Новости

Positive Technologies представила августовский дайджест трендовых уязвимостей

Эксперты Positive Technologies отнесли к трендовым две уязвимости — недостатки безопасности в продуктах Microsoft.

Трендовые уязвимости — это наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компаниям помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, который аккумулирует данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

Уязвимости в продуктах Microsoft

Уязвимости Windows, описанные ниже, учитывая данные The Verge, потенциально затрагивают более миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (с самых ранних и до Windows 10, Windows 11 включительно).

Уязвимость удаленного выполнения кода в Microsoft SharePoint — CVE-2025-53770 (CVSS — 9,8)

По данным экспертов Eye Security, уязвимость CVE-2025-53770 активно эксплуатируется вместе с другой уязвимостью в Microsoft SharePoint (CVE-2025-53771) с 18 июля 2025 года. Они также сообщили, что обнаружили более 400 скомпрометированных систем. По данным Microsoft, с начала июля цепочка из этих двух уязвимостей используется в атаках APT-группировок Linen Typhoon (APT27) и Violet Typhoon (APT31), а также в атаках группировки вымогателей Storm-2603. Агентство CISA добавило эту уязвимость в каталог известных эксплуатируемых уязвимостей.
 

Уязвимость связана с ошибкой в механизме десериализации1 и затрагивает развернутые локально (on-premises) серверы Microsoft SharePoint. Как сообщают исследователи Eye Security, для эксплуатации уязвимости неаутентифицированный злоумышленник должен сформировать вредоносный POST-запрос2 к компоненту ToolPane.aspx для обхода аутентификации. Имея сетевой доступ к серверу SharePoint, он может загрузить на него сериализованный объект .NET для последующего выполнения. Успешная эксплуатация уязвимости позволяет выполнить произвольный код, что может привести к компрометации сервера SharePoint. В результате злоумышленник может получить конфиденциальные данные и использовать доступ к скомпрометированному серверу для дальнейшего развития атаки, например для развертывания вредоносного ПО.

Уязвимость повышения привилегий в службе обновлений Windows — CVE-2025-48799 (CVSS — 7,8)

Уязвимость связана с некорректным разрешением ссылки перед доступом к файлу в службе обновлений wuauserv (Windows Update service).
 

1 Десериализация — процесс преобразования данных из форматов, пригодных для передачи или хранения (например, JSON или XML), обратно в объекты, с которыми работает программа.

2 POST-запрос — метод HTTP, используемый для отправки данных на сервер для их обработки.

Как сообщают исследователи безопасности, уязвимость затрагивает компьютеры под управлением Windows 10 и Windows 11, в которых установлено два и более жестких диска. Проблема возникает, когда место сохранения нового содержимого с использованием функции управления хранилищем Storage Sense меняется на дополнительный диск. В этом случае при установке нового приложения служба wuauserv выполнит произвольное удаление папки, не проверяя, является ли каталог символической ссылкой3, что приведет к локальному повышению привилегий до уровня SYSTEM и получению к консоли администратора. Это означает, что злоумышленник может получить полный контроль над скомпрометированной системой. В частности, он может нарушить функционирование встроенных механизмов безопасности, что позволит ему удалять системное ПО и драйверы, вносить изменения в реестр Windows и загружать вредоносные файлы в систему.

Чтобы защититься, необходимо установить обновления безопасности: CVE-2025-48799, CVE-2025-53770. Для устранения CVE-2025-53770 Microsoft также рекомендует настроить Antimalware Scan Interface (AMSI) в режиме Full Mode и использовать Microsoft Defender Antivirus и Defender for Endpoint для всех развернутых локально экземпляров SharePoint.

3 Символическая ссылка — специальный файл, который указывает на другой файл или папку в файловой системе.

Может быть интересно