > Account Protection

Toggle ON: "Administrator Protection"

Откат (если что-то сломалось)

# Тот же реестр, но значение 1:

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v TypeOfAdminApprovalMode /t REG_DWORD /d 1 /f

# Или через Group Policy: вернуть на "Admin Approval Mode" (без Protection)

# Перезагрузиться

Совместимость и тестирование

⚠️ Важно: Administrator Protection может конфликтовать с:

• Старыми инсталляторами (требующими молчаливой эскалации)
• RDP сессиями (требует Windows Hello на хосте)
• Удалённых инструментов типа TeamViewer (может затребовать повторную биометрию)

Рекомендация: Тестируйте на пилотной группе перед развёртыванием в масштабе организации.

Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и практиков.

Присоединяйся прямо сейчас.

5️⃣ Copilot Plus и AI-функции: Новые возможности, новые риски

Что обновилось в Windows 11 (ноябрь 2025)

С выпуском KB5068861 (11 ноября) Microsoft расширила AI-поддержку в Windows 11:

Что такое Copilot Plus PC

Copilot Plus PC — это устройство с:

• NPU 40+ TOPS (Neural Processing Unit) — специальный чип для локальной обработки AI
• 16 GB RAM минимум
• 256 GB SSD
• Windows 11 версия 24H2 или выше

Процессоры, квалифицирующиеся как Copilot+:

• Qualcomm Snapdragon X Elite / X Plus (45 TOPS)
• Intel Core Ultra 200V Series (Meteor Lake, 40+ TOPS)
• AMD Ryzen AI 300 Series (45 TOPS, HX370)

Процессоры, которые НЕ квалифицируются:

• Intel Core i9-14900K (нет NPU)
• AMD Ryzen 7 9700X (нет NPU)
• Qualcomm Snapdragon Gen 3 (38 TOPS — ниже 40)

Безопасность AI-функций: Windows Recall

Windows Recall — самая спорная фича. Это AI, которая делает скриншоты вашего экрана каждые 5 секунд, распознаёт содержимое и создаёт полностью поисковую историю вашей активности.

Проблемы, которые были:

• Скриншоты хранились незашифрованными (открыто исходный текст паролей, номера карт, пины)
• Средства защиты от чувствительных данных пропускали данные (пароль без слова "password" рядом не ловился)
• Физический доступ = полный доступ к Recall архиву

Что Microsoft исправила (апрель 2025):

✅ Теперь скриншоты шифруются BitLocker или Device Encryption

✅ Recall opt-in, а не opt-out

✅ Требует биометрии (Windows Hello) для открытия Recall базы

Однако: Некоторые исследователи всё ещё находят способы достать данные. Если вы работаете с конфиденциальной информацией, отключайте Recall полностью.

Отключение Windows Recall (если установлен)

# Через Settings GUI (если Copilot+ PC):

# Settings > Privacy & Security > Recall & Snapshots > Toggle OFF

# Или через Registry:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Privacy" /v RecallEnabled /t REG_DWORD /d 0 /f

# Проверить:

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Privacy" /v RecallEnabled

# Должно вернуть 0x0

Удаление уже собранных скриншотов:

# Перейти в папку Recall (скрыта):

$RecallPath = "$env:LOCALAPPDATA\Packages\Microsoft.Windows.Recall_8wekyb3d8bbwe\LocalState\snapshots"

# Удалить всё (требует админ):

Remove-Item -Path $RecallPath -Recurse -Force

# Или просто отключить сбор новых скриншотов (см. выше)

Интеграция Copilot с новым Start Menu (ноябрь 2025)

Новый Start Menu больше не использует старый дизайн. Вместо этого:

• Copilot виджет интегрирован прямо в левую панель
• Рекомендации из OneDrive и облака появляются автоматически
• "Quick Access" в File Explorer заменён на "Recommended" (можно отключить)

Как отключить Recommended в File Explorer:

# Preferences > View > Show recommended section (toggle OFF)

# Или через Registry (Home):

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowRecommendations /t REG_DWORD /d 0 /f

Чек-лист срочных действий

Сегодня (в течение 24 часов):

• Установить KB5068861/KB5068781/соответствующий KB на все машины
• Проверить статус через PowerShell (команды выше)
• Перезагрузиться (если требуется)

На этой неделе:

• Включить Administrator Protection на Windows 11 (pilot на 5–10 машинах)
• Создать тест-случаи для совместимости приложений с новым режимом
• Если используется Windows 10 без ESU — начать процесс регистрации ESU или планирование миграции на Windows 11

В течение месяца:

• Развернуть Administrator Protection на все управляемые машины (если тесты пройдены)
• Обновить WSUS / Intune политики для контролируемого развёртывания Copilot функций
• Провести обучение пользователей (новый Start Menu, Administrator Protection prompts)

Типичные ошибки и диагностика

Ошибка 1: "KB5068781 отказывается устанавливаться на Windows 10"

Признак: Windows Update говорит "This update is not applicable to your computer".

