Хабр, привет! На связи Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили 11 трендовых уязвимостей:
Уязвимости в Microsoft
Уязвимость повышения привилегий в Cloud Files Mini Filter Driver (CVE-2024-30085);
Уязвимость спуфинга Microsoft Windows File Explorer (CVE-2025-24071)
Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT (CVE-2025-24985);
Уязвимость удаленного выполнения кода в файловой системе Windows NTFS (CVE-2025-24993);
Уязвимость обхода функции безопасности консоли управления Microsoft (CVE-2025-26633);
Уязвимость повышения привилегий подсистемы ядра Windows Win32 (CVE-2025-24983).
Уязвимости в VMware
Уязвимость произвольной записи в VMware ESXi и Workstation (CVE-2025-22224);
Уязвимость произвольной записи память в VMware ESXi (CVE-2025-2222);
Уязвимость разглашения информации в VMware ESXi, Workstation и Fusion (CVE-2025-22226).
Уязвимость в Apache
Уязвимость удаленного выполнения кода в Apache Tomcat (CVE-2025-24813).
Уязвимость в Kubernetes
Уязвимость удаленного выполнения кода в компоненте Kubernetes Ingress NGINX Controller (CVE-2025-1974)
Разберем 6 уязвимостей в продуктах Microsoft.
Уязвимости в продуктах Microsoft
Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Начнём с самой старой, исправленной в рамках июньского Microsoft Patch Tuesday 2024 года.
Уязвимость повышения привилегий в Cloud Files Mini Filter Driver
💥 CVE-2024-30085 (оценка по CVSS - 7.8; высокий уровень опасности)
cldflt.sys – это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились в компьютере. Уязвимость этого драйвера позволяет атакующему получить привилегии SYSTEM. Причина уязвимости – Heap-based Buffer Overflow (CWE-122).
🔻 Приватный эксплойт был представлен на конкурсе TyphoonPWN 2024 30 мая 2024 года. Его использовали в составе цепочки эксплоитов для осуществления побега из виртуальной машины под управлением VMware workstation (Guest-to-Host-Escape).
🔻 19 декабря 2024 года техническое описание и код эксплойта были опубликованы на сайте SSD Secure Disclosure.
🔻 3 марта в нашем блоге выходила статья, в котором рассматриваются корни уязвимости и техники эксплуатации.
Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает фактов эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован эксплойт.
Компенсирующие меры. Исследователи из Ogma в качестве компенсирующих мер предлагают:
✅ сегментировать сеть;
✅ внедрить и реализовать принцип наименьших привилегий (PoLP);
✅ улучшить мониторинг для обнаружения подозрительной активности.
Теперь рассмотрим уязвимости 5 уязвимостей из мартовского Patch Tuesday.
Начнём с самой опасной, для которой есть публичные эксплойты:
Уязвимость спуфинга Microsoft Windows File Explorer
💥 CVE-2025-24071 (оценка по CVSS – 7.5; высокий уровень опасности)
Уязвимость из мартовского Microsoft Patch Tuesday. В момент публикации Microsoft Patch Tuesday, 11 марта, VM-вендоры не выделяли её в своих обзорах. VM-вендоры не выделяли её в своих обзорах. Спустя неделю, 18 марта, в блоге исследователя 0x6rss вышел write-up по этой уязвимости и PoC эксплойта. По его словам, уязвимость активно эксплуатируется вживую и, возможно, эксплойт для этой уязвимости продавался в даркнете с ноября прошлого года.
В чём суть? Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удалённую SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2 хеш, попробовать подобрать по нему пароль его или использовать в атаках pass-the-hash. Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно. Это может значительно повысит эффективность фишинговых атак злоумышленников 😱
Признаки эксплуатации: Microsoft на момент публикации дайджеста отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован PoC.
Компенсирующие меры: специалисты из Freebuf рекомендуют в качестве дополнительных мер защиты включать подписывание SMB и отключать NTLM там, где это возможно.
Теперь посмотрим на уязвимости, для которых нет публичных эксплойтов. Первые две уязвимости аналогичны по вектору эксплуатации, различаются только типом уязвимой файловой системы:
Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT
💥 CVE-2025-24985 (оценка по CVSS – 7.8; высокий уровень опасности)
Целочисленное переполнение или циклический переход (Integer Overflow or Wraparound, CWE-190) в драйвере Fast FAT ОС Windows позволяет неавторизованному злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.
