Компания Microsoft устранила 126 уязвимостей, затрагивавших ее системы и основные продукты, включая уязвимость нулевого дня в общей файловой системе журналов Windows (CLFS), которая активно эксплуатировалась в серии атак программ-вымогателей, сообщила компания в своем последнем обновлении безопасности во вторник.
Группа, отслеживаемая Microsoft как Storm-2460, использовала уязвимость CVE-2025-29824 для запуска атак с использованием программ-вымогателей «против небольшого числа целей», говорится в опубликованной во вторник аналитической записке Microsoft Threat Intelligence . Среди жертв атак — организации в сфере IT и недвижимости в США, финансовый сектор в Венесуэле, испанская софтверная компания и сектор розничной торговли в Саудовской Аравии, сообщает Microsoft.
Microsoft заявила, что не уверена, как Storm-2460 получил первоначальный доступ к устройствам в этих сетях, но отметила, что успешная эксплуатация уязвимости программного обеспечения позволяет злоумышленнику, работающему под учётной записью обычного пользователя, повысить привилегии. Уязвимость нулевого дня, которую Storm-2460 внедрил с помощью вредоносного ПО PipeMagic, имеет оценку CVSS 7,8.
«Злоумышленники, занимающиеся программами-вымогателями, ценят эксплойты, позволяющие им повысить привилегии после компрометации, поскольку они позволяют им расширить первоначальный доступ, включая передачу данных от обычных распространителей вредоносного ПО, до уровня привилегированного», — заявили исследователи Microsoft Threat Intelligence в своем блоге. «Затем они используют привилегированный доступ для повсеместного развертывания и детонации программ-вымогателей в среде».
Майк Уолтерс, президент и соучредитель Action1, сказал, что уязвимость CVE-2025-29824 «имеет важное значение, поскольку она затрагивает основной компонент Windows, влияя на широкий спектр сред, включая корпоративные системы и критическую инфраструктуру».
По словам Уолтерса, злоумышленники могут воспользоваться этой уязвимостью, чтобы получить наивысшие привилегии в системе Windows. Это позволяет злоумышленникам устанавливать вредоносное ПО, изменять системные файлы и параметры реестра, отключать функции безопасности, получать доступ к конфиденциальным данным и сохранять постоянный доступ, что приводит к полной компрометации системы и горизонтальному перемещению вредоносного кода по сетям, добавил Уолтерс.
По словам Сатнама Наранга, старшего инженера-исследователя Tenable, уязвимости CLFS часто встречаются в ежемесячных обновлениях безопасности Microsoft. «С 2022 года Microsoft исправила 32 уязвимости CLFS, в среднем по 10 в год, и шесть из них были эксплуатированы», — сообщил Наранг в электронном письме.
«Уязвимости CLFS, связанные с повышением привилегий, за последние годы стали особенно популярны среди операторов программ-вымогателей», — сказал Наранг. «Хотя уязвимости удалённого выполнения кода неизменно занимают лидирующие позиции в общем показателе эксплуатируемых уязвимостей «вторника патчей», для эксплуатируемых уязвимостей нулевого дня ситуация обратная. В течение последних двух лет уязвимости, связанные с повышением привилегий, лидировали по этому показателю, и в 2025 году на них пришлось более половины всех эксплуатируемых уязвимостей нулевого дня».
По словам Наранга, более 40% уязвимостей, исправленных Microsoft во вторник, позволяют злоумышленникам повышать привилегии.
Пакет исправлений, выпущенный Microsoft в этом месяце, стал четвертым ежемесячным обновлением безопасности поставщика, включающим более 100 уязвимостей за последний год, и вторым набором с трехзначным числом дефектов в 2025 году на данный момент.
«Впервые за многие годы ни одна из уязвимостей не имеет общедоступного доказательства концепции», — сказал Уолтерс.
Восемнадцать уязвимостей в обновлении безопасности этого месяца затрагивают Microsoft Office и отдельные продукты Office. Все программные дефекты, затрагивающие Microsoft Office, относятся к высокой степени серьёзности, и Microsoft обозначила три из них — CVE-2025-29792 , CVE-2025-29793 и CVE-2025-29794 — как «более вероятно» эксплуатируемые.
В целом, Microsoft заявила, что 11 из исправленных ею в этом месяце уязвимостей «более вероятно» будут эксплуатироваться. Этот набор наиболее опасных уязвимостей включает в себя две высокосерьёзные программные ошибки — CVE-2025-27480 и CVE-2025-27482 , — которые могут позволить удалённое выполнение кода в службе шлюза удалённых рабочих столов.
