Всвоем последнем обновлении безопасности во вторник компания Microsoft сообщила, что устранила 72 уязвимости, затрагивавшие ее основные продукты и базовые системы, включая пять активно эксплуатируемых уязвимостей нулевого дня в различных компонентах Windows.
«Это уже восьмой вторник обновлений подряд, когда Microsoft публикует информацию об уязвимостях нулевого дня, не оценивая ни одну из них как критическую на момент публикации», — сообщил в электронном письме Адам Барнетт, ведущий инженер-программист Rapid7.
Уязвимости нулевого дня — CVE-2025-30397 , CVE-2025-30400 , CVE-2025-32701 , CVE-2025-32706 и CVE-2025-32709 — получили оценку от 7,5 до 7,8 по шкале CVSS. Две из них, CVE-2025-32701 и CVE-2025-32706, представляют собой дефекты в системе драйверов файлов журналов Windows (CLFS), продолжая «непрерывную династию, эксплуатация которой обычно приводит к повышению привилегий до уровня SYSTEM», — сказал Барнетт.
Во вторник Агентство по кибербезопасности и безопасности инфраструктуры (CISA) добавило все пять уязвимостей в свой список известных эксплуатируемых уязвимостей (KEV).
Майк Уолтерс, президент и соучредитель Action1, заявил, что злоумышленники могут использовать пару новых уязвимостей нулевого дня в CLFS, чтобы получить «полный контроль над выполнением произвольного кода, установкой вредоносного ПО, изменением данных или отключением средств защиты. Учитывая низкую сложность и минимальные требуемые привилегии, эти уязвимости представляют серьёзный риск, особенно учитывая подтверждённую эксплуатацию в реальных условиях».
Барнетт выразил благодарность Центру анализа угроз Microsoft за то, что он приложил больше усилий для обнаружения и пресечения эксплуатации CLFS. «Конечно, поскольку Microsoft осведомлён о случаях эксплуатации уязвимостей в реальных условиях, мы знаем, что кто-то другой сделал это первым, и нет оснований полагать, что злоумышленники в ближайшее время прекратят искать способы злоупотребления CLFS».
По словам Сатнама Наранга, старшего инженера-исследователя компании Tenable, эксплойты нулевого дня CVE-2025-32701 и CVE-2025-32706, вероятно, были частью деятельности после взлома, которая представляла собой либо целенаправленный шпионаж, либо финансово мотивированную деятельность, такую как развертывание программ-вымогателей.
В апреле компания Microsoft заявила, что группа вирусов-вымогателей, которую она отслеживает как Storm-2460, использовала уязвимость нулевого дня в CLFS ( CVE-2025-29824 ) против организаций в сфере ИТ и недвижимости в США, финансового сектора в Венесуэле, испанской софтверной компании и сектора розничной торговли в Саудовской Аравии.
По словам Наранга, одна из новых уязвимостей нулевого дня — уязвимость использования после освобождения, затрагивающая диспетчер окон рабочего стола Windows (DWM), CVE-2025-30400, — знаменует собой медленный и устойчивый рост числа атак нулевого дня, нацеленных на уязвимости повышения привилегий в базовой библиотеке DWM для Windows.
«До CVE-2025-30400 только две ошибки повышения привилегий DWM эксплуатировались как уязвимости нулевого дня — CVE-2024-30051 в 2024 году и CVE-2023-36033 в 2023 году», — сообщил Наранг в электронном письме.
Оставшиеся уязвимости нулевого дня в обновлении безопасности этого месяца включают: ошибку повышения привилегий в драйвере вспомогательных функций Windows для API сокетов Windows (WinSock), CVE-2025-32709; и ошибку повреждения памяти скрипта в Microsoft Scripting Engine, CVE-2025-30397.
Исследователи утверждают, что, хотя CVE-2025-30397 является уязвимостью нулевого дня, позволяющей удаленно выполнить код, ее широкое использование маловероятно, поскольку предварительные условия для эксплуатации сложны.
«Хотя атака требует взаимодействия с пользователем и отличается высокой сложностью, она остаётся перспективным направлением для продвинутых злоумышленников, включая представителей государственных структур, способных разрабатывать надёжные эксплойты», — заявил Алекс Вовк, генеральный директор и соучредитель Action1. «Активная эксплуатация уязвимости уже наблюдалась в реальных условиях, что подчёркивает необходимость срочного реагирования».
Пакет раскрытий и исправлений CVE в ежемесячном обновлении безопасности Microsoft включает пять критических уязвимостей и 50 дефектов высокой степени серьёзности. Согласно первоначальным оценкам CVSS, четыре наиболее критических дефекта программного обеспечения включают CVE-2025-29813, CVE-2025-29827, CVE-2025-29972 и CVE-2025-30387.
Восемнадцать уязвимостей в обновлении безопасности этого месяца затрагивают Microsoft Office и отдельные продукты Office. Все программные дефекты, затрагивающие Microsoft Office, относятся к высокой степени серьёзности, и Microsoft обозначила три из них — CVE-2025-29792 , CVE-2025-29793 и CVE-2025-29794 — как «более вероятно» эксплуатируемые.
В целом, Microsoft заявила, что восемь из исправленных ею в этом месяце уязвимостей «с большей вероятностью» будут эксплуатироваться. Этот набор наиболее опасных уязвимостей включает в себя две высокосерьёзные программные ошибки — CVE-2025-29976 и CVE-2025-30382, — которые могут позволить повышение привилегий и удалённое выполнение кода в Microsoft SharePoint Server соответственно.
