Microsoft исправляет уязвимости в повышении привилегий при атаках в Hyper-V

Вторник исправлений В первый вторник исправлений 2025 года Microsoft устранила три уязвимости в повышении привилегий при атаках в своем гипервизоре Hyper-V, а также множество других проблем, которые заслуживают вашего внимания.

Уязвимости Hyper-V — CVE-2025-21333, CVE-2025-21334 и CVE-2025-21335, и они уже эксплуатировались в дикой природе как нулевые дни. Они оценены как важные с точки зрения серьезности, имеют оценку 7,8 из 10 по шкале CVSS и включают в себя злоупотребление ошибками безопасности памяти: два использования после освобождения и одно переполнение буфера кучи.

Это страшно, потому что они могут позволить злоумышленнику получить привилегии SYSTEM — высшую позицию власти на компьютере с Windows. При этом уязвимости не выставляются как гостевые побеги, и вместо этого нам говорят, что они просто позволяют мошеннику или вредоносному ПО, уже находящемуся на машине, получить высшие привилегии. В чем бы ни заключалась проблема, она присутствует в Windows 10 и 11, а также в выпусках Windows Server 2022 и 2025.

Microsoft не уточнила масштабы и характер эксплуатации в дикой природе.

Выпущенный Redmond патч также содержит три исправления для уязвимостей, оцененных на 9,8 из 10, и поэтому считающихся критическими.

Первый, CVE-2025-21311, является еще одной уязвимостью повышения привилегий, на этот раз в системе аутентификации NTMLv1, и может быть использован удаленно. Пока доступен патч, Redmond добавил стратегию смягчения: установите LmCompatibilityLevel на максимальное значение (5). Это блокирует NTLMv1, при этом позволяя NTLM2 функционировать.

Другие две уязвимости могут способствовать удаленному выполнению кода. Возможно, более серьезная проблема связана с фреймворком Windows Object Linking and Embedding (OLE), CVE-2025-21298. Эксплуатация этой ошибки может включать открытие пользователем специально созданного письма Outlook. Проблема затрагивает Windows 10 и 11, а также все поддерживаемые версии Windows Server с 2016 года.

Другая проблема с рейтингом 9,8, CVE-2025-21307, требует, чтобы у цели была хотя бы одна программа, активно прослушивающая порт Windows Pragmatic General Multicast (PGM), PGM — это сетевой компонент, который позволяет одновременно распространять данные нескольким получателям. Microsoft предупреждает, что «неаутентифицированный злоумышленник может воспользоваться уязвимостью, отправив специально созданные пакеты в открытый сокет Windows Pragmatic General Multicast на сервере без какого-либо взаимодействия со стороны пользователя». Эти отравленные пакеты могут привести к выполнению произвольного кода на этой удаленной цели. Microsoft, по понятным причинам, не сообщила, как это происходит.

Это ошибка с хорошими/плохими новостями. Хорошая новость в том, что PGM не аутентифицирует запросы, поэтому не рекомендуется выставлять ее в открытый доступ в Интернете, и мы предполагаем, что большинство из вас этого не делает. Плохая новость в том, что те, кто проигнорировал этот совет, будут разоблачены.

Microsoft оценивает уязвимости с помощью CVSS, а также собственной системы оценки серьезности обновлений безопасности, которая, прежде всего, считает уязвимость критической, если она может привести к нежелательному выполнению кода без взаимодействия с пользователем. Вот три дыры, исправленные в январском Patch Tuesday, которые имеют оценку CVSS ниже 9,0 (т. е. некритические), но считаются ИТ-титаном критическими:

  • У нас есть CVE-2025-21296, неприятная проблема удаленного выполнения кода с Branchcache — сетевым инструментом Редмонда, который, по иронии судьбы, должен был упростить управление исправлениями. К счастью, ее можно эксплуатировать, только если вы находитесь в той же локальной сети и вам удается выиграть гонку «время проверки — время использования».
  • Далее следует проблема с кодом безопасности клиента/сервера Microsoft, которую наскоро окрестили Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) Extended Negotiation (NEGOEX). Патч исправляет CVE-2025-21295, которая позволяет неаутентифицированному злоумышленнику «манипулировать системными операциями определенным образом» для удаленного запуска кода.
  • Еще одна уязвимость в списке критических уязвимостей — CVE-2025-21294, которую можно найти в процедуре дайджест-аутентификации Microsoft. Нам говорят: «Злоумышленник может успешно воспользоваться этой уязвимостью, подключившись к системе, которая требует дайджест-аутентификации, вызвав состояние гонки для создания сценария использования после освобождения, а затем используя это для выполнения произвольного кода». Еще больше проблем с безопасностью памяти.