Уязвимость удаленного выполнения кода в файловой системе Windows NTFS
💥 CVE-2025-24993 (оценка по CVSS – 7.8; высокий уровень опасности)
Переполнение буфера в куче (Heap-based Buffer Overflow, CWE-122) в файловой системе Windows NTFS позволяет несанкционированному злоумышленнику выполнить код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.
Ещё одна уязвимость также требует открытия зловредного файла.
Уязвимость обхода функции безопасности консоли управления Microsoft
💥 CVE-2025-26633 (оценка по CVSS – 7.0; высокий уровень опасности)
Консоль управления Microsoft (MMC) – компонент ОС Windows, который используется для создания, сохранения и открытия консолей администрирования для управления оборудованием, программным обеспечением и сетевыми компонентами Windows. MMC позволяет сохранять коллекцию настроек в виде файлов MSC. Для эксплуатации уязвимости злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC файл, что, согласно ZDI, приведёт к выполнению кода в контексте текущего пользователя. Для эксплуатации уязвимости злоумышленники могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы. Исследователи Trend Micro связывают случаи эксплуатации уязвимости с деятельностью группировки EncryptHub (также известной как Water Gamayun и Larva-208).
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.
Компенсирующие меры: эксперты с Cvecrowd советуют блокировать .msc и .vhd файлы на средствах безопасности электронной почты, веб-прокси и межсетевом экране, а также производить мониторинг подозрительных действий в системе.
И, наконец, классическая уязвимость повышения привилегий.
Уязвимость повышения привилегий подсистемы ядра Windows Win32
💥 CVE-2025-24983 (оценка по CVSS – 7.0; высокий уровень опасности)
Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации уязвимости злоумышленнику необходимо выиграть «race condition». Уязвимость была обнаружена исследователями ESET. Они нашли эксплойт для CVE-2025-24983 на системах, скомпрометированных с использованием бэкдора PipeMagic.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.
Компенсирующие меры: специалисты из Feedly рекомендуют минимизировать привилегии локальных пользователей.
Способ устранения описанных выше уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft – CVE-2024-30085, CVE-2025-24983, CVE-2025-24993, CVE-2025-24985, CVE-2025-26633, CVE-2025-24071.
Закончили с Windows, перейдем к уязвимостям VMware.
Уязвимости в продуктах VMware
Бюллетень безопасности вендора вышел 4 марта. Все три уязвимости зарепортили эксперты из Microsoft Threat Intelligence Center. Для этих уязвимостей были признаки эксплуатации вживую и они были добавлены в CISA KEV.
По мнению исследователя Кевина Бомонта, эти уязвимости образуют цепочку уязвимостей, названную "ESXicape". Эксплуатируя её, злоумышленник, имеющий возможность запускать код на виртуальной машине, "может повысить уровень доступа к гипервизору ESX". Потенциально это позволяет скомпрометировать всю виртуализованную инфраструктуру организации.
Уязвимости касаются VMX процесса (Virtual Machine Executable), который выполняется в VMkernel и отвечает за обработку ввода-вывода на устройствах, не критичных к производительности. VMX также отвечает за взаимодействие с пользовательскими интерфейсами, менеджерами снапшотов и удаленной консолью.
Уязвимость произвольной записи в VMware ESXi и Workstation
💥 CVE-2025-22224 (оценка по CVSS – 9.3; критический уровень опасности)
Уязвимость состояния гонки TOCTOU (Time-of-Check Time-of-Use) в VMware ESXi и Workstation (CVE-2025-22224), приводящая к записи за пределами допустимого диапазона ("out-of-bounds write"). Злоумышленник с локальными административными привилегиями на виртуальной машине может выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).
Уязвимость произвольной записи память в VMware ESXi
💥 CVE-2025-22225 (оценка по CVSS – 8.2; высокий уровень опасности)
Уязвимость произвольной записи в память (Arbitrary Write) в VMware ESXi (CVE-2025-22225). Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведёт к побегу из "песочницы".
