Хабр, привет! И вновь на связи я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

В новый дайджест мы отнесли к трендовым восемь уязвимостей:

Уязвимости в Microsoft

? Уязвимость, позволяющая выполнить удаленный код, в Windows Lightweight Directory Access Protocol (CVE-2024-49112).

? Уязвимости, связанные с повышением привилегий, в Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335).

? Уязвимость, позволяющая выполнить удаленный код, в Windows OLE (CVE-2025-21298).

? Уязвимость, связанная с повышением привилегий, в Microsoft Configuration Manager (CVE-2024-43468).

Уязвимость в Fortinet

? Уязвимость, связанная с повышением привилегий, в модуле Node.js в FortiOS и FortiProxy (CVE-2024-55591).

Уязвимость в 7-Zip

? Уязвимость, позволяющая выполнить удаленный код, в 7-Zip (CVE-2025-0411).

Уязвимости в продуктах Microsoft Windows

Уязвимости Windows, описанные ниже,  согласно данным The Verge, потенциально затрагивают более миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Удаленное выполнение кода в Windows Lightweight Directory Access Protocol (LDAP Nightmare)

? CVE-2024-49112 (оценка по CVSS - 9.8; критический уровень опасности)

Уязвимость из декабрьского Microsoft Patch Tuesday. Через три недели, 1 января, исследователи из компании SafeBreach выпустили write-up по этой уязвимости, обозначенной ими как LDAPNightmare, а также PoC эксплойта.

Эксплойт вызывает принудительную перезагрузку уязвимых Windows-серверов. Необходимое условие - DNS-сервер контроллера домена-жертвы должен иметь доступ к Интернет.

Эксплуатации уязвимости связана с DCE/RPC. Эта технология, которая позволяет программистам заниматься разработкой распределённого программного обеспечения, как будто это все работает на том же компьютере, не отвлекаясь на работу с сетью. Атака начинается с отправки DCE/RPC запроса на Windows-сервер жертвы, вызывающего сбой LSASS (Local Security Authority Subsystem Service) и принудительную перезагрузку сервера, когда злоумышленник отправляет специальный реферальный пакет ответа CLDAP (Connectionless Lightweight Directory Access Protocol).

Но это же DoS, а где RCE? ? Исследователи отмечают, что RCE можно добиться модификацией CLDAP пакета.

Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Компенсирующие меры:

       ? пользователям необходимо обновить ПО, пользуясь рекомендациями,

       ? в качестве временных мер защиты эксперты рекомендуют публиковать RPC и LDAP внешне через SSL и сегментацию сети.

Уязвимости повышения привилегий в Hyper-V NT Kernel Integration VSP

? CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 (CVSS – 7.8; высокий уровень опасности)
Эти три уязвимости из январского Microsoft Patch Tuesday. У них одинаковое описание. Все они были найдены в компоненте, используемом для связи между хостовой ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard (MDAG).

Эксплуатация уязвимостей позволяет получить привилегии System. Microsoft отдельно отмечают, что речь идёт именно о локальном повышении привилегий на хостовой системе, а не о побеге из гостевой системы в хостовую.

Есть признаки эксплуатации уязвимости в реальных атаках. Публичных эксплоитов пока нет..

Единственная разница в описании уязвимостей, в том, что CVE-2025-21333 вызвана Heap-based Buffer Overflow, а CVE-2025-21334 и CVE-2025-21335 – Use After Free.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимостей. Кроме того, CISA добавили эти уязвимости в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Уязвимость с выполнением удаленного кода OLE

? CVE-2025-21298 (оценка по CVSS – 9.8; критический уровень опасности)

Уязвимость из январского Microsoft Patch Tuesday. OLE (Object Linking and Embedding) - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Наглядный пример использования этой технологии - открытие таблицы Excel в документе Word.

В чём суть этой уязвимости? Код злоумышленника выполняется на хосте жертвы при открытии специального RTF-документа или при открытии специального email-сообщения в почтовом клиенте Microsoft Outlook (в том числе и в preview-режиме). Во втором случае от жертвы не требуется никаких действий кроме клика по сообщению. ?‍♂️ Microsoft рекомендуют настроить просмотр сообщений в Outlook только в plain text. Для этого нужно в настройках Outlook в разделе Email Security поставить галочку «Read all standard mail in plain text».

20 января на GitHub появился PoC эксплоита, демонстрирующий Memory Corruption при открытии RTF-документа. Теперь ждём и RCE-эксплойт для Outlook. ?

Сообщений об атаках пока не было.

Устраните уязвимость в приоритетном порядке!

Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Компенсирующие меры: рекомендуется читать сообщения по почте в текстовом формате.

