Февральский дайджест трендовых уязвимостей

По итогам анализа, проведенного в январе, мы анонсируем список уязвимостей, которые отнесли к списку трендовых. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.

Шесть уязвимостей были обнаружены в продуктах Microsoft. Три из них имеют критически высокий уровень опасности (CVE-2024-49112, CVE-2024-43468, CVE-2025-21298), еще три — высокий (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335).

Первая среди уязвимостей с критически высоким уровнем опасности позволяет выполнить удаленный код с помощью запроса DCE/RPC; вторая дает возможность повысить привилегии до уровня SYSTEM за счет выполнения произвольного SQL-запроса; благодаря третьей злоумышленник может добиться выполнения произвольного кода в системе при открытии жертвой специально созданного электронного письма.

Тройка уязвимостей высокого уровня опасности была обнаружена в компоненте Hyper-V NT Kernel Integration VSP. Эти уязвимости позволяют злоумышленнику повысить привилегии до уровня SYSTEM через переполнение буфера кучи или с помощью использования памяти после освобождения.

Эксплуатация критически опасной уязвимости в продуктах Fortinet (CVE-2024-55591) позволяет злоумышленнику получить привилегии уровня super-admin на сетевых устройствах под управлением FortiOS и FortiProxy с помощью специально созданных запросов к Node.js.

Уязвимость высокого уровня в 7-Zip (CVE-2025-0411) может привести к выполнению произвольного кода в процессе извлечения файлов из специально подготовленного архива.

Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.

Уязвимости в продуктах Microsoft

Уязвимости Windows, описанные ниже, согласно данным The Verge потенциально затрагивают более миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Удаленное выполнение кода в Windows Lightweight Directory Access Protocol (LDAP Nightmare)

CVE-2024-49112 (оценка по CVSS — 9,8; критически высокий уровень опасности)

Уязвимость LDAPNightmare связана с механизмом поиска и обнаружения серверов в сети. Ее может эксплуатировать неаутентифицированный удаленный злоумышленник. Для этого атакующий отправляет DCE/RPC запрос¹ на LDAP сервер² жертвы (команду отправить DNS SRV запрос об адресе атакующего). Устройство жертвы в ответ на запрос ищет в сети IP-адрес полученного имени хоста (атакующего). При получении IP-адреса, жертва становится клиентом LDAP, отправляет CLDAP запрос³ на устройство атакующего. Ответ злоумышленника CLDAP с определенным значением вызывает сбой службы LSASS за счет целочисленного переполнения⁴. Сбой службы LSASS, в свою очередь может привести к простоям, утечкам данных, выполнению произвольного кода злоумышленником, и особенно опасен для тех, кто использует технологию Active Directory.

Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Компенсирующие меры: в качестве временных мер защиты эксперты рекомендуют публиковать RPC и LDAP внешне через SSL и сегментацию сети.

¹DCE/RPC (Distributed Computing Environment / Remote Procedure Call) — это протокол, который позволяет одной системе или процессу вызывать выполнение функций или процедур на удаленной системе, как если бы эти функции выполнялись локально.

²LDAP-сервер — это устройство или система, которая хранит и организует информацию о пользователях, устройствах и других объектах в сети.

³CLDAP-запрос — это пакет данных, который клиент отправляет на сервер для получения информации (например, о доступности сервера) или базовых данных о пользователях и ресурсах.

⁴Целочисленное переполнение — это ситуация в программировании, когда результат арифметической операции превышает максимальное значение, которое может быть представлено в заданном типе данных. Это приводит к «переполнению» и некорректному значению, что может вызвать ошибки в работе программы или привести к появлению уязвимостей безопасности.

Уязвимости повышения привилегий в Hyper-V NT Kernel Integration VSP

CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 (CVSS — 7,8; высокий уровень опасности)

Уязвимости были обнаружены в компоненте Hyper-V NT Kernel Integration, используемом для связи между основной ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard. При этом уязвимость CVE-2025-21333 связана с переполнением кучи, а CVE-2025-21334 и CVE-2025-21335 — с использованием памяти после освобождения. Эксплуатируя уязвимости, злоумышленник может получить привилегии уровня SYSTEM на основной системе. Это может позволить атакующему перемещаться по сети, заражать устройства вредоносным ПО, получить полный контроль над системой.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимостей. Кроме того, CISA добавила эти уязвимости в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Уязвимость с выполнением удаленного кода OLE

CVE-2025-21298 (оценка по CVSS — 9,8; критически высокий уровень опасности)

Уязвимость связана с ошибкой использования памяти после освобождения в функции ole32.dll!UtOlePresStmToContentsStm компонента Windows OLE⁵. Для эксплуатации злоумышленнику необходимо направить жертве специальным образом созданный файл формата RTF (который в том числе активно используется в Microsoft Outlook). При открытии файла жертва запускает обработку вредоносного кода, что может привести к утечке конфиденциальной информации и потере контроля над оборудованием.

Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Компенсирующие меры: рекомендуется читать сообщения на почте в текстовом формате.

⁵OLE (Object Linking and Embedding) — это технология, которая позволяет связывать документы и объекты и встраивать их в другие документы и объекты.

Уязвимость RCE в Microsoft Configuration Manager

CVE-2024-43468 (оценка по CVSS — 9,8; критически высокий уровень опасности)

Уязвимость в Microsoft Configuration Manager связана со службой MP_Location⁶. Клиентские сообщения вызывают выполнение процедуры в базе данных. Злоумышленник с помощью SQL-внедрения⁷ создает нового пользователя с правами администратора (отправляет запрос от лица клиента, внедрив в этот запрос вредоносный скрипт). Таким образом, будучи неаутентифицированным пользователем, злоумышленник может получить полный контроль над системой, выполнив код на устройстве жертвы через xp_cmdshell. Причина возникновения уязвимости — процедура MP_GetContentID. При эксплуатации уязвимости на устройство может быть загружено вредоносное ПО с целью кражи, шифрования или распространения данных.

Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Компенсирующие меры: исследователи Synacktiv советуют проверить папку C:\Program Files\SMS_CCM\Logs\MP_Location.log на наличие записей в журнале для UpdateSFRequest, XML-сообщений и ошибок при выполнении операции getMachineID().

⁶MP_Location — служба, отвечающая за обработку сообщений, отправленных клиентами.

⁷SQL-внедрение — это тип уязвимости в веб-приложениях, которая возникает, когда злоумышленник может внедрить произвольный SQL-код в запросы, отправляемые к базе данных.

Способы устранения: установите обновления безопасности, скачав их на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-49112, CVE-2025-21333, CVE-2025-21334, CVE-2025-21335, CVE-2024-43468, CVE-2025-21298.

Уязвимость в модуле websocket Node.js в FortiOS и FortiProxy

CVE-2024-55591 (оценка по CVSS — 9,6; критически высокий уровень опасности)

Уязвимость связана с ошибкой, обнаруженной в модуле websocket Node.js. Она позволяет злоумышленнику получить привилегии уровня super-admin, отправив специальный запрос. Результатом эксплуатации уязвимости может стать компрометация учетных данных, подмена сертификатов управления устройством.

Признаки эксплуатации: Fortinet отмечает случаи эксплуатации уязвимости.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Потенциальные жертвы: исследователи сообщают, что уязвимость затронула 15 000 устройств по всему миру, а именно пользователей FortiOS 7.0.0–7.0.16, FortiProxy 7.0.0–7.0.19, 7.2.0–7.2.12.

Способы устранения: обновите системы FortiOS 7.0 до 7.0.17 и выше, FortiProxy 7.0 — до 7.0.20 и выше, FortiProxy 7.2 — до 7.2.13 и выше.

Компенсирующие меры: исследователи Fortinet рекомендуют:

устранить административный интерфейс HTTP/HTTPS;
ограничить через локальные процессы IP-адреса, которые могут пользоваться административными интерфейсами;
заменить имя администратора на нестандартное;
при компрометации сети немедленно заменить учетные данные, ротацию сертификатов, аудит и параметры брандмауэров.

Уязвимость обхода Mark of the Web в 7-Zip

CVE-2025- 0411 (CVSS — 7,0; высокий уровень опасности)

Уязвимость связана с некорректной постановкой метки Mark of the Web⁸ в версиях 7-Zip до 24.09. При скачивании 7z-архива, содержащего в себе 7z-архив с вредоносным ПО (двойном сжатии), функция SmartScreen Microsoft Defender не сообщает о наличии в архиве подозрительных файлов. Недостаток содержится в обработке архивированных файлов: при извлечении файлов из созданного архива, который имеет Mark of the Web, 7-Zip не распространяет метку на извлеченные файлы, а значит, и для Microsoft Defender файлы будут выглядеть безопасными. В результате эксплуатации уязвимости злоумышленник может удаленно выполнить код в контексте текущего пользователя. Это может привести к установке вредоносного ПО на уязвимое устройство, утечке конфиденциальных данных.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Потенциальные жертвы: согласно данным SourceForge, до ноября (даты выпуска обновления) было скачано около 430 миллионов копий программы, все устройства с устаревшей версией 7-Zip потенциально уязвимы.

Способы устранения: обновите 7-Zip до версии 24.09 и выше.

Компенсирующие меры: используйте функции безопасности в операционной системе.

⁸Mark of the Web (MoTW) — это механизм безопасности, реализованный в операционных системах Windows, который помечает файлы, загруженные из ненадежных источников, таких как интернет или локальная сеть.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.