Хабр, привет! На связи Александр Леонов из PT Expert Security Center, дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили 3 трендовые уязвимости:
Уязвимости Microsoft
Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut (CVE-2025-33053)
Уязвимость, связанная с повышением привилегий, в SMB-клиенте (CVE-2025-33073)
Уязвимость Roundcube
Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube (CVE-2025-49113)
Начнём, как обычно, с уязвимостей Windows.
Уязвимости в продуктах Microsoft
Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut
💥 CVE-2025-33053 (оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимость из июньского Microsoft Patch Tuesday. Эта уязвимость сразу имела признаки эксплуатации вживую. Эксплуатация уязвимости позволяет удалённому злоумышленнику выполнить произвольный код при открытии жертвой специального .url-файла, доставленного, например, в ходе фишинговой атаки.
🔹 Уязвимость зарепортили исследователи из компании Check Point. В день июньского Microsoft Patch Tuesday (10 июня) на их сайте были опубликованы технические детали. Уязвимость эксплуатировалась APT-группой Stealth Falcon как минимум с марта 2025 года. Эксплуатация уязвимости приводила к загрузке и запуску вредоносного ПО (Horus Agent) с WebDAV-сервера злоумышленника.
🔹 Эксплойты для уязвимости доступны на GitHub с 12 июня.
Признаки эксплуатации: исследователи из Check Point сообщили об эксплуатации уязвимости APT-группировкой Stealth Falcon в атаке на турецкую оборонную компанию. Атака была проведена еще до публичного раскрытия информации об уязвимости, в итоге злоумышленники заразили жертву вредоносным ПО. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Уязвимость, связанная с повышением привилегий, в SMB-клиенте
💥 CVE-2025-33073 (оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимость из июньского Microsoft Patch Tuesday. Для эксплуатации уязвимости злоумышленник может выполнить вредоносный скрипт, чтобы заставить хост жертвы подключиться к атакующему серверу по SMB и пройти аутентификацию. В результате злоумышленник может получить привилегии SYSTEM.
🔹 Детали эксплуатации уязвимости были опубликованы 11 июня (на следующий день после MSPT) на сайтах компаний RedTeam Pentesting и Synacktiv.
🔹 Эксплойты для уязвимости доступны на GitHub с 15 июня.
🔹 Исследователи PT ESC подтвердили эксплуатабельность уязвимости и 24 июня опубликовали ликбез, варианты эксплуатации и информацию по методам детектирования.
Помимо установки обновления, для устранения уязвимости необходимо настроить принудительное требование подписи SMB для SMB-служб контроллеров и рабочих станций.
Информации об эксплуатации вживую пока нет.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2025-33053, CVE-2025-33073).
Закончим трендовой уязвимостью в Roundcube.
Уязвимости в продукте Roundcube
Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube
💥 CVE-2025-49113 (оценка по CVSS — 9,9; критический уровень опасности)
Roundcube – популярный веб-клиент для работы с электронной почтой (IMAP) с открытым исходным кодом. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольный код на сервере Roundcube Webmail. Причина уязвимости – Deserialization of Untrusted Data (CWE-502).
🔹 1 июня вендор выпустил исправленные версии 1.6.11 и 1.5.10. В течение 48 часов патч был проанализирован злоумышленниками и сообщения о продаже эксплойта появились в даркнете.
🔹 3 июня эксперты PT SWARM воспроизвели уязвимость.
🔹 С 5 июня публичные эксплойты доступны на GitHub.
🔹 6 июня Кирилл Фирсов, исследователь, зарепортивший эту уязвимость, опубликовал подробный write-up. В нём он утверждает, что уязвимость присутствовала в коде 10 лет и что есть признаки её публичной эксплуатации.
🔹 16 июня появились сообщения об успешной атаке на немецкого почтового хостинг-провайдера с использованием этой уязвимости.
Признаки эксплуатации: предполагается, что атака на почтового хостинг-провайдера Cock.li была совершена с использованием этой уязвимости.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: Roundcube широко распространен в хостинг-среде (GoDaddy, Hostinger, OVH), входит в состав панелей управления (cPanel, Plesk и других), применяется в государственном и образовательном секторах, сфере технологий. По данным Censys, на момент написания статьи обнаружено около 2,5 миллионов экземпляров Roundcube Webmail. Как сообщили эксперты Shadowserver, по состоянию на 8 июня выявлено около 84 тысяч уязвимых экземпляров Roundcube, большинство из них — в США, Германии и Индии. По данным CyberOK, в России наблюдается более 78 тысяч уникальных инсталляций Roundcube Webmail, около 85% которых уязвимы.
Способы устранения, компенсирующие меры: согласно рекомендации Roundcube, необходимо обновить ПО до одной из исправленных версий (1.6.11 или 1.5.10).
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организациям.
Узнавать об актуальных недостатках безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
На этом всё. До встречи в новом дайджесте трендовых уязвимостей через месяц.
Александр Леонов
Ведущий эксперт PT Expert Security Center