Уязвимость разглашения информации в VMware ESXi, Workstation и Fusion
💥 CVE-2025-22226 (оценка по CVSS – 7.1; высокий уровень опасности)
Причина уязвимости чтение за пределами допустимого диапазона (out-of-bounds read) в HGFS. VMware HGFS (Host-Guest File System) – это функция, которая позволяет использовать общие папки между хостовой и гостевой операционными системами в виртуальной машине VMware. Злоумышленник с административными привилегиями на виртуальной машине может извлекать содержимое памяти процесса VMX.
Признаки эксплуатации: в Kubernetes не отмечают факты эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован POC.
Потенциальные жертвы: согласно исследователям Wiz, уязвимость затрагивает более 6500 кластеров, находящихся в интернете.
Способы устранения, компенсирующие меры. Следуя рекомендациям Kubernetes,
✅ обновитесь до новой версии патча Ingress-nginx
✅ отключите функцию проверки контроллера допуска ingress-nginx.
Осталось 2 уязвимости: в Apache Tomcat и Kubernetes.
Уязвимость удаленного выполнения кода в Apache Tomcat
💥 CVE-2025-24813 (оценка по CVSS - 9.8; критический уровень опасности)
Apache Tomcat – открытое ПО, предоставляющее платформу для запуска веб-приложений, написанных на языке Java. Уязвимость позволяет удалённому неаутентифицированному злоумышленнику послать на сервер произвольный файл для его последующего выполнения. Причина уязвимости – ошибки в обработке загружаемых файлов сессий и механизме десериализации.
🔻 Бюллетень вендора вышел 10 марта. В нём отмечается, что два условия, необходимые для эксплуатации ("writes enabled for the default servlet" и "file based session persistence with the default storage location") не выполняются в инсталляциях по умолчанию.
🔻 Разбор уязвимости на основе анализа патча и PoC эксплоита были опубликованы 11 марта. Полноценные эксплоиты доступны на GitHub с 13 марта.
🔻 С 17 марта есть признаки эксплуатации уязвимости вживую. 👾 1 апреля уязвимость добавили в CISA KEV.
Уязвимость исправлена в версиях 9.0.99, 10.1.35 и 11.0.3.
Признаки эксплуатации: Apache отмечают факты эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе был опубликован POC.
Потенциальные жертвы: согласно исследованию Rapid7 на github было обнаружено около 200 публично доступных уязвимых серверов.
Способы устранения, компенсирующие меры: согласно рекомендациям Apache необходимо обновить системы до версий Apache Tomcat 9.0.99, Apache Tomcat 10.1.35, Apache Tomcat 11.0.3 или более поздних.
Уязвимость удаленного выполнения кода в компоненте Kubernetes Ingress NGINX Controller
💥 CVE-2025-1974 (оценка по CVSS – 9.8; критический уровень опасности)
Неаутентифицированный злоумышленник с доступом к сети подов может выполнить произвольный код в контексте контроллера ingress-nginx. Это может привести к утечке секретов, доступных контроллеру. А при стандартной установке контроллер имеет доступ ко всем секретам кластера.
🔹 24 марта в блоге компании Wiz вышел write-up по этой уязвимости, названной IngressNightmare (наряду с CVE-2025-1097, CVE-2025-1098 и CVE-2025-24514). Исследователи Wiz зафиксировали 6500 уязвимых контроллеров, доступных непосредственно из Интернет 😱 Кроме того, в блоге Kubernetes сообщают, что сеть подов часто может быть доступна для всех рабочих нагрузок в частном облаке (VPC), или даже для всех, кто подключен к корпоративной сети. А сам ingress-nginx используется в 40% кластеров Kubernetes.
🔹 С 25 марта для этой уязвимости доступен публичный эксплойт на GitHub 😈 Обновите ingress-nginx до версий v1.12.1, v1.11.5 или выше!
Признаки эксплуатации: Kubernetes не отмечают факты эксплуатации уязвимости
Публично доступные эксплойты: в открытом доступе был опубликован POC
Потенциальные жертвы: согласно исследователям Wiz, уязвимость затрагивает более 6500 кластеров, находящихся в интернете
Способы устранения, компенсирующие меры. Следуя рекомендациям Kubernetes,
✅ обновитесь до новой версии патча Ingress-nginx;
✅ отключите функцию проверки контроллера допуска ingress-nginx.
Как защититься
🔐 Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.
Александр Леонов
Ведущий эксперт PT Expert Security Center