Группа, отслеживаемая Microsoft как Storm-2460, использовала уязвимость CVE-2025-29824 для запуска атак с использованием программ-вымогателей «против небольшого числа целей», говорится в опубликованной во вторник аналитической записке Microsoft Threat Intelligence . Среди жертв атак — организации в сфере IT и недвижимости в США, финансовый сектор в Венесуэле, испанская софтверная компания и сектор розничной торговли в Саудовской Аравии, сообщает Microsoft.
Microsoft заявила, что не уверена, как Storm-2460 получил первоначальный доступ к устройствам в этих сетях, но отметила, что успешная эксплуатация уязвимости программного обеспечения позволяет злоумышленнику, работающему под учётной записью обычного пользователя, повысить привилегии. Уязвимость нулевого дня, которую Storm-2460 внедрил с помощью вредоносного ПО PipeMagic, имеет оценку CVSS 7,8.
«Злоумышленники, занимающиеся программами-вымогателями, ценят эксплойты, позволяющие им повысить привилегии после компрометации, поскольку они позволяют им расширить первоначальный доступ, включая передачу данных от обычных распространителей вредоносного ПО, до уровня привилегированного», — заявили исследователи Microsoft Threat Intelligence в своем блоге. «Затем они используют привилегированный доступ для повсеместного развертывания и детонации программ-вымогателей в среде».
Майк Уолтерс, президент и соучредитель Action1, сказал, что уязвимость CVE-2025-29824 «имеет важное значение, поскольку она затрагивает основной компонент Windows, влияя на широкий спектр сред, включая корпоративные системы и критическую инфраструктуру».
По словам Уолтерса, злоумышленники могут воспользоваться этой уязвимостью, чтобы получить наивысшие привилегии в системе Windows. Это позволяет злоумышленникам устанавливать вредоносное ПО, изменять системные файлы и параметры реестра, отключать функции безопасности, получать доступ к конфиденциальным данным и сохранять постоянный доступ, что приводит к полной компрометации системы и горизонтальному перемещению вредоносного кода по сетям, добавил Уолтерс.
По словам Сатнама Наранга, старшего инженера-исследователя Tenable, уязвимости CLFS часто встречаются в ежемесячных обновлениях безопасности Microsoft. «С 2022 года Microsoft исправила 32 уязвимости CLFS, в среднем по 10 в год, и шесть из них были эксплуатированы», — сообщил Наранг в электронном письме.
«Уязвимости CLFS, связанные с повышением привилегий, за последние годы стали особенно популярны среди операторов программ-вымогателей», — сказал Наранг. «Хотя уязвимости удалённого выполнения кода неизменно занимают лидирующие позиции в общем показателе эксплуатируемых уязвимостей «вторника патчей», для эксплуатируемых уязвимостей нулевого дня ситуация обратная. В течение последних двух лет уязвимости, связанные с повышением привилегий, лидировали по этому показателю, и в 2025 году на них пришлось более половины всех эксплуатируемых уязвимостей нулевого дня».
По словам Наранга, более 40% уязвимостей, исправленных Microsoft во вторник, позволяют злоумышленникам повышать привилегии.
Пакет исправлений, выпущенный Microsoft в этом месяце, стал четвертым ежемесячным обновлением безопасности поставщика, включающим более 100 уязвимостей за последний год, и вторым набором с трехзначным числом дефектов в 2025 году на данный момент.
«Впервые за многие годы ни одна из уязвимостей не имеет общедоступного доказательства концепции», — сказал Уолтерс.
Восемнадцать уязвимостей в обновлении безопасности этого месяца затрагивают Microsoft Office и отдельные продукты Office. Все программные дефекты, затрагивающие Microsoft Office, относятся к высокой степени серьёзности, и Microsoft обозначила три из них — CVE-2025-29792 , CVE-2025-29793 и CVE-2025-29794 — как «более вероятно» эксплуатируемые.
В целом, Microsoft заявила, что 11 из исправленных ею в этом месяце уязвимостей «более вероятно» будут эксплуатироваться. Этот набор наиболее опасных уязвимостей включает в себя две высокосерьёзные программные ошибки — CVE-2025-27480 и CVE-2025-27482 , — которые могут позволить удалённое выполнение кода в службе шлюза удалённых рабочих столов.