Двигаясь дальше, список исправлений января включает еще две критические уязвимости ниже 9.0, эти в любимой всеми электронной таблице Excel.

Обе уязвимости CVE-2025-21362 и CVE-2025-21354 позволяют выполнить код, если пользователя обманом заставят открыть файл, упакованный вредоносным ПО, и ни одна из них не требует специальных привилегий для использования.

«Опасение по поводу этих уязвимостей в Excel заключается в том, что они с большей вероятностью будут эксплуатироваться в реальных условиях, а это значит, что Microsoft, вероятно, подозревает, что злоумышленники могут использовать их в качестве оружия», — сказал Бен Маккарти, ведущий инженер по кибербезопасности в Immersive Labs.

«Поскольку социальная инженерия по-прежнему остается одним из основных способов получения злоумышленниками первоначального доступа, любая компания, которая его использует, должна серьезно отнестись к любым уязвимостям в Excel и немедленно их устранить».

Другие исправления защищают службы удаленного рабочего стола от уязвимостей, которые Microsoft считает критическими. CVE-2025-21309 и CVE-2025-21297 позволяют злоумышленнику использовать любую из уязвимостей, «подключившись к системе с ролью шлюза удаленного рабочего стола, вызвав состояние гонки для создания сценария использования после освобождения, а затем используя это для выполнения произвольного кода», — заявила Microsoft.

Затем идет CVE-2025-21380 — уязвимость раскрытия информации о ресурсах SaaS Azure Marketplace; CVE-2025-21385 — утечка информации Purview; и CVE-2025-21178 — уязвимость выполнения кода в Visual Studio.

Еще один обзор уязвимостей представлен на сайте Zero Day Initiative.

Больше проблем с устранением

Январские исправления Adobe устраняют уязвимости в Photoshop, Illustrator, Substance3D Stager и Animate.

В Photoshop 2024 и 2025 есть уязвимости, затрагивающие как Windows, так и macOS, которые Adobe считает критически важными, поскольку, как и Microsoft, у нее есть собственные рейтинги, которые предлагают вам отдавать приоритет исправлениям уязвимостей, которые «позволяют выполнять вредоносный собственный код, потенциально без ведома пользователя».

Недостатки Photoshop соответствуют этому определению, поскольку они делают возможным выполнение произвольного кода.

Illustrator получил исправления для двух уязвимостей выполнения кода, каждая из которых имеет оценку CVSS 7,8. Substance 3D Stager устраняет пять аналогичных недостатков, а Animate получает один. Все эти уязвимости требуют взаимодействия с пользователем и не могут быть вызваны удаленно.

Cisco выпустила несколько исправлений, оба из которых она оценила как средние по серьезности. Есть проблема с системой обнаружения вторжений Snort, что означает проблемы для некоторого другого программного обеспечения безопасности Cisco, которое полагается на нее.

Также есть уязвимость проверки сертификации в ThousandEyes Endpoint Agent для macOS и RoomOS (программное обеспечение Cisco для оборудования для конференц-залов), которая позволяет удаленному и неаутентифицированному пользователю ложно подтвердить себя как доверенный хост. Системы ThousandEyes Windows на данный момент безопасны.

Наконец, SAP выпустила 14 исправлений для своих систем в этом месяце с двумя критическими, одной высокой серьезностью и тремя средними недостатками в NetWeaver Application Server для ABAP и более новых версиях платформы ABAP. Также есть три уязвимости средней степени серьезности в SAP GUI для Windows, Java и Netweaver, которые следует исправить.

Хотя мы упомянули много гадостей выше, это не самый страшный месяц исправлений, о которых мы сообщили. Но это не повод для самоуспокоения, поскольку злоумышленники, несомненно, уже попытаются перевернуть календарь со вторника исправлений на среду эксплойтов. ®