В феврале 2025 года эксперты Positive Technologies отнесли к трендовым восемь уязвимостей. Это недостатки безопасности в продуктах Microsoft, операционных системах FortiOS и прокси-сервисе FortiProxy, программе для архивирования файлов 7-Zip.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Уязвимости Windows, описанные ниже, согласно данным The Verge потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (в том числе Windows 11 и Windows 10).
Удаленное выполнение кода в механизме поиска и обнаружения серверов в сети Windows Lightweight Directory Access Protocol (LDAP Nightmare)
CVE-2024-49112 (CVSS — 9,8)
Эксплуатируя уязвимость, злоумышленник отправляет запрос DCE/RPC1 на LDAP-сервер2 жертвы. Устройство жертвы в ответ на запрос ищет в сети IP-адрес полученного имени узла (атакующего). При получении IP-адреса жертва становится клиентом LDAP, отправляет запрос атакующему. Ответ злоумышленника CLDAP с определенным значением вызывает сбой службы LSASS3 за счет переполнения. Он, в свою очередь, может привести к простоям, утечкам данных, выполнению произвольного кода злоумышленником и особенно опасен для тех, кто использует технологию Active Directory4.
Чтобы защититься, пользователям необходимо обновить ПО, пользуясь рекомендациями Microsoft. В качестве временных мер защиты эксперты рекомендуют публиковать RPC и LDAP внешне через SSL и сегментацию сети.
Уязвимости повышения привилегий в компоненте для связи между узлами ОС и виртуальными машинами контейнерного типа Hyper-V NT Kernel Integration VSP
CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 (CVSS — 7,8)
Уязвимости были обнаружены в компоненте Hyper-V NT Kernel Integration, используемом для связи между уздами ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard. При этом уязвимость CVE-2025-21333 связана с переполнением кучи, а CVE-2025-21334 и CVE-2025-21335 — с использованием памяти после освобождения. Эксплуатируя уязвимости, злоумышленник может получить привилегии уровня SYSTEM — максимальные на узлах системы. Это может позволить атакующему перемещаться по сети, заражать устройства вредоносным ПО, получить полный контроль над системой.
Уязвимость с выполнением удаленного кода OLE5
CVE-2025-21298 (CVSS — 9,8)
Для эксплуатации злоумышленнику необходимо направить жертве специальным образом созданный RTF-файл6. При открытии файла жертва запускает обработку вредоносного кода, что может привести к утечке конфиденциальной информации и потере контроля над оборудованием.
Уязвимость выполнения вредоносного кода в Microsoft Configuration Manager
CVE-2024-43468 (CVSS — 9,8)
Злоумышленник с помощью SQL-внедрения7 создает нового пользователя с правами администратора (отправляет запрос от лица клиента, внедрив в этот запрос вредоносный скрипт). Таким образом, будучи неаутентифицированным пользователем, злоумышленник может получить полный контроль над системой, выполнив код на узле жертвы. При эксплуатации уязвимости на устройство может быть загружено вредоносное ПО с целью кражи, шифрования или распространения данных.
Исследователи Synacktiv советуют прибегнуть к проверке папки C:\Program Files\SMS_CCM\Logs\MP_Location.log на наличие записей в журнале для UpdateSFRequest, XML-сообщений и ошибок при выполнении операции getMachineID().
Чтобы защититься, необходимо установить обновления безопасности, которые представлены на официальных страницах Microsoft: CVE-2024-49112, CVE-2025-21333, CVE-2025-21334, CVE-2025-21335, CVE-2024-43468, CVE-2025-21298.
Уязвимость в модуле websocket Node.js в операционных системах FortiOS и FortiProxy
CVE-2024-55591 (CVSS — 9,6)
Исследователи CloudSEK сообщают, что эта уязвимость затронула 15 000 устройств по всему миру: пользователей FortiOS 7.0.0–7.0.16, FortiProxy 7.0.0–7.0.19, 7.2.0–7.2.12.
Эксплуатация уязвимости позволяет злоумышленнику отправить специальный запрос, после чего — получить привилегии уровня super-admin, предоставляющие доступ к управлению сетью. Результатом эксплуатации уязвимости может стать компрометация учетных данных, подмена сертификатов управления устройством.
Чтобы защититься, необходимо обновить системы FortiOS 7.0 до 7.0.17 и выше, FortiProxy 7.0 — до 7.0.20 и выше, FortiProxy 7.2 — до 7.2.13 и выше, а также следовать рекомендациям Fortinet.
Уязвимость обхода механизма безопасности Mark of the Web8 в программе для архивации файлов 7-Zip
CVE-2025- 0411 (CVSS — 7,0)
Согласно данным SourceForge, до выпуска обновления было скачано около 430 миллионов копий программы, все устройства с устаревшей версией 7-Zip потенциально уязвимы.
Уязвимость связана с некорректной постановкой метки Mark of the Web в версиях 7-Zip до версии 24.09. При скачивании архива, содержащего в себе 7z-архив с вредоносным ПО, функция SmartScreen Microsoft Defender не сообщает о наличии в архиве подозрительных файлов. При извлечении файлов из созданного архива, который имеет Mark of the Web, 7-Zip не распространяет метку на извлеченные файлы, а значит, и для Microsoft Defender файлы будут выглядеть безопасными. В результате эксплуатации уязвимости злоумышленник может удаленно выполнить вредоносный код. Это может привести к установке вредоносного ПО на уязвимое устройство, утечке конфиденциальных данных.
Чтобы защититься, необходимо обновить 7-Zip до версии 24.09 и выше, а также использовать функции безопасности в операционной системе.
- DCE/RPC (Distributed Computing Environment / Remote Procedure Call) — это система удаленного вызова процедур.
- LDAP-сервер — это устройство или система, которая хранит и организует информацию о пользователях, устройствах и других объектах в сети.
- LSASS (Local Security Authority Subsystem Service) — это процесс в системах Windows, который отвечает за управление различными механизмами аутентификации.
- Active Directory — это система управления доступом, разработанная компанией Microsoft для операционных систем Windows.
- OLE (Object Linking and Embedding) — это технология, которая позволяет связывать документы и объекты и встраивать их в другие документы и объекты.
- RTF (Rich Text Format) — универсальный и распространенный текстовый формат, разработанный компанией Microsoft.
- SQL-внедрение (SQLi) — это уязвимость веб-безопасности, которая позволяет злоумышленнику внедрять произвольный SQL-код в запросы, которые приложение делает к своей базе данных.
- Mark of the Web (MoTW) — это механизм безопасности, реализованный в операционных системах Windows, который помечает файлы, загруженные из ненадежных источников, таких как интернет или локальная сеть.
