«Вторник Патчей», январь 2025: Microsoft исправила 159 проблем безопасности, в том числе 8 уязвимостей «нулевого дня»

Также исправлено 12 критических проблем безопасности, связанных с раскрытием информации, повышением привилегий и удаленным выполнением кода.

Классификация уязвимостей по типу:

• 40 уязвимостей повышения привилегий
• 14 уязвимостей обхода функций безопасности
• 58 уязвимостей удаленного выполнения кода
• 24 уязвимости раскрытия информации
• 20 уязвимостей отказа в обслуживании
• 5 уязвимостей спуфинга

Для установки доступны следующие обновления:

Windows

Windows LTSC

• Обновление KB5050009 (Build 26100.2894) для Windows 11 LTSC 2024
• Обновление KB5049981 (Build 19044.5371) для Windows 10 LTSC 2021
• Обновление KB5050008 (Build 17763.6775) для Windows 10 LTSC 2019

Windows Server

• Обновление KB5050009 (Build 26100.2894) для Windows Server 2025
• Обновление KB5050009 (Build 26100.2894) для Windows Server, версия 24H2
• Обновление KB5049984 (OS Build 25398.1369) для Windows Server, версия 23H2
• Обновление KB5049983 (Build 20348.3091) для Windows Server 2022
• Обновление KB5050008 (Build 17763.6775) для Windows Server 2019
• Обновление KB5049993 (Build 14393.7699) для Windows Server 2016

Исправлены 8 уязвимостей «нулевого дня»

В этот «Вторник Патчей» в общей сложности исправлено три активно эксплуатируемые и пять публично раскрытых уязвимостей нулевого дня.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Активно эксплуатируемые уязвимости включают:

• CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 — уязвимости повышения привилегий в Windows Hyper-V NT Kernel Integration VSP

Microsoft исправила три уязвимости повышения привилегий в Windows Hyper-V,

которые использовались в атаках для получения привилегий SYSTEM на устройствах с Windows.

Информация о том, как эти уязвимости эксплуатировались, не была опубликована, и все они были раскрыты анонимно. Учитывая близкие идентификаторы, вероятно, уязвимости были обнаружены или использованы в рамках одних и тех же атак.

Публично раскрытые уязвимости включают:

• CVE-2025-21275 — уязвимость повышения привилегий в Windows App Package Installer

Microsoft устранила уязвимость повышения привилегий в Windows App Package Installer, которая могла привести к получению привилегий SYSTEM.

В бюллетени по безопасности сообщается:

Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить привилегии SYSTEM

• CVE-2025-21308 — уязвимость подмены тем в Windows

Microsoft исправила уязвимость в темах Windows, которая могла быть использована путем отображения специально созданного файла темы в Проводнике Windows.

В бюллетени по безопасности сообщается:

Злоумышленник должен убедить пользователя загрузить вредоносный файл в уязвимую систему, обычно через электронную почту или мессенджер, а затем заставить пользователя манипулировать этим файлом, но не обязательно открывать или запускать его.

Уязвимость была обнаружена исследователем из 0patch (ACROS Security) и является обходом предыдущей уязвимости CVE-2024-38030. В октябре 0patch выпустила микропатчи для этой уязвимости в ожидании исправления от Microsoft.

Когда файл темы отображается в Проводнике Windows и использует параметры BrandImage и Wallpaper с сетевым путем, Windows автоматически отправляет запросы на аутентификацию удаленному хосту, включая NTLM-учетные данные вошедшего пользователя. Эти NTLM-хэши могут быть использованы для атак «pass-the-hash» или взлома паролей в открытом виде.

Microsoft отмечает, что в качестве мер снижения рисков можно отключить NTLM или включить политику «Restrict NTLM: Outgoing NTLM traffic to remote servers».

• CVE-2025-21186,  CVE-2025-21366, CVE-2025-21395— уязвимости удаленного выполнения кода в Microsoft Access

Microsoft исправила три уязвимости удаленного выполнения кода в Microsoft Access, которые активируются при открытии специально созданных документов Microsoft Access.

Для устранения проблемы Microsoft заблокировала доступ к следующим типам файлов Microsoft Access, если они отправлены по электронной почте:

• accdb
• accde
• accdw
• accdt
• accda
• accdr
• accdu

Эти уязвимости были обнаружены платформой Unpatched.ai, использующей ИИ для поиска уязвимостей.

Обновления от других компаний

• Компания Adobe выпустила обновления безопасности для ряда продуктов: Photoshop, Substance3D Stager и Designer, Adobe Illustrator для iPad и Adobe Animate.
• Компания Cisco выпустила обновления безопасности для нескольких продуктов, включая Cisco ThousandEyes Endpoint Agent и Cisco Crosswork Network Controller.
• Ivanti выпустила обновления безопасности для уязвимости нулевого дня в Connect Secure, которая использовалась в атаках для установки модифицированного вредоносного ПО на устройства.
• Компания Fortinet выпустила обновление безопасности против уязвимости обхода аутентификации нулевого дня в FortiOS и FortiProxy, которая эксплуатировалась в атаках с ноября.
• Сервис GitHub выпустил обновления безопасности для двух уязвимостей в Git.
• Компания Moxa выпустила обновления безопасности для уязвимостей высокой и критической степени опасности в своих устройствах для промышленной сети и сетевой связи.
• ProjectDiscovery выпустила обновления безопасности против уязвимости в Nuclei, которая позволяла вредоносным шаблонам обходить проверку подписи.
• Компания SAP выпустила обновления безопасности для нескольких продуктов, включая исправления для двух критических уязвимостей в SAP NetWeaver.
• SonicWall выпустила патчи против уязвимости обхода аутентификации в SSL VPN и SSH-управлении, которая «подвержена реальной эксплуатации».
• Zyxel выпустил обновления безопасности для исправления уязвимости неправильного управления привилегиями в веб-интерфейсе.