Поделиться
Positive Technologies представила июльский дайджест трендовых уязвимостей
Эксперты Positive Technologies отнесли к трендовым еще три уязвимости: это недостатки безопасности в продуктах Microsoft и почтовом веб-клиенте Roundcube. Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Об этом CNews сообщили представители Positive Technologies.
Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Уязвимости в продуктах Microsoft
Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (с самых ранних и до Windows 10, Windows 11 включительно).
Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut CVE-2025-33053 (CVSS — 8,8).
Для эксплуатации необходимо, чтобы пользователь открыл подготовленный преступниками файл. В случае успеха злоумышленник способен удаленно выполнить код, а затем установить на устройство жертвы вредоносное ПО и развить атаку.
Уязвимость появляется из-за некорректной обработки рабочего каталога легитимными системными исполняемыми файлами. Как сообщают исследователи Check Point, преступники могут создать файл с расширением .url, параметр URL которого указывает на легитимный системный исполняемый файл, а рабочая директория (WorkingDirectory) — на путь к WebDAV-серверу, контролируемому злоумышленниками. Когда легитимный файл попытается запустить дополнительные процессы, Windows будет искать необходимые для этого исполняемые файлы сначала в текущей рабочей директории, контролируемой злоумышленниками, вместо системной папки. Это позволит подменить легитимные исполняемые файлы на их вредоносные версии с удаленного сервера.
Уязвимость, связанная с повышением привилегий, в SMB-клиенте CVE-2025-33073 (CVSS — 8,8)
Чтобы проэксплуатировать уязвимость, преступнику необходимо заставить уязвимое устройство подключиться к атакующему серверу по SMB и пройти аутентификацию по протоколу Kerberos. Далее билет Kerberos используется для повторной аутентификации по SMB на уязвимом узле. В результате полученная SMB-сессия имеет привилегии уровня SYSTEM — самые высокие в Windows. Это означает, что в случае успеха преступник может получить полный контроль над системой.
Кроме того, исследователи Synacktiv сообщили, что эксплуатация уязвимости возможна через протокол NTLM. Эксперты из PT Expert Security Center (PT ESC) подтвердили это и опубликовали подробный разбор, варианты эксплуатации и инструкции по обнаружению уязвимости.
Атака возможна в случае, если на стороне сервера не используется подпись SMB. Она применяется с версии Windows 11 24H2, но в серверных версиях Windows включена по умолчанию только на контроллерах домена.
Для того чтобы защититься, необходимо установить обновления безопасности (CVE-2025-33053, CVE-2025-33073).
Уязвимости в продукте Roundcube
Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube CVE-2025-49113 (CVSS — 9,9)
По данным Shadowserver, выявлено около 84 тыс. уязвимых экземпляров Roundcube, большинство из них — в США, Германии и Индии. По данным CyberOK, в России наблюдается более 78 тыс. уникальных инсталляций Roundcube Webmail, около 85% которых уязвимы.
Уязвимость оставалась незамеченной более десяти лет. Проблема связана с ошибкой десериализации объектов PHP. В результате успешной эксплуатации злоумышленник способен удаленно выполнить код, что может привести к полной компрометации сервера.
Хотя для эксплуатации необходимо аутентифицироваться в системе, для преступников это не является проблемой: злоумышленники писали, что действительные учетные данные можно получить с помощью атаки типа CSRF, анализа журналов или брутфорса.
Уже через несколько дней после выхода обновленной версии Roundcube злоумышленники проанализировали изменения и на их основании разработали и стали продавать на теневых форумах эксплойт для CVE-2025-49113.
Исследователям из PT SWARM удалось воспроизвести эксплуатацию уязвимости до публикации PoC. Эксперты призвали пользователей как можно скорее обновиться до последней версии Roundcube.
Для того чтобы защититься, необходимо обновить ПО до одной из исправленных версий (1.6.11 или 1.5.10).
Поделиться
Короткая ссылка
