Киберугрозы/инциденты

Майский дайджест трендовых уязвимостей

Майский дайджест трендовых уязвимостей

По итогам анализа, проведенного экспертами Positive Technologies, мы анонсируем список уязвимостей, которые отнесли к списку трендовых. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.

  • Кроме этого, не стоит забывать и об устранении других уязвимостей, которые не были описаны в наших дайджестах. Их эксплуатация также может нанести непоправимый вред организации. 

Всего в мае к трендовым были отнесены четыре уязвимости.

Три уязвимости были обнаружены в продуктах компании Microsoft. Две из них — в драйвере CLFS.sys, который используется для работы подсистемы журналирования (CVE-2025-29824), и в службе активации процессов Windows (CVE-2025-21204) — имеют высокий уровень опасности и могут привести к повышению привилегий злоумышленника до уровня SYSTEM. Еще одна уязвимость (CVE-2025-24054) имеет средний уровень опасности. Ее успешная эксплуатация может привести к раскрытию хеша NTLMv21.

Эксплуатация опасной уязвимости (CVE-2025-32433) в библиотеке Erlang/OTP2 позволяет злоумышленнику удаленно и без аутентификации осуществлять выполнение кода на уязвимых устройствах.

Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.

1 NTLMv2 (NT LAN Manager версии 2) — протокол аутентификации, который используется в операционных системах Windows для обеспечения безопасного доступа к сетевым ресурсам.

2 Erlang/OTP (Open Telecom Platform, OTP) — фреймворк, содержащий набор библиотек, шаблонов проектирования для построения масштабируемых распределенных приложений на языке Erlang и инструментов, включая такие компоненты, как SSH-приложение для удаленного доступа.

Уязвимости в продуктах Microsoft

Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Уязвимость в драйвере CLFS.sys, связанная с повышением привилегий

CVE-2025-29824 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость драйвера подсистемы журналирования Common Log File System (CLFS) Windows связана с использованием памяти после ее освобождения (CWE-416). Успешная эксплуатация уязвимости на ранее скомпрометированных устройствах позволяет атакующему получить привилегии уровня SYSTEM, а значит, полный контроль над системой. Для эксплуатации уязвимости злоумышленнику не нужно взаимодействовать с пользователем.

Признаки эксплуатации: как сообщила компания Microsoft, уязвимость использовалась группировкой вымогателей RansomEXX (Storm-2460). Отмечается, что недостаток применялся в небольшом числе атак, однако были затронуты компании, работающие в сферах ИТ и недвижимости в США, финансовом секторе Венесуэлы, в сфере разработки ПО в Испании и секторе розничной торговли в Саудовской Аравии. Исследователи из Symantec сообщили об эксплуатации этой уязвимости группой вымогателей Play (также известной как Balloonfly) в атаке на организацию из США, которая была проведена еще до публичного раскрытия уязвимости и ее исправления. Кроме того, CISA добавила уязвимость в каталог KEV.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Затронутые версии: все версии, но по заявлению Microsoft, эксплуатация уязвимости не затронула Windows 11 24H2, даже если проблема присутствовала в системе.

Уязвимость, связанная с раскрытием хеша NTLMv2

CVE-2025-24054 (оценка по CVSS — 6,5; средний уровень опасности)

Эта уязвимость связана с Windows Explorer и позволяет локальному злоумышленнику получить NTLMv2-хеш пользователя при минимальном взаимодействии с ним. Первоначально компания Microsoft присвоила этой уязвимости идентификатор CVE-2025-24071. Ее мы рассматривали в нашем апрельском дайджесте трендовых уязвимостей. Как сообщают исследователи из Check Point, проблема возникает при обработке специально подготовленного файла .library-ms (формат отображения виртуальных библиотек), который содержит путь к удаленному SMB3-серверу, находящемуся под контролем злоумышленника. Этот файл анализируется Windows Explorer для создания предпросмотра, миниатюр или индексных метаданных без участия пользователя (для анализа файл не нужно открывать). Это действие запускает неявное рукопожатие аутентификации NTLM от системы жертвы на удаленный SMB-сервер, в результате чего утекает NTLM-хеш. Минимальное взаимодействие с файлом, такое как щелчок правой кнопки мыши, переход к папке с вредоносным файлом или извлечение его из архива, может привести к эксплуатации уязвимости. Подобное действие имеет опасные последствия: от обхода аутентификации до захвата учетной записи с повышенными привилегиями.

