Поделиться
Positive Technologies представила февральский дайджест трендовых уязвимостей
В феврале 2025 г. эксперты Positive Technologies отнесли к трендовым восемь уязвимостей. Это недостатки безопасности в продуктах Microsoft, операционных системах FortiOS и прокси-сервисе FortiProxy, программе для архивирования файлов 7-Zip. Об этом CNews сообщили представители Positive Technologies.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения MaxPatrol VM, в которую информация об угрозах поступает в течение 12 ч с момента их появления.
Уязвимости Windows, описанные ниже, согласно данным The Verge потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (в том числе Windows 11 и Windows 10).
Удаленное выполнение кода в механизме поиска и обнаружения серверов в сети Windows Lightweight Directory Access Protocol (LDAP Nightmare)
CVE-2024-49112 (CVSS — 9,8)
Эксплуатируя уязвимость, злоумышленник отправляет запрос DCE/RPC[1] на LDAP-сервер[2] жертвы. Устройство жертвы в ответ на запрос ищет в сети IP-адрес полученного имени узла (атакующего). При получении IP-адреса жертва становится клиентом LDAP, отправляет запрос атакующему. Ответ злоумышленника CLDAP с определенным значением вызывает сбой службы LSASS[3] за счет переполнения. Он, в свою очередь, может привести к простоям, утечкам данных, выполнению произвольного кода злоумышленником и особенно опасен для тех, кто использует технологию Active Directory[4].
Чтобы защититься, пользователям необходимо обновить ПО, пользуясь рекомендациями Microsoft. В качестве временных мер защиты эксперты рекомендуют публиковать RPC и LDAP внешне через SSL и сегментацию сети.
Уязвимости повышения привилегий в компоненте для связи между узлами ОС и виртуальными машинами контейнерного типа Hyper-V NT Kernel Integration VSP
CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 (CVSS — 7,8)
Уязвимости были обнаружены в компоненте Hyper-V NT Kernel Integration, используемом для связи между уздами ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard. При этом уязвимость CVE-2025-21333 связана с переполнением кучи, а CVE-2025-21334 и CVE-2025-21335 — с использованием памяти после освобождения. Эксплуатируя уязвимости, злоумышленник может получить привилегии уровня SYSTEM — максимальные на узлах системы. Это может позволить атакующему перемещаться по сети, заражать устройства вредоносным ПО, получить полный контроль над системой.
Уязвимость с выполнением удаленного кода OLE[5]
CVE-2025-21298 (CVSS — 9,8)
Для эксплуатации злоумышленнику необходимо направить жертве специальным образом созданный RTF-файл[6]. При открытии файла жертва запускает обработку вредоносного кода, что может привести к утечке конфиденциальной информации и потере контроля над оборудованием.
Уязвимость выполнения вредоносного кода в Microsoft Configuration Manager
CVE-2024-43468 (CVSS — 9,8)
Злоумышленник с помощью SQL-внедрения[7] создает нового пользователя с правами администратора (отправляет запрос от лица клиента, внедрив в этот запрос вредоносный скрипт). Таким образом, будучи неаутентифицированным пользователем, злоумышленник может получить полный контроль над системой, выполнив код на узле жертвы. При эксплуатации уязвимости на устройство может быть загружено вредоносное ПО с целью кражи, шифрования или распространения данных.
Исследователи Synacktiv советуют прибегнуть к проверке папки C:\Program Files\SMS_CCM\Logs\MP_Location.log на наличие записей в журнале для UpdateSFRequest, XML-сообщений и ошибок при выполнении операции getMachineID().
Чтобы защититься, необходимо установить обновления безопасности, которые представлены на официальных страницах Microsoft: CVE-2024-49112, CVE-2025-21333, CVE-2025-21334, CVE-2025-21335, CVE-2024-43468, CVE-2025-21298.
Уязвимость в модуле websocket Node.js в операционных системах FortiOS и FortiProxy
CVE-2024-55591 (CVSS — 9,6)
Исследователи CloudSEK сообщают, что эта уязвимость затронула 15 тыс. устройств по всему миру: пользователей FortiOS 7.0.0–7.0.16, FortiProxy 7.0.0–7.0.19, 7.2.0–7.2.12.
Эксплуатация уязвимости позволяет злоумышленнику отправить специальный запрос, после чего — получить привилегии уровня super-admin, предоставляющие доступ к управлению сетью. Результатом эксплуатации уязвимости может стать компрометация учетных данных, подмена сертификатов управления устройством.
Чтобы защититься, необходимо обновить системы FortiOS 7.0 до 7.0.17 и выше, FortiProxy 7.0 — до 7.0.20 и выше, FortiProxy 7.2 — до 7.2.13 и выше, а также следовать рекомендациям Fortinet.
Уязвимость обхода механизма безопасности Mark of the Web[8] в программе для архивации файлов 7-Zip
CVE-2025- 0411 (CVSS — 7,0)
Согласно данным SourceForge, до выпуска обновления было скачано около 430 млн копий программы, все устройства с устаревшей версией 7-Zip потенциально уязвимы.
Уязвимость связана с некорректной постановкой метки Mark of the Web в версиях 7-Zip до версии 24.09. При скачивании архива, содержащего в себе 7z-архив с вредоносным ПО, функция SmartScreen Microsoft Defender не сообщает о наличии в архиве подозрительных файлов. При извлечении файлов из созданного архива, который имеет Mark of the Web, 7-Zip не распространяет метку на извлеченные файлы, а значит, и для Microsoft Defender файлы будут выглядеть безопасными. В результате эксплуатации уязвимости злоумышленник может удаленно выполнить вредоносный код. Это может привести к установке вредоносного ПО на уязвимое устройство, утечке конфиденциальных данных.
Чтобы защититься, необходимо обновить 7-Zip до версии 24.09 и выше, а также использовать функции безопасности в операционной системе.
Поделиться
Короткая ссылка
