Два «крита» в Windows: как эксперты Positive Technologies спасли мир миллионы устройств

Лето 2025 года началось с неприятного сюрприза для пользователей Windows — Microsoft экстренно выпустила патчи для двух опасных уязвимостей, найденных исследователями из Positive Technologies. Обе баги могли привести к серьезным последствиям: от краха системы до полного захвата контроля над компьютером. 

VHD-файл как билет в админ-клуб 

💥 Недостаток безопасности CVE-2025-49689 получил оценку 7,8 балла по шкале CVSS 3.1. 

Сергей Тарасов, руководитель группы анализа уязвимостей в экспертном центре безопасности Positive Technologies (PT Expert Security Center, PT ESC) Positive Technologies обнаружил, что злоумышленник может получить полный контроль над вашим компьютером, если вы откроете специально подготовленный виртуальный диск (VHD). 

📌 Как это работает? Вам присылают «безобидный» VHD-файл (например, якобы архив с документами). Вы его открываете — и вуаля, злоумышленник уже админ в вашей системе.

📌 Где прячется угроза? В драйвере файловой системы NTFS. Затронуты Windows 10, 11 и серверные версии.

Статистика страха: Таких уязвимых устройств в сети — 1,5+ миллиона, больше всего в США и Китае. 

У Сергея есть подробная статья на эту тему в блоге команды PT SWARM.

📌 Что делать? 

• Срочно обновиться. 

• Не открывать VHD-файлы от неизвестных отправителей. 

Один клик — и система падает

💥 Уязвимость CVE-2025-49686 получила 7,8 балла по шкале CVSS 3.1 и затронула 17 операционных систем

Марат Гаянов (эксперт из PT ESC) нашел другую проблему: если запустить вредоносную программу, можно положить всю систему. 

📌 Суть бага: Ошибка в сетевом драйвере приводит к краху Windows. 

📌 Чем опасно? Представьте: сотрудник открывает «документ», и вся корпоративная сеть ложится. 

 ⚠️ Особо опасен для компаний — атака не требует прав админа. 

📌 Что делать? 

• Опять же — обновить Windows. 

• Использовать средства защиты для управления уязвимостями и EDR-решения для обнаружения атак. 

Positive Technologies vs Microsoft: из истории борьбы с багами 

Это не первый случай, когда российские эксперты помогают Microsoft закрывать дыры: 

• 2019 — обнаружили две критические уязвимости, дающие доступ к данным (CVE-2019-0726 и CVE-2019-0697). 

• 2024 — нашли баг, позволяющий стать админом (CVE-2024-43629).  

Вывод

Если вы еще не обновили Windows — сделайте это прямо сейчас. А если ваш IT-отдел говорит «и так сойдет», покажите им эту статью. 😉 

P.S. Интересно, сколько еще таких багов плавает в Windows?..

Positive Technologies представляет новую версию PT NAD 12.3. 

Главное в продукте: повышение производительности, плейбуки и возможность хранения метаданных в облаке.

🗓️ 5 июня на онлайн-запуске PT NAD 12.3 вы сможете узнать, как команда продукта трансформирует подход к обнаружению сетевых атак за счет централизованного управления, опции хранения метаданных в облаке и плейбуков. 

📌 Добавляйте слот в календарь: 5 июня, 14:00.

В программе:

🔻 Экспертиза: обновленные модули, репутационные списки и плейбуки — чтобы ваша команда могла быстрее реагировать на угрозы;

🔻 Центральная консоль: как сократить затраты на команду мониторинга и контролировать атаки во всех филиалах из единой точки;

🔻 «Облако» vs локальные хранилища: гибкое хранение метаданных для экономии денег без потери скорости;

🔻 Скорость: оптимизация производительности для ускорения анализа угроз и обработки трафика даже в крупных сетях. 

✍️ Регистрируйтесь на онлайн-запуск PT NAD 12.3 по ссылке.

📌 Добавляйте слот в календарь: 5 июня, 14:00

😍 Уже начали отмечать День всех влюбленных? Для нас это еще один повод порадовать близких людей, а для мошенников — запустить очередную схему обмана. Мы просто разные.

Из года в год «валентинки» от злоумышленников почти не меняются, разве что совершенствуются технически: фишинговые письма пишут не люди, а искусственный интеллект, фейковые сайты становятся все больше похожими на настоящие. Список потенциальных жертв тоже остается достаточно широким: в него входит все платежеспособное население разных возрастов.

Чтобы праздник не оказался испорченным, читайте советы Ирины Зиновкиной, руководителя направления аналитических исследований в Positive Technologies.

