По итогам анализа, проведенного в марте, мы анонсируем список уязвимостей, которые отнесли к списку трендовых. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в марте к трендовым были отнесены 11 уязвимостей.
Шесть уязвимостей с высоким уровнем опасности были обнаружены в продуктах компании Microsoft:
- Две уязвимости — в драйвере минифильтра cldflt.sys (CVE-2024-30085) и в подсистеме ядра Windows Win32 (CVE-2025-24983) — могут привести к повышению привилегий злоумышленника до уровня SYSTEM.
- Еще две — переполнение буфера в куче в файловой системе Windows NTFS (CVE-2025-24993) и целочисленное переполнение или циклический переход в драйвере Fast FAT Windows (CVE-2025-24985) — позволяют несанкционированному злоумышленнику выполнить код при монтировании жертвой специально созданного виртуального жесткого диска.
- Уязвимость обхода функции безопасности Microsoft Management Console (CVE-2025-26633) приводит к выполнению кода в контексте пользователя при открытии специально созданного MSC файла. Для эксплуатации уязвимости злоумышленники могут использовать фишинг, отправляя электронные письма с вредоносными вложениями и ссылками, ведущими на подконтрольные им ресурсы.
- Уязвимость спуфинга в Microsoft Windows File Explorer (CVE-2025-24071) связана с возможностью злоумышленника передать жертве специально созданные зловредные .library-ms файлы и позволяет получить NTLM-хеш пользователя.
Три уязвимости (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) были обнаружены в продуктах компании VMware и являются частью цепочки уязвимостей "ESXicape". Эксплуатация цепочки уязвимостей может позволить злоумышленнику, имеющему доступ к запуску кода на виртуальной машине, повысить уровень доступа к гипервизору ESX. Это позволит атакующему скомпрометировать виртуализированную инфраструктуру компании.
Эксплуатация уязвимости удаленного выполнения кода (CVE-2025-1974) в продуктах Kubernetes позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ к контроллеру Ingress-nginx1, произвести захват кластера.
Уязвимость критического уровня опасности (CVE-2025-24813) в продуктах Apache Tomcat вызвана ошибкой в обработке загружаемых файлов сессий и механизме десериализации2. Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ к серверу Apache Tomcat, загрузить на сервер произвольный файл для его последующего выполнения.
Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
1 Ingress-контролер - базовый блок Kubernetes, который реализует правила получения доступа внешнего трафика к сервисам в кластере.
2 Десериализация — это обратный процесс: восстановление структур и объектов из сериализованной строки или последовательности байтов.
Уязвимости в продуктах Microsoft
Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Уязвимость повышения привилегий в драйвере фильтра Windows Cloud Files Mini
CVE-2024-30085 (оценка по CVSS — 7,8; высокий уровень опасности)
Уязвимость вызвана переполнением буфера кучи в функции HsmIBitmapNORMALOpen драйвера мини-фильтра облачных файлов Windows — cldflt.sys. Причина уязвимости - переполнение кучи (CWE-122). Эксплуатирующий уязвимость может получить доступ к критически важным данным, повысить привилегии до уровня SYSTEM и получить полный контроль над устройством жертвы.
Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает фактов эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован эксплойт.
Компенсирующие меры. Исследователи из Ogma в качестве компенсирующих мер предлагают:
сегментировать сеть;
внедрить и реализовать принцип наименьших привилегий (PoLP);
улучшить мониторинг для обнаружения подозрительной активности.
Уязвимость повышения привилегий в подсистеме ядра Windows Win32
CVE-2025-24983 (оценка по CVSS — 7,0; высокий уровень опасности)
Уязвимость обнаружена в подсистеме ядра Windows Win32. Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации уязвимости злоумышленнику необходимо выиграть "race condition"3. Уязвимость была обнаружена исследователями ESET. Они нашли эксплойт для CVE-2025-24983 на системах, скомпрометированных с использованием бэкдора PipeMagic. В случае успешной эксплуатации злоумышленник может получить возможность красть и уничтожать данные в системе.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: эксплойта пока нет в общем доступе.
Компенсирующие меры: специалисты из Feedly рекомендуют минимизировать привилегии локальных пользователей.
3 Состояние гонки (англ. race condition) — это ситуация, при которой несколько потоков (или процессов) одновременно пытаются выполнить операции чтения или записи к общим ресурсам без должной синхронизации.
Уязвимость удаленного выполнения кода в файловой системе Windows NTFS
CVE-2025-24993 (оценка по CVSS — 7,8; высокий уровень опасности)
Переполнение буфера в куче в файловой системе Windows NTFS позволяет злоумышленнику выполнить код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD). Таким образом, в системе может быть установлено вредоносное ПО, а также атакующий сможет скомпрометировать сеть и получить доступ к новым устройствам.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: эксплойта пока нет в общем доступе.
Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT
CVE-2025-24985 (оценка по CVSS — 7,8; высокий уровень опасности)
Целочисленное переполнение4 в драйвере Windows Fast FAT позволяет злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск (VHD). Таким образом, на систему может быть установлено вредоносное ПО, а также атакующий сможет скомпрометировать сеть и получить доступ к новым устройствам.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: эксплойта пока нет в общем доступе.
4 Целочисленное переполнение — ситуация в компьютерной арифметике, при которой вычисленное в результате операции значение не может быть помещено в n-битный целочисленный тип данных.
Уязвимость обхода функции безопасности в консоли управления Microsoft
CVE-2025-26633 (оценка по CVSS — 7,0; высокий уровень опасности)
Для эксплуатации уязвимости злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC файл, что, согласно данным ZDI, приведёт к выполнению кода в контексте текущего пользователя. Для эксплуатации уязвимости злоумышленники могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы. Исследователи Trend Micro связывают случаи эксплуатации уязвимости вживую с деятельностью группировки EncryptHub (также известной как Water Gamayun и Larva-208). Эксплуатация может привести к утечке данных и установке вредоносного ПО.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: эксплойта пока нет в общем доступе.
Компенсирующие меры: на платформе CVE Crowd советуют блокировать MSC- и VHD-файлы на средствах безопасности электронной почты, веб-прокси и межсетевом экране, а также производить мониторинг подозрительных действий в системе.
Уязвимость в Microsoft Windows File Explorer, приводящая к спуфингу
CVE-2025-24071 (оценка по CVSS — 7,5; высокий уровень опасности)
Уязвимость вызвана автоматической обработкой файлов формата LIBRARY-MS. Такой файл может содержать SMB5-путь (ссылку на SMB-сервер, принадлежащий злоумышленникам). Сам файл анализируется Windows Explorer для создания предпросмотра, миниатюр или индексных метаданных без участия пользователя (для анализа файл не нужно открывать). Это действие запускает неявное рукопожатие аутентификации NTLM от системы жертвы к контролируемому киберпреступником серверу SMB, в результате чего злоумышленник получает хеш NTLMv2 без явного взаимодействия с пользователем. Для эксплуатации уязвимости достаточно распаковать архив с вредоносным файлом. Злоумышленник получает возможность использовать перехваченный NTLMv2-хеш в атаках с передачей хеша6. Подобное может привести к краже данных и раскрытию конфиденциальной информации.
Признаки эксплуатации: Microsoft на момент публикации дайджеста отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Компенсирующие меры: специалисты из Freebuf рекомендуют в качестве дополнительных мер защиты включать подписывание SMB и отключать NTLM там, где это возможно.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2024-30085, CVE-2025-24983, CVE-2025-24993, CVE-2025-24985, CVE-2025-26633).
5 SMB — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.
6 Атака с передачей хеша — это кибератака, при которой злоумышленник крадет хеш пароля и использует его для перемещения внутри сети организации.
Уязвимости в продуктах VMware
Уязвимости, описанные ниже, согласно данным Shadowserver, затрагивают более 40 000 узлов гипервизора VMware ESXi. Последствия могут коснуться всех пользователей устаревших версий продукта.
Уязвимости образуют цепочку уязвимостей, названную "ESXicape". Эксплуатируя её, злоумышленник, имеющий доступ к запуску кода на виртуальной машине, может повысить уровень доступа к гипервизору ESX и скомпрометировать всю виртуализованную инфраструктуру организации.
Уязвимости касаются VMX-процесса, который выполняется в VMkernel и отвечает за обработку ввода-вывода на устройствах, не имеющих решающего значения для производительности. VMX также отвечает за взаимодействие с пользовательскими интерфейсами, менеджерами снапшотов и удаленной консолью.
Уязвимость произвольной записи в VMware ESXi и Workstation
CVE-2025-22224 (оценка по CVSS — 9,3; критический уровень опасности)
Уязвимость типа TOCTOU7 затрагивает продукты VMware ESXi и Workstation. Эта уязвимость может привести к записи за пределами выделенной области, что позволяет злоумышленнику с локальными административными привилегиями на виртуальной машине выполнить код от имени процесса VMX на хосте (гипервизоре).
Признаки эксплуатации: VMware отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: эксплойта пока нет в общем доступе.
