Positive Technologies представила майский дайджест трендовых уязвимостей

Эксперты Positive Technologies отнесли к трендовым еще четыре уязвимости. Это недостатки безопасности в продуктах Microsoft и фреймворке Erlang.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Уязвимости в продуктах Microsoft

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (с самых ранних и до Windows 10, Windows 11 включительно).

Уязвимость, связанная с повышением привилегий, в CLFS.sys — драйвере подсистемы журналирования

CVE-2025-29824 (CVSS — 7,8)

Успешная эксплуатация уязвимости на ранее скомпрометированных устройствах позволяет атакующему получить привилегии уровня SYSTEM, а значит, полный контроль над системой. Для эксплуатации злоумышленнику не нужно взаимодействовать с пользователем.

Уязвимость, связанная с раскрытием хеша NTLMv2¹

CVE-2025-24054 (CVSS — 6,5)

Эксплуатация уязвимости позволяет злоумышленнику совершить ряд действий в инфраструктуре: от обхода аутентификации до захвата учетной записи с повышенными привилегиями. Она позволяет локальному злоумышленнику получить хеш NTLMv2 пользователя при минимальном взаимодействии с ним. Уязвимость возникает при обработке специально подготовленного атакующими файла .library-ms (формат отображения виртуальных библиотек), который содержит путь к удаленному SMB-серверу², находящемуся под контролем злоумышленника. Этот файл анализируется Windows Explorer для создания предпросмотра, миниатюр или индексных метаданных без участия пользователя (сам файл открывать не нужно). Это действие запускает неявную NTLM-аутентификацию жертвы на удаленном SMB-сервере, в результате чего происходит утечка NTLM-хеша. К эксплуатации уязвимости может привести минимальное взаимодействие с файлом, такое как щелчок правой кнопкой мыши, переход к папке с вредоносным файлом или извлечение его из архива.

Уязвимость в компоненте управление обновлениями Windows Update Stack, связанная с повышением привилегий

CVE-2025-21204 (CVSS — 7,8)

Эксплуатируя уязвимость, локальные злоумышленники могут перехватывать доверенные пути, к которым обращаются процессы уровня SYSTEM, и выполнять произвольный код с повышенными привилегиями, что может привести к несанкционированному доступу, краже данных или захвату системы. Уязвимость обнаружена в компоненте Windows Update Stack, отвечающем за управление обновлениями в операционных системах Windows, и связана некорректной обработкой символических ссылок³ и ярлыков во время файловых операций.

Чтобы защититься, необходимо установить обновления безопасности: CVE-2025-29824, CVE-2025-24054, CVE-2025-21204.

Уязвимость в фреймворке Erlang

По данным поисковой системы Shodan, Erlang/OTP⁴ работает более чем на 600 тысячах устройств. Уязвимость затрагивает некоторые продукты компании Cisco, а также ряд других решений.

Уязвимость в библиотеке фреймворка Erlang/OTP, приводящая к удаленному выполнению кода

CVE-2025-32433 (CVSS — 10,0)

Уязвимость связана с некорректной обработкой протокольных SSH-сообщений⁵, из-за чего атакующий получает возможность отправлять сообщения до прохождения аутентификации. Эксплуатация этой уязвимости позволяет осуществлять удаленное выполнение кода с теми же привилегиями, что и у процесса демона⁶ SSH. Если он запущен с повышенными привилегиями, такими как root, злоумышленники могут получить полный контроль над затронутым устройством, что может привести к компрометации системы.

Чтобы защититься, компания Erlang рекомендует клиентам обновиться до последней исправленной версии: OTP-27.3.3 (для OTP-27), OTP-26.2.5.11 (для OTP-26) или OTP-25.3.2.20 (для OTP-25). В качестве временного решения рекомендуется отключить SSH-сервер или ограничить доступ через правила брандмауэра⁷.

1. NTLMv2 (NT LAN Manager версии 2) — протокол аутентификации, который используется в операционных системах Windows для обеспечения безопасного доступа к сетевым ресурсам.
2. SMB — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.
3. Символическая ссылка — тип файла, указывающий на другой файл или папку в файловой системе.
4. Erlang/OTP (Open Telecom Platform, OTP) — фреймворк, содержащий набор библиотек, шаблонов проектирования для построения масштабируемых распределенных приложений на языке Erlang и инструментов, включая такие компоненты, как SSH-приложение для удаленного доступа.
5. SSH — это сетевой протокол, который позволяет безопасно управлять удаленными устройствами или передавать данные между ними по незащищенному сетевому соединению.
6. Демон (daemon) — это программа, которая работает в фоновом режиме без прямого участия пользователя.
7. Брандмауэр — это система безопасности, которая контролирует входящий и исходящий трафик.