Причина: Возможно, ещё не включен ESU или машина не прошла предварительные требования.

Решение:

# Проверить версию Windows 10

[Environment]::OSVersion

# Должна быть версия 22H2 (OS Build 19044.xxxx) или 21H2 (OS Build 19045.xxxx)

# Если нижче — сначала обновиться до 22H2 через Settings > Update & Security

# Затем:

# 1. Установить KB5071959 (исправление ошибок ESU)

# 2. Перезагрузиться

# 3. Settings > Update & Security > Additional Options > Enroll in ESU

# 4. Повторить попытку обновления

Ошибка 2: Administrator Protection мешает запуску приложений

Признак: Приложение требует админ-прав, но отказывается запускаться в "изолированном" контексте.

Причина: Старый код приложения несовместим с изолированным аккаунтом.

Временное решение: Отключить Administrator Protection для этого приложения через Group Policy:

# Найти GUID приложения в:

# HKLM\SOFTWARE\Classes\AppID\{GUID}

# Добавить флаг:

reg add "HKLM\SOFTWARE\Classes\AppID\{GUID}" /v NoProtectionMode /t REG_DWORD /d 1 /f

Долгосрочное: Обновить приложение или связаться с разработчиком.

Ошибка 3: ESU не приходит в Windows Update

Признак: Проверка обновлений показывает "You're up to date", но ESU KB не установлен.

Причина: Фоновая служба Windows Update (wuauserv) может быть заморожена или повреждена.

Решение:

# Запустить от админа

net stop wuauserv

net stop bits

# Очистить кэш обновлений

Remove-Item -Path "C:\Windows\SoftwareDistribution" -Recurse -Force -ErrorAction SilentlyContinue

# Перезапустить сервисы

net start wuauserv

net start bits

# Попробовать обновление снова:

# Settings > Update & Security > Check for updates

Производительность и мониторинг

NPU мониторинг на Copilot+ PC

Если у вас есть Copilot+ машина, можно смотреть, как используется NPU:

# Task Manager > Performance > Neural Processing Unit

# Или через командную строку:

wmic path win32_processor get Name, Description

Если видите "Neural Processing Unit" — это подтверждение Copilot+ квалификации.

Проверка, какие AI-функции активны

# Check Recall status

Get-WindowsOptionalFeature -Online -FeatureName "Recall" | Select-Object State

# Check Copilot availability

(Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name DisableCopilot -ErrorAction SilentlyContinue).DisableCopilot

# 0 или не установлено = Copilot доступен

# 1 = Copilot отключен

FAQ

Заключение

Ноябрь 2025 — это месяц, когда Windows переходит на новый уровень: конец поддержки Windows 10 означает, что администраторы должны принять решение (ESU, миграция на Windows 11, или жить с постоянной уязвимостью). Administrator Protection — это огромный шаг к прекращению старого моделя привилегий, который был уязвим десятилетия. Copilot Plus и AI-функции меняют парадигму, но требуют понимания новых рисков.

На практике:

1. Патчьте сегодня — CVE-2025-62215 и CVE-2025-60724 активно эксплуатируются.
2. Включайте Administrator Protection — это серьёзное улучшение безопасности, но тестируйте совместимость.
3. Планируйте ESU или миграцию — Windows 10 уходит, и никаких патчей больше не будет.
4. Изучайте Copilot Plus — если у вас есть соответствующее железо, AI-функции заслуживают внимания, но Recall требует осторожности.

Берите на заметку: CISA дедлайн для CVE-2025-62215 — 3 декабря 2025. У вас есть ~2.5 недели. Не опускайте руки.

#Windows #WindowsSecurity #Cybersecurity #Patch #CVE #ESU #WindowsUpdate #AdministratorProtection #CopilotPC #DevOps #SystemAdmin #ITSEC #WindowsServer #Exploit #ZeroDay #RCE #EOP #MSRC #SecurityUpdate #Vulnerabilities #Patching #InfrastructureSecurity #WindowsAdministration #Linux #OpenSource #SecurityBestPractices #IT #TechNews #ITManagement #enterprise