7 TOCTOU (от времени проверки до времени использования, time-of-check to time-of-use) — уязвимость ПО, возникающая из-за условий гонки: злоумышленник может изменить состояние системы в период между временем ее проверки на безопасность и временем ее использования.
Уязвимость произвольной записи памяти в гипервизоре VMware ESXi
CVE-2025-22225 (оценка по CVSS — 8,2; высокий уровень опасности)
Уязвимость произвольной записи памяти затрагивает VMware ESXi. Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведёт к обходу механизмов безопасности.
Признаки эксплуатации: VMware отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: эксплойта пока нет в общем доступе.
Уязвимость разглашения информации в VMware ESXi, Workstation и Fusion
CVE-2025-22226 (оценка по CVSS — 7,1; высокий уровень опасности)
Уязвимость разглашения информации (Information Disclosure) в VMware ESXi, Workstation и Fusion (CVE-2025-22226). Причина уязвимости — чтение за пределами допустимого диапазона (out-of-bounds read) в компоненте Host Guest File System (HGFS)8. Злоумышленник с административными привилегиями на виртуальной машине может извлекать содержимое памяти процесса VMX.
Признаки эксплуатации: VMware отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: эксплойта пока нет в общем доступе.
8 VMware HGFS (Host-Guest File System) — это функция, которая позволяет использовать общие папки между хостовой и гостевой операционными системами в виртуальной машине VMware.
Способы устранения описанных уязвимостей. Согласно рекомендациям вендора, нужно:
- обновить VMware Workstation до версии 17.6.3,
- обновить VMware Fusion до версии 13.6.3,
- установить патчи на VMware ESXi 8.0, 7.0 и 6.7 (ESXi80U3d-24585383, ESXi80U2d-24585300, ESXi70U3s-24585291, ESXi670-202503001).
Уязвимости в продуктах Kubernetes
Уязвимость удаленного выполнения кода в компоненте Kubernetes Ingress NGINX Controller
CVE-2025-1974 (оценка по CVSS — 9,8; критический уровень опасности)
Неаутентифицированный злоумышленник с доступом к сети подов может выполнить произвольный код в контексте контроллера ingress-nginx при помощи отправки специально подготовленного запроса (инъекции конфигурации) на Ingress-nginx контроллер. Это может привести к утечке секретов, доступных контроллеру. При стандартной установке контроллер имеет доступ ко всем секретам кластера. Во многих распространенных сценариях сеть подов доступна для всех рабочих нагрузок в облачном VPC9 или даже для всех, кто подключен к корпоративной сети. Часто сеть подов бывает доступной и во внешней сети (в интернете). Эксплуатируя уязвимость, злоумышленник может захватить кластер, выкрасть секреты10 и использовать их в своих целях. Захват кластера может позволить злоумышленнику получить полный контроль над инфраструктурой организации.
Признаки эксплуатации: Kubernetes не отмечает фактов эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Потенциальные жертвы: согласно исследователям из Wiz, уязвимость затрагивает более 6500 кластеров, находящихся в интернете.
Способы устранения, компенсирующие меры: согласно рекомендациям Kubernetes, следует обновить Ingress-контроллер nginx до новой версии патча или отключить функцию validating admission controller.
9 VPC (virtual private cloud) — это виртуальная частная сеть в облачной среде, которая предоставляет пользователям возможность управлять своим виртуальным пространством с высокой степенью контроля и безопасности.
10 Секрет Kubernetes — конфиденциальная информация, используемая кластером Kubernetes при управлении подами, например, OAuth-ключи, пароли, SSH-ключи и т. д.
Уязвимости в продуктах Apache
Уязвимость в Apache Tomcat, приводящая к удаленному выполнению кода
CVE-2025-24813 (оценка по CVSS — 9,8; критический уровень опасности)
Уязвимость обнаружена в механизмах обработки загруженных файлов и десериализации. Злоумышленник может загрузить вредоносные файлы в доступный для записи каталог через частичные запросы PUT11. После загрузки файла последующий HTTP-запрос запускает в Tomcat десериализацию, что может привести к выполнению вредоносного файла. Таким образом, эксплуатация уязвимости может привести к загрузке вредоносного ПО и удаленному выполнению кода на устройствах жертвы, а также к утечке информации и повреждению критически важных файлов.
Признаки эксплуатации: Apache отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Потенциальные жертвы: по данным исследования Rapid7, на GitHub было обнаружено около 200 публично доступных уязвимых серверов.
Способы устранения, компенсирующие меры: согласно рекомендациям Apache, необходимо обновить Tomcat до версий 9.0.99, 10.1.35, 11.0.3 и выше.
11 Запросы PUT используются для обновления существующих ресурсов или создания новых, если они не существуют.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.