По итогам анализа, проведенного экспертами Positive Technologies, мы анонсируем уязвимости, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в вашей компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в августе к трендовым были отнесены две уязвимости.
Эти уязвимости высокого и критического уровня опасности были обнаружены в продуктах компании Microsoft. Первая уязвимость (CVE-2025-48799) связана с неправильной обработкой символических ссылок1 службой обновлений Windows при работе с каталогами и позволяет злоумышленнику получить привилегии уровня SYSTEM. Вторая уязвимость (CVE-2025-53770) была обнаружена в Microsoft SharePoint и позволяет злоумышленнику без аутентификации удаленно выполнить код на локально развернутых серверах SharePoint.
Подробнее об этих уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
1Символическая ссылка — специальный файл, который указывает на другой файл или папку в файловой системе.
Уязвимости в продуктах Microsoft
Уязвимости, описанные ниже, учитывая данные The Verge, потенциально затрагивают более миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Уязвимость повышения привилегий в службе обновлений Windows
CVE-2025-48799 (оценка по CVSS — 7,8, высокий уровень опасности)
Уязвимость связана с некорректным разрешением ссылки перед доступом к файлу (CWE-59) в службе обновлений wuauserv (Windows Update service). Как сообщает исследователь безопасности Филип Драгович, уязвимость затрагивает компьютеры под управлением Windows 10 и Windows 11, в которых установлено два или более жестких диска. Проблема возникает, когда место сохранения нового содержимого с использованием функции Storage Sense меняется на дополнительный диск. В этом случае при установке нового приложения служба wuauserv выполнит произвольное удаление папки, не проверяя, является ли каталог символической ссылкой, что приведет к локальному повышению привилегий до уровня SYSTEM и получению к консоли администратора. Это означает, что злоумышленник может получить полный контроль над скомпрометированной системой. В частности, он может нарушить функционирование встроенных механизмов безопасности, что позволит ему удалять системное ПО и драйверы, вносить изменения в реестр Windows и загружать вредоносные файлы в систему.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Уязвимость удаленного выполнения кода в Microsoft SharePoint
CVE-2025-53770 (оценка по CVSS — 9,8, критический уровень опасности)
Уязвимость связана с ошибкой в механизме десериализации2 и затрагивает развернутые локально (on-premises) серверы Microsoft SharePoint. Как сообщают исследователи Eye Security, для эксплуатации уязвимости неаутентифицированный злоумышленник должен сформировать вредоносный POST-запрос к компоненту ToolPane.aspx для обхода аутентификации. Имея сетевой доступ к серверу SharePoint, он может загрузить на него сериализованный объект .NET для последующего выполнения. Успешная эксплуатация уязвимости позволяет выполнить произвольный код, что может привести к компрометации сервера SharePoint. В результате злоумышленник может получить конфиденциальные данные и использовать доступ к скомпрометированному серверу для дальнейшего развития атаки, например для развертывания вредоносного ПО.
Признаки эксплуатации: по данным экспертов Eye Security, уязвимость CVE-2025-53770 активно эксплуатируется вместе с другой уязвимостью в Microsoft SharePoint (CVE-2025-53771) с 18 июля 2025 года. Они также сообщили, что обнаружили более 400 скомпрометированных систем. По данным Microsoft, с начала июля цепочка из этих двух уязвимостей используется в атаках APT-группировок Linen Typhoon (APT27) и Violet Typhoon (APT31), а также в атаках группировки вымогателей Storm-2603. Агентство CISA добавило эту уязвимость в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе опубликован PoC. Кроме того, в открытом доступе существует инструмент для эксплуатации уязвимости.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft: CVE-2025-48799, CVE-2025-53770. Для устранения CVE-2025-53770 Microsoft также рекомендует настроить Antimalware Scan Interface (AMSI) в режиме Full Mode и использовать Microsoft Defender Antivirus и Defender for Endpoint для всех развернутых локально экземпляров SharePoint.
2Десериализация — процесс преобразования данных из форматов, пригодных для передачи или хранения (например, JSON или XML), обратно в объекты, с которыми работает программа.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по их устранению и защитить инфраструктуру компании.
Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, который аккумулирует данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.