Уязвимость RCE в Microsoft Configuration Manager

? CVE-2024-43468 (оценка по CVSS – 9.8; критический уровень опасности)

Уязвимость из октябрьского Microsoft Patch Tuesday 2024 года. Microsoft Configuration Manager (ConfigMgr) используется для управления большими группами компьютеров: удаленного контроля, патчинга, развертывания ОС, установки ПО, и т.д.

Согласно описанию Microsoft, уязвимость позволяла неаутентифицированному злоумышленнику выполнять команды на уровне сервера или базы данных через специальные запросы к Management Point.

Эксперты Synacktiv раскрыли подробности через 100 дней после октябрьского MSPT – 16 января. Проблема была в сервисе MP_Location, который небезопасно обрабатывал клиентские сообщения. Это позволило реализовывать SQL-инъекции и выполнять произвольные запросы к БД с максимальными правами. В том числе выполнять команды на сервере через xp_cmdshell. ?‍♂️

Публичные эксплоиты доступны на GitHub. Сообщений об эксплуатации вживую пока не было.

Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Компенсирующие меры: исследователи из Synacktiv советуют прибегнуть к проверке папки C:\Program Files\SMS_CCM\Logs\MP_Location.log на наличие записей в журнале для UpdateSFRequest XML-сообщений и ошибок при выполнении операции getMachineID(). 

Способы устранения: поставьте обновления безопасности,  скачав их на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-49112, CVE-2025-21333, CVE-2025-21334, CVE-2025-21335, CVE-2024-43468, CVE-2025-21298.

Уязвимость в модуле websocket Node.js в FortiOS и FortiProxy

? CVE-2024-55591 (оценка по CVSS – 9.8; критический уровень опасности)

Уязвимость позволяет удаленному злоумышленнику получить привилегии суперадминистратора с помощью специальных запросов к модулю Node.js websocket. Уязвимости подвержены сетевые устройства Fortinet под управлением FortiOS (включая FortiGate NGFW), а также решения FortiProxy.

? 10 января Arctic Wolf сообщили об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. ? Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.

? 14 января вышел бюллетень вендора. Уязвимость добавили в CISA KEV.

? С 21 января на GitHub доступен публичный эксплойт.

? По состоянию на 26 января Shadow Server фиксируют около 45 000 уязвимых устройств, доступных из Интернет.

Вендор рекомендует обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).

Признаки эксплуатации: Fortinet отмечает случаи эксплуатации уязвимости.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Потенциальные жертвы: исследователи сообщают, что данная уязвимость затронула 15000 устройств по всему миру, а именно пользователей FortiOS 7.0.0 – 7.0.16, FortiProxy 7.0.0 – 7.0.19, 7.2.0-7.2.12.

Способы устранения, компенсирующие меры:

? Обновление системы FortiOS 7.0 до 7.0.17 и выше, FortiProxy 7.0 до 7.0.20 и выше, FortiProxy 7.2 до 7.2.13 и выше.

Исследователи Fortinet сообщают о компенсирующих мерах:

? Устраните административного интерфейса HTTP/HTTPS.

? Ограничьте IP адреса, которые могут пользоваться административными интерфейсами, через локальные процессы.

?Замените имя администратора на нестандартное.

? При компрометации сети немедленно замените учетные данные, ротацию сертификатов, аудит и перенастройку брендмауэров.

Уязвимость обхода Mark-of-the-Web в 7-Zip

? CVE-2025-0411 (CVSS – 7.0; высокий уровень опасности)

7-Zip – популярный бесплатный архиватор с открытым исходным кодом. Он широко используется в организациях в качестве стандартного средства для работы с архивами.

Уязвимость заключается в обходе механизма Mark-of-the-Web.

Если вы в Windows скачаете подозрительный исполняемый файл и запустите его, то функция SmartScreen Microsoft Defender-а отработает и заблокирует запуск файла из ненадёжного источника.

А если вы скачаете 7z архив, содержащий вложенный 7z архив со зловредом, то сможете в три дабл-клика запустить исполняемый файл и SmartScreen не сработает.  Причина в том, что 7-Zip до версии 24.09, вышедшей 30 ноября 2024 года, некорректно проставлял метку Mark-of-the-Web на распакованные файлы. На GitHub есть пример эксплоита.

Признаков эксплуатации уязвимости вживую пока нет. Но, скорее всего, они появятся, так как это простой способ повысить эффективность фишинговых атак. Обновите 7-Zip!

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Потенциальные жертвы: согласно данным SourceForge, до ноября (даты выпуска обновления) было скачано около 430 миллионов копий программы, все устройства с устаревшей версией 7-zip потенциально уязвимы.

Способы устранения, компенсирующие меры:

       ? Обновите 7-Zip до версии 24.09 и выше.

       ? Используйте функций безопасности в операционной системе.

☂️ Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall, которые позволяют обезопасить общедоступные ресурсы.

В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 января 2024 года.

Александр Леонов

Ведущий эксперт PT Expert Security Center