Эксперты Positive Technologies отнесли к трендовым еще три уязвимости: это недостатки безопасности в продуктах Microsoft и почтовом веб-клиенте Roundcube.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Уязвимости в продуктах Microsoft
Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (с самых ранних и до Windows 10, Windows 11 включительно).
Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut1
CVE-2025-33053 (CVSS — 8,8)
Для эксплуатации необходимо, чтобы пользователь открыл подготовленный преступниками файл. В случае успеха злоумышленник способен удаленно выполнить код, а затем установить на устройство жертвы вредоносное ПО и развить атаку.
Уязвимость появляется из-за некорректной обработки рабочего каталога легитимными системными исполняемыми файлами. Как сообщают исследователи Check Point, преступники могут создать файл с расширением .url, параметр URL которого указывает на легитимный системный исполняемый файл, а рабочая директория (WorkingDirectory) — на путь к WebDAV2-серверу, контролируемому злоумышленниками. Когда легитимный файл попытается запустить дополнительные процессы, Windows будет искать необходимые для этого исполняемые файлы сначала в текущей рабочей директории, контролируемой злоумышленниками, вместо системной папки. Это позволит подменить легитимные исполняемые файлы на их вредоносные версии с удаленного сервера.
Уязвимость, связанная с повышением привилегий, в SMB-клиенте3
CVE-2025-33073 (CVSS — 8,8)
Чтобы проэксплуатировать уязвимость, преступнику необходимо заставить уязвимое устройство подключиться к атакующему серверу по SMB и пройти аутентификацию по протоколу Kerberos4. Далее билет Kerberos используется для повторной аутентификации по SMB на уязвимом узле. В результате полученная SMB-сессия имеет привилегии уровня SYSTEM — самые высокие в Windows. Это означает, что в случае успеха преступник может получить полный контроль над системой.
Кроме того, исследователи Synacktiv сообщили, что эксплуатация уязвимости возможна через протокол NTLM5. Эксперты из PT Expert Security Center (PT ESC) подтвердили это и опубликовали подробный разбор, варианты эксплуатации и инструкции по обнаружению уязвимости.
Атака возможна в случае, если на стороне сервера не используется подпись SMB. Она применяется с версии Windows 11 24H2, но в серверных версиях Windows включена по умолчанию только на контроллерах домена.
Для того чтобы защититься, необходимо установить обновления безопасности (CVE-2025-33053, CVE-2025-33073).
Уязвимости в продукте Roundcube
Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube
CVE-2025-49113 (CVSS — 9,9)
По данным Shadowserver, выявлено около 84 тысяч уязвимых экземпляров Roundcube, большинство из них — в США, Германии и Индии. По данным CyberOK, в России наблюдается более 78 тысяч уникальных инсталляций Roundcube Webmail, около 85% которых уязвимы.
Уязвимость оставалась незамеченной более десяти лет. Проблема связана с ошибкой десериализации6 объектов PHP. В результате успешной эксплуатации злоумышленник способен удаленно выполнить код, что может привести к полной компрометации сервера.
Хотя для эксплуатации необходимо аутентифицироваться в системе, для преступников это не является проблемой: злоумышленники писали, что действительные учетные данные можно получить с помощью атаки типа CSRF7, анализа журналов или брутфорса8.
Уже через несколько дней после выхода обновленной версии Roundcube злоумышленники проанализировали изменения и на их основании разработали и стали продавать на теневых форумах эксплойт для CVE-2025-49113.
Исследователям из PT SWARM удалось воспроизвести эксплуатацию уязвимости до публикации PoC. Эксперты призвали пользователей как можно скорее обновиться до последней версии Roundcube.
Для того чтобы защититься, необходимо обновить ПО до одной из исправленных версий (1.6.11 или 1.5.10).
- Файлы Internet Shortcut используются для создания на компьютере ярлыков, ведущих на сайты.
- WebDAV — расширения к протоколу HTTP для совместного редактирования файлов и управления ими.
- SMB — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.
- Kerberos — протокол, который реализует систему совместно используемых секретных ключей для аутентификации пользователей в незащищенной сетевой среде. В основе протокола лежат билеты, которые позволяют узлам проверять подлинность друг друга.
- NTLM — протокол аутентификации, который используется в операционных системах Windows для обеспечения безопасного доступа к сетевым ресурсам.
- Десериализация — это процесс, обратный сериализации. Сериализация — это преобразование объекта в формат, пригодный для хранения или передачи.
- CSRF (cross-site request forgery, подделка межсайтовых запросов) — атака, при которой вредоносный сайт или веб-приложение заставляет браузер выполнить нежелательное действие на доверенном сайте, на котором пользователь аутентифицирован.
- Брутфорс (атака полным перебором) — метод атаки, при котором злоумышленник подбирает разные варианты логинов, паролей или другие данные для входа в систему и получения доступа к информации.