🐠 Как не попасться на удочку злоумышленников

«Удочка» в подзаголовке не просто так: фишинг — самая популярная схема «праздничного» обмана. Чаще всего ссылки в таких сообщениях ведут на фейковые сайты магазинов, где якобы можно купить цветы, украшения, технику и другие подарки по цене намного ниже рыночной. Покупая онлайн такой «товар», вы вводите свои личные и платежные данные, а в итоге лишаетесь денег и делитесь с злоумышленниками конфиденциальной информацией.

➡️  Чтобы застраховаться от этого, не переходите по сомнительным ссылкам и всегда проверяйте названия сайтов магазинов в адресной строке, а также не обращайте внимание на предложения в духе «iPhone за полцены» (никто не будет торговать себе в убыток).

💕  Как спасти праздничный вечер

Романтическое путешествие, поход в театр или на концерт любимого исполнителя тоже могут быть испорчены, если купленные билеты окажутся фейковыми. Причем обнаружиться это может уже в аэропорту или на входе в зал.

Перед праздниками мошенники могут также создавать фейковые сайты гостиниц, обещая дешевую бронь, что также может закончиться потерей денег и кражей данных.

➡️  Здесь совет простой: пользуйтесь проверенными сервисами (или официальными ресурсами поставщиков услуг) для покупки и бронирования, чтобы не получить вместо билета бесполезную бумажку и сорванное свидание.

💩 Как не влюбиться в того, кого не существует

Если перед праздником вы встретили на сайте знакомств или в каком-то тематическом канале ЕГО или ЕЁ — свой идеал — это тоже могут оказаться мошенники.

Информацию о том, какой человек будет для вас привлекательным, они могут найти в открытых источниках или, например, взломав аккаунты в соцсетях и прочитав переписку. А дальше — дело техники: создание симпатичного дипфейкового образа и поддержание коммуникации (возможно, при помощи специально обученного бота), чтобы жертва начала доверять «партнеру», с которым они ни разу не виделись вживую. Здесь тревожным звоночком может стать просьба о дорогом подарке или займе серьезной суммы денег.

➡️ Думаете, с вами такого не случится? Недавно французская дама развелась с мужем и отдала полученные при разводе более 800 000 евро фейковому Брэду Питту. Так что соблюдайте «принцип нулевого доверия», осторожнее общаясь с людьми, знакомыми вам только в онлайне.

😍 Даже когда в глазах сердечки, осторожность не помешает. Пусть ваш праздник пройдет романтично и безопасно!

А впереди еще много праздников, будьте осторожны и счастливы ❤️

Знаете ли вы все активы организации, через которые злоумышленники могут вас атаковать?

Мы активно развиваем направление asset management (управление активами), поэтому нам важно понять, как современные компании выстраивают его, какие инструменты и подходы используют. Это поможет адаптировать наши продукты под ваши потребности.

Если в вашей компании реализовано управления активами, расскажите в опросе, с какими проблемами вы сталкиваетесь в процессе и какие задачи должна решать автоматизированная система asset management.

Важна ли вам защищенность промышленного интернета вещей?

Мы активно разрабатываем технологии для безопасности industrial internet of things (IIoT). За счет быстрого распространения IoT-технологий риск взлома таких устройств и систем постоянно растет.

Если в вашей компании используется IIoT, ➡️ поделитесь мыслями и наблюдениями в опросе.

Ваши ответы помогут повысить зрелость технологий для безопасности интернета вещей и повлияют на функциональность нашего будущего решения. 

Давайте работать сообща в области исследования угроз, объектов защиты и методов обеспечения безопасности инфраструктуры IIoT🔒

VK повышает вознаграждение этичным хакерам до 7,2 млн рублей💸

Такие выплаты будут ждать исследователей безопасности программы «Почта, Облако и Календарь» с 30 июня по 30 июля 2023 года. Вознаграждение удвоится за все уязвимости, найденные на стороне сервера (server side).

🔥Максимальная награда за баг критического уровня опасности составит 7,2 миллиона рублей!

«Информационная безопасность — один из стратегических приоритетов для VK. Если говорить о выплатах в рамках нашей программы багбаунти, важно охватить всех исследователей, которые готовы искать новые уязвимости и получать вознаграждение. Такой инструмент, как повышение выплат, позволяет сосредоточиться на определенных продуктах и повысить их безопасность», — отметили в компании.

Всего на Standoff 365 Bug Bounty зарегистрировано 5700 исследователей, они сдали 2200 отчетов и получили более 32 млн рублей.

Начать искать баги и делать сервисы VK безопаснее можно прямо сейчас!