Хабр, привет! И вновь на связи я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
В новый дайджест мы отнесли к трендовым восемь уязвимостей:
Уязвимости в Microsoft
🔻 Уязвимость, позволяющая выполнить удаленный код, в Windows Lightweight Directory Access Protocol (CVE-2024-49112).
🔻 Уязвимости, связанные с повышением привилегий, в Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335).
🔻 Уязвимость, позволяющая выполнить удаленный код, в Windows OLE (CVE-2025-21298).
🔻 Уязвимость, связанная с повышением привилегий, в Microsoft Configuration Manager (CVE-2024-43468).
Уязвимость в Fortinet
🔻 Уязвимость, связанная с повышением привилегий, в модуле Node.js в FortiOS и FortiProxy (CVE-2024-55591).
Уязвимость в 7-Zip
🔻 Уязвимость, позволяющая выполнить удаленный код, в 7-Zip (CVE-2025-0411).
Уязвимости в продуктах Microsoft Windows
Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают более миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Удаленное выполнение кода в Windows Lightweight Directory Access Protocol (LDAP Nightmare)
👾 CVE-2024-49112 (оценка по CVSS - 9.8; критический уровень опасности)
Уязвимость из декабрьского Microsoft Patch Tuesday. Через три недели, 1 января, исследователи из компании SafeBreach выпустили write-up по этой уязвимости, обозначенной ими как LDAPNightmare, а также PoC эксплойта.
Эксплойт вызывает принудительную перезагрузку уязвимых Windows-серверов. Необходимое условие - DNS-сервер контроллера домена-жертвы должен иметь доступ к Интернет.
Эксплуатации уязвимости связана с DCE/RPC. Эта технология, которая позволяет программистам заниматься разработкой распределённого программного обеспечения, как будто это все работает на том же компьютере, не отвлекаясь на работу с сетью. Атака начинается с отправки DCE/RPC запроса на Windows-сервер жертвы, вызывающего сбой LSASS (Local Security Authority Subsystem Service) и принудительную перезагрузку сервера, когда злоумышленник отправляет специальный реферальный пакет ответа CLDAP (Connectionless Lightweight Directory Access Protocol).
Но это же DoS, а где RCE? 🤔 Исследователи отмечают, что RCE можно добиться модификацией CLDAP пакета.
Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает фактов эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Компенсирующие меры:
🔹 пользователям необходимо обновить ПО, пользуясь рекомендациями,
🔹 в качестве временных мер защиты эксперты рекомендуют публиковать RPC и LDAP внешне через SSL и сегментацию сети.
Уязвимости повышения привилегий в Hyper-V NT Kernel Integration VSP
👾 CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 (CVSS – 7.8; высокий уровень опасности)
Эти три уязвимости из январского Microsoft Patch Tuesday. У них одинаковое описание. Все они были найдены в компоненте, используемом для связи между хостовой ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard (MDAG).
Эксплуатация уязвимостей позволяет получить привилегии System. Microsoft отдельно отмечают, что речь идёт именно о локальном повышении привилегий на хостовой системе, а не о побеге из гостевой системы в хостовую.
Есть признаки эксплуатации уязвимости в реальных атаках. Публичных эксплоитов пока нет..
Единственная разница в описании уязвимостей, в том, что CVE-2025-21333 вызвана Heap-based Buffer Overflow, а CVE-2025-21334 и CVE-2025-21335 – Use After Free.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимостей. Кроме того, CISA добавили эти уязвимости в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.
Уязвимость с выполнением удаленного кода OLE
👾 CVE-2025-21298 (оценка по CVSS – 9.8; критический уровень опасности)
Уязвимость из январского Microsoft Patch Tuesday. OLE (Object Linking and Embedding) - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Наглядный пример использования этой технологии - открытие таблицы Excel в документе Word.
В чём суть этой уязвимости? Код злоумышленника выполняется на хосте жертвы при открытии специального RTF-документа или при открытии специального email-сообщения в почтовом клиенте Microsoft Outlook (в том числе и в preview-режиме). Во втором случае от жертвы не требуется никаких действий кроме клика по сообщению. 🤷♂️ Microsoft рекомендуют настроить просмотр сообщений в Outlook только в plain text. Для этого нужно в настройках Outlook в разделе Email Security поставить галочку «Read all standard mail in plain text».
20 января на GitHub появился PoC эксплоита, демонстрирующий Memory Corruption при открытии RTF-документа. Теперь ждём и RCE-эксплойт для Outlook. 😉
Сообщений об атаках пока не было.
Устраните уязвимость в приоритетном порядке!
Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Компенсирующие меры: рекомендуется читать сообщения по почте в текстовом формате.
Уязвимость RCE в Microsoft Configuration Manager
👾 CVE-2024-43468 (оценка по CVSS – 9.8; критический уровень опасности)
Уязвимость из октябрьского Microsoft Patch Tuesday 2024 года. Microsoft Configuration Manager (ConfigMgr) используется для управления большими группами компьютеров: удаленного контроля, патчинга, развертывания ОС, установки ПО, и т.д.