«Это уже восьмой вторник обновлений подряд, когда Microsoft публикует информацию об уязвимостях нулевого дня, не оценивая ни одну из них как критическую на момент публикации», — сообщил в электронном письме Адам Барнетт, ведущий инженер-программист Rapid7.
Уязвимости нулевого дня — CVE-2025-30397 , CVE-2025-30400 , CVE-2025-32701 , CVE-2025-32706 и CVE-2025-32709 — получили оценку от 7,5 до 7,8 по шкале CVSS. Две из них, CVE-2025-32701 и CVE-2025-32706, представляют собой дефекты в системе драйверов файлов журналов Windows (CLFS), продолжая «непрерывную династию, эксплуатация которой обычно приводит к повышению привилегий до уровня SYSTEM», — сказал Барнетт.
Во вторник Агентство по кибербезопасности и безопасности инфраструктуры (CISA) добавило все пять уязвимостей в свой список известных эксплуатируемых уязвимостей (KEV).
Майк Уолтерс, президент и соучредитель Action1, заявил, что злоумышленники могут использовать пару новых уязвимостей нулевого дня в CLFS, чтобы получить «полный контроль над выполнением произвольного кода, установкой вредоносного ПО, изменением данных или отключением средств защиты. Учитывая низкую сложность и минимальные требуемые привилегии, эти уязвимости представляют серьёзный риск, особенно учитывая подтверждённую эксплуатацию в реальных условиях».
Барнетт выразил благодарность Центру анализа угроз Microsoft за то, что он приложил больше усилий для обнаружения и пресечения эксплуатации CLFS. «Конечно, поскольку Microsoft осведомлён о случаях эксплуатации уязвимостей в реальных условиях, мы знаем, что кто-то другой сделал это первым, и нет оснований полагать, что злоумышленники в ближайшее время прекратят искать способы злоупотребления CLFS».
По словам Сатнама Наранга, старшего инженера-исследователя компании Tenable, эксплойты нулевого дня CVE-2025-32701 и CVE-2025-32706, вероятно, были частью деятельности после взлома, которая представляла собой либо целенаправленный шпионаж, либо финансово мотивированную деятельность, такую как развертывание программ-вымогателей.
В апреле компания Microsoft заявила, что группа вирусов-вымогателей, которую она отслеживает как Storm-2460, использовала уязвимость нулевого дня в CLFS ( CVE-2025-29824 ) против организаций в сфере ИТ и недвижимости в США, финансового сектора в Венесуэле, испанской софтверной компании и сектора розничной торговли в Саудовской Аравии.
По словам Наранга, одна из новых уязвимостей нулевого дня — уязвимость использования после освобождения, затрагивающая диспетчер окон рабочего стола Windows (DWM), CVE-2025-30400, — знаменует собой медленный и устойчивый рост числа атак нулевого дня, нацеленных на уязвимости повышения привилегий в базовой библиотеке DWM для Windows.
«До CVE-2025-30400 только две ошибки повышения привилегий DWM эксплуатировались как уязвимости нулевого дня — CVE-2024-30051 в 2024 году и CVE-2023-36033 в 2023 году», — сообщил Наранг в электронном письме.
Оставшиеся уязвимости нулевого дня в обновлении безопасности этого месяца включают: ошибку повышения привилегий в драйвере вспомогательных функций Windows для API сокетов Windows (WinSock), CVE-2025-32709; и ошибку повреждения памяти скрипта в Microsoft Scripting Engine, CVE-2025-30397.
Исследователи утверждают, что, хотя CVE-2025-30397 является уязвимостью нулевого дня, позволяющей удаленно выполнить код, ее широкое использование маловероятно, поскольку предварительные условия для эксплуатации сложны.
«Хотя атака требует взаимодействия с пользователем и отличается высокой сложностью, она остаётся перспективным направлением для продвинутых злоумышленников, включая представителей государственных структур, способных разрабатывать надёжные эксплойты», — заявил Алекс Вовк, генеральный директор и соучредитель Action1. «Активная эксплуатация уязвимости уже наблюдалась в реальных условиях, что подчёркивает необходимость срочного реагирования».
Пакет раскрытий и исправлений CVE в ежемесячном обновлении безопасности Microsoft включает пять критических уязвимостей и 50 дефектов высокой степени серьёзности. Согласно первоначальным оценкам CVSS, четыре наиболее критических дефекта программного обеспечения включают CVE-2025-29813, CVE-2025-29827, CVE-2025-29972 и CVE-2025-30387.
Восемнадцать уязвимостей в обновлении безопасности этого месяца затрагивают Microsoft Office и отдельные продукты Office. Все программные дефекты, затрагивающие Microsoft Office, относятся к высокой степени серьёзности, и Microsoft обозначила три из них — CVE-2025-29792 , CVE-2025-29793 и CVE-2025-29794 — как «более вероятно» эксплуатируемые.
В целом, Microsoft заявила, что восемь из исправленных ею в этом месяце уязвимостей «с большей вероятностью» будут эксплуатироваться. Этот набор наиболее опасных уязвимостей включает в себя две высокосерьёзные программные ошибки — CVE-2025-29976 и CVE-2025-30382, — которые могут позволить повышение привилегий и удалённое выполнение кода в Microsoft SharePoint Server соответственно.