Признаки эксплуатации: по сообщениям Check Point, всего через восемь дней после исправления уязвимости компанией Microsoft была обнаружена ее первая эксплуатация. Кампания была направлена на государственные и частные учреждения в Польше и Румынии. Для распространения вредоносного файла преступники использовали ссылки на Dropbox, где хранился архив. Примечательно, что один из файлов в архиве был направлен на эксплуатацию уязвимости CVE-2024-43451, которая также связана с раскрытием хеша NTLMv2. Подробнее об этой уязвимости можно узнать в нашем ноябрьском дайджесте. В более поздних кампаниях, направленных на организации по всему миру, вредоносные файлы рассылались без архива. CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

3 SMB — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.

Уязвимость в компоненте управления обновлениями Windows Update Stack, связанная с повышением привилегий

CVE-2025-21204 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость обнаружена в компоненте Windows Update Stack, отвечающем за управление обновлениями в операционных системах Windows, и связана с некорректной обработкой символических ссылок4 и ярлыков во время файловых операций (CWE-59). По сообщению из блога Cyberdom, эксплуатируя уязвимость, локальные злоумышленники могут перехватывать доверенные пути, к которым обращаются процессы уровня SYSTEM, и выполнить произвольный код с повышенными привилегиями, что может привести к несанкционированному доступу, краже данных или захвату системы.

В рамках апрельского вторника обновлений Microsoft выпустила исправление для этой уязвимости, которое заключалось в создании на устройстве пользователя пустого каталога C:\inetpub. Однако такой подход открывает путь другой проблеме: исследователь Кевин Бомонт обнаружил, что эту папку можно использовать для предотвращения установки дальнейших обновлений Windows. Исследователь сообщил об этой проблеме компании Microsoft и получил ответ, что они рассмотрят возможность исправления этой ошибки в будущем.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

4 Символическая ссылка — тип файла, указывающий на другой файл или папку в файловой системе.

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2025-29824, CVE-2025-24054, CVE-2025-21204).

Уязвимости в продуктах Erlang

Уязвимость в библиотеке Erlang/OTP, приводящая к удаленному выполнению кода

CVE-2025-32433 (оценка по CVSS — 10,0; критический уровень опасности)

Уязвимость была обнаружена в библиотеке фреймворка Erlang/OTP, обычно используемом в телекоммуникациях, обмене сообщениями, IoT-устройствах и распределенных приложениях. Как сообщает Openwall, уязвимость связана с некорректной обработкой протокольных SSH5-сообщений, из-за чего атакующий получает возможность отправлять сообщения до прохождения аутентификации. Эксплуатация этой уязвимости позволяет удаленно выполнять код с теми же привилегиями, что и у процесса демона6 SSH. Если демон SSH запущен с повышенными привилегиями, такими как root, злоумышленники могут получить полный контроль над затронутым устройством, что может привести к компрометации системы.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе был опубликован PoC. Как сообщает исследователь безопасности Мэтт Кили, он создал PoC-экплойт при помощи ИИ.

Количество потенциальных жертв: по данным поисковой системы Shodan, Erlang/OTP работает более чем на 600 тысячах устройств. Однако утверждается, что большинство из них работают под управлением CouchDB, которая не подвержена уязвимости. Уязвимость затрагивает некоторые продукты компании Cisco, а также ряд других решений.

Способы устранения, компенсирующие меры: компания Erlang рекомендует клиентам обновиться до последней исправленной версии: OTP-27.3.3 (для OTP-27), OTP-26.2.5.11 (для OTP-26) или OTP-25.3.2.20 (для OTP-25). В случае невозможности немедленного обновления в качестве временного решения рекомендуется отключить SSH-сервер или ограничить доступ через правила брандмауэра.

5 SSH — это сетевой протокол, который позволяет безопасно управлять удаленными устройствами или передавать данные между ними по незащищенному сетевому соединению.

6 Демон (daemon) — это программа, которая работает в фоновом режиме без прямого участия пользователя. 

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.