Согласно описанию Microsoft, уязвимость позволяла неаутентифицированному злоумышленнику выполнять команды на уровне сервера или базы данных через специальные запросы к Management Point.
Эксперты Synacktiv раскрыли подробности через 100 дней после октябрьского MSPT – 16 января. Проблема была в сервисе MP_Location, который небезопасно обрабатывал клиентские сообщения. Это позволило реализовывать SQL-инъекции и выполнять произвольные запросы к БД с максимальными правами. В том числе выполнять команды на сервере через xp_cmdshell. 🤷♂️
Публичные эксплоиты доступны на GitHub. Сообщений об эксплуатации вживую пока не было.
Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает фактов эксплуатации уязвимости.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Компенсирующие меры: исследователи из Synacktiv советуют прибегнуть к проверке папки C:\Program Files\SMS_CCM\Logs\MP_Location.log на наличие записей в журнале для UpdateSFRequest XML-сообщений и ошибок при выполнении операции getMachineID().
Способы устранения: поставьте обновления безопасности, скачав их на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-49112, CVE-2025-21333, CVE-2025-21334, CVE-2025-21335, CVE-2024-43468, CVE-2025-21298.
Уязвимость в модуле websocket Node.js в FortiOS и FortiProxy
👾 CVE-2024-55591 (оценка по CVSS – 9.8; критический уровень опасности)
Уязвимость позволяет удаленному злоумышленнику получить привилегии суперадминистратора с помощью специальных запросов к модулю Node.js websocket. Уязвимости подвержены сетевые устройства Fortinet под управлением FortiOS (включая FortiGate NGFW), а также решения FortiProxy.
📍 10 января Arctic Wolf сообщили об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. 👾 Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.
📍 14 января вышел бюллетень вендора. Уязвимость добавили в CISA KEV.
📍 С 21 января на GitHub доступен публичный эксплойт.
📍 По состоянию на 26 января Shadow Server фиксируют около 45 000 уязвимых устройств, доступных из Интернет.
Вендор рекомендует обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).
Признаки эксплуатации: Fortinet отмечает случаи эксплуатации уязвимости.
Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.
Потенциальные жертвы: исследователи сообщают, что данная уязвимость затронула 15000 устройств по всему миру, а именно пользователей FortiOS 7.0.0 – 7.0.16, FortiProxy 7.0.0 – 7.0.19, 7.2.0-7.2.12.
Способы устранения, компенсирующие меры:
🔹 Обновление системы FortiOS 7.0 до 7.0.17 и выше, FortiProxy 7.0 до 7.0.20 и выше, FortiProxy 7.2 до 7.2.13 и выше.
Исследователи Fortinet сообщают о компенсирующих мерах:
🔹 Устраните административного интерфейса HTTP/HTTPS.
🔹 Ограничьте IP адреса, которые могут пользоваться административными интерфейсами, через локальные процессы.
🔹Замените имя администратора на нестандартное.
🔹 При компрометации сети немедленно замените учетные данные, ротацию сертификатов, аудит и перенастройку брендмауэров.
Уязвимость обхода Mark-of-the-Web в 7-Zip
👾 CVE-2025-0411 (CVSS – 7.0; высокий уровень опасности)
7-Zip – популярный бесплатный архиватор с открытым исходным кодом. Он широко используется в организациях в качестве стандартного средства для работы с архивами.
Уязвимость заключается в обходе механизма Mark-of-the-Web.
Если вы в Windows скачаете подозрительный исполняемый файл и запустите его, то функция SmartScreen Microsoft Defender-а отработает и заблокирует запуск файла из ненадёжного источника.
А если вы скачаете 7z архив, содержащий вложенный 7z архив со зловредом, то сможете в три дабл-клика запустить исполняемый файл и SmartScreen не сработает. Причина в том, что 7-Zip до версии 24.09, вышедшей 30 ноября 2024 года, некорректно проставлял метку Mark-of-the-Web на распакованные файлы. На GitHub есть пример эксплоита.
Признаков эксплуатации уязвимости вживую пока нет. Но, скорее всего, они появятся, так как это простой способ повысить эффективность фишинговых атак. Обновите 7-Zip!
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Потенциальные жертвы: согласно данным SourceForge, до ноября (даты выпуска обновления) было скачано около 430 миллионов копий программы, все устройства с устаревшей версией 7-zip потенциально уязвимы.
Способы устранения, компенсирующие меры:
🔹 Обновите 7-Zip до версии 24.09 и выше.
🔹 Используйте функций безопасности в операционной системе.
☂️ Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall, которые позволяют обезопасить общедоступные ресурсы.
В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 января 2024 года.
Александр Леонов
Ведущий эксперт PT Expert Security Center
