По итогам анализа, проведенного экспертами Positive Technologies, мы анонсируем список уязвимостей, которые отнесли к списку трендовых. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в июне к трендовым были отнесены три уязвимости.
Две уязвимости высокого уровня опасности обнаружены в продуктах компании Microsoft. Первая уязвимость (CVE-2025-33053) связана с файлами Internet Shortcut и дает злоумышленнику возможность удаленно выполнить код. Вторая уязвимость (CVE-2025-33073) обнаружена в SMB-клиенте и позволяет нарушителю повысить привилегии до уровня SYSTEM.
Критически опасная уязвимость (CVE-2025-49113) в почтовом веб-клиенте Roundcube связана с ошибкой десериализации и позволяет злоумышленнику удаленно выполнить код.
Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
Уязвимости в продуктах Microsoft
Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut
CVE-2025-33053 (оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимость связана с файлами Internet Shortcut и возникает из-за некорректной обработки рабочего каталога легитимными системными исполняемыми файлами. Как сообщают исследователи Check Point, преступники могут создать файл с расширением .url, параметр URL которого указывает на легитимный системный исполняемый файл, а рабочая директория (WorkingDirectory) — на путь к WebDAV1-серверу, контролируемому злоумышленниками. Когда легитимный файл попытается запустить дополнительные процессы, Windows будет искать необходимые для этого исполняемые файлы в текущей рабочей директории, контролируемой злоумышленниками, вместо системной папки. Это позволит подменить легитимные исполняемые файлы на их вредоносные версии с удаленного сервера.
Для эксплуатации необходимо, чтобы пользователь открыл подготовленный преступниками файл. В случае успеха злоумышленник может удаленно выполнить код, что может позволить преступникам установить на устройство жертвы вредоносное ПО и дать возможность для дальнейшего развития атаки.
Признаки эксплуатации: исследователи из Check Point сообщили об эксплуатации уязвимости APT-группировкой Stealth Falcon в атаке на турецкую оборонную компанию. Атака была проведена еще до публичного раскрытия информации об уязвимости, в итоге злоумышленники заразили жертву вредоносным ПО. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
1 WebDAV — расширения к протоколу HTTP для совместного редактирования файлов и управления ими.
Уязвимость, связанная с повышением привилегий, в SMB-клиенте
CVE-2025-33073 (оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимость связана с неправильной реализацией контроля доступа (CWE-284) в протоколе SMB2. Как рассказали специалисты RedTeam Pentesting, чтобы проэксплуатировать уязвимость, преступнику необходимо заставить уязвимое устройство подключиться к атакующему серверу по SMB и пройти аутентификацию по протоколу Kerberos3 . Далее билет Kerberos используется для повторной аутентификации по SMB на уязвимом узле. В результате полученная SMB-сессия имеет привилегии уровня SYSTEM — самые высокие в Windows. Это означает, что в случае успеха преступник может получить полный контроль над системой.
Кроме того, специалисты Synacktiv сообщили, что эксплуатация уязвимости возможна через протокол NTLM4. Исследователи из PT ESC подтвердили возможность эксплуатации уязвимости и опубликовали подробный разбор, варианты эксплуатации и инструкции по обнаружению уязвимости.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2025-33053, CVE-2025-33073).
2 SMB — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.
3 Kerberos — протокол для аутентификации пользователей в незащищенной сетевой среде с помощью совместно используемых секретных ключей. В основе протокола лежат билеты, которые позволяют узлам проверять подлинность друг друга.
4 NTLM — протокол аутентификации, который используется в операционных системах Windows для обеспечения безопасного доступа к сетевым ресурсам.
Уязвимости в продукте Roundcube
Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube
CVE-2025-49113 (оценка по CVSS — 9,9; критический уровень опасности)
Уязвимость в почтовом веб-клиенте Roundcube оставалась незамеченной более десяти лет. Проблема связана с отсутствием проверки параметра _from в URL-адресе в файле program/actions/settings/upload.php и приводит к ошибке десериализации объектов PHP (CWE-502). В результате успешной эксплуатации уязвимости злоумышленник способен удаленно выполнить код, что может привести к полной компрометации сервера.
Хотя для эксплуатации необходимо аутентифицироваться в системе, для преступников это не является проблемой: злоумышленники писали, что действительные учетные данные можно получить с помощью CSRF5, анализа журналов или брутфорса6.
Уже через несколько дней после выхода обновленной версии Roundcube злоумышленники проанализировали изменения и на их основании разработали и стали продавать на теневых форумах эксплойт для CVE-2025-49113.
Исследователям из PT SWARM удалось воспроизвести эксплуатацию уязвимости до публикации PoC. Эксперты призвали пользователей как можно скорее обновиться до последней версии Roundcube.
Признаки эксплуатации: предполагается, что атака на почтового хостинг-провайдера Cock.li была совершена с использованием этой уязвимости.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: Roundcube широко распространен в хостинг-среде (GoDaddy, Hostinger, OVH), входит в состав панелей управления (cPanel, Plesk и других), применяется в государственном и образовательном секторах, сфере технологий. По данным Censys, на момент написания статьи обнаружено около 2,5 миллионов экземпляров Roundcube Webmail. Как сообщили эксперты Shadowserver, по состоянию на 8 июня выявлено около 84 тысяч уязвимых экземпляров Roundcube, большинство из них — в США, Германии и Индии. По данным CyberOK, в России наблюдается более 78 тысяч уникальных инсталляций Roundcube Webmail, около 85% которых уязвимы.
Способы устранения, компенсирующие меры: согласно рекомендации Roundcube, необходимо обновить ПО до одной из исправленных версий (1.6.11 или 1.5.10).
5 CSRF (cross-site request forgery, подделка межсайтовых запросов) — атака, при которой вредоносный сайт или веб-приложение заставляет браузер выполнить нежелательное действие на доверенном сайте, на котором пользователь аутентифицирован.
6 Брутфорс (атака полным перебором) — метод атаки, при котором злоумышленник подбирает разные варианты логинов, паролей или другие данные для входа в систему и получения доступа к информации.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.