Майский «В тренде VM»: уязвимости в Microsoft Windows и фреймворке Erlang/OTP / forpes.ru

Главная
Майский «В тренде VM»: уязвимости в Microsoft Windows и фреймворке Erlang/OTP

Майский «В тренде VM»: уязвимости в Microsoft Windows и фреймворке Erlang/OTP +7

16.05.2025 11:25

ptsecurity 0 248 Источник

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это такие уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 4 трендовых уязвимости:

Уязвимости Microsoft

Уязвимость повышения привилегий в драйвере подсистемы журналирования CLFS.sys (CVE-2025-29824)
Уязвимость повышения привилегий в компоненте управление обновлениями Windows Update Stack (CVE-2025-21204)
Уязвимость, связанная с раскрытием хэша NTLMv2 (CVE-2025-24054)

Уязвимость Erlang

Уязвимость удаленного выполнения кода в библиотеке Erlang/OTP SSH (CVE-2025-32433)

Сперва разберем 3 уязвимости в продуктах Microsoft.

Уязвимости в продуктах Microsoft

Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Уязвимость повышения привилегий в драйвере подсистемы журналирования CLFS.sys

? CVE-2025-29824 (оценка по CVSS – 7.8; высокий уровень опасности)

Уязвимость из апрельского Microsoft Patch Tuesday. Ее эксплуатация позволяет злоумышленнику, работающему под учетной записью обычного пользователя, повысить свои привилегии до уровня SYSTEM.

? По данным Microsoft, уязвимость использовалась в атаках на организации в США, Венесуэле, Испании и Саудовской Аравии. Эксплойт был встроен в малварь PipeMagic, используемую группировкой Storm-2460 для распространения шифровальщиков.

? 7 мая исследователи Symantec сообщили технические подробности по ещё одному эксплойту для этой уязвимости от группировки Balloonfly, использующей шифровальщик Play. Эксплойт применялся до 8 апреля в атаке на организацию из США.

? А есть ли публичные эксплоиты? БДУ ФСТЭК считает, что да. NVD тоже приводит «ссылки на эксплоиты», но там содержатся скрипты для детекта и митигации. В сплоитпаках и на GitHub пока пусто.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Признаки эксплуатации: как сообщила компания Microsoft, уязвимость использовалась группировкой вымогателей RansomEXX (Storm-2460). Отмечается, что недостаток применялся в небольшом числе атак, однако были затронуты компании, работающие в сферах ИТ и недвижимости в США, финансовом секторе Венесуэлы, в сфере разработки ПО в Испании и секторе розничной торговли в Саудовской Аравии. Исследователи из Symantec сообщили об эксплуатации этой уязвимости группой вымогателей Play (также известной как Balloonfly) в атаке на организацию из США, которая была проведена еще до публичного раскрытия уязвимости и ее исправления. Кроме того, CISA добавила уязвимость в каталог KEV.

Затронутые версии: все версии, но по заявлению Microsoft, эксплуатация уязвимости не затронула Windows 11 24H2, даже если проблема присутствовала в системе.

Уязвимость повышения привилегий в компоненте управление обновлениями Windows Update Stack

? CVE-2025-21204 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость из апрельского Microsoft Patch Tuesday. VM-вендоры никак не выделяли её в своих обзорах. Это уязвимость в компоненте Windows Update Stack. Она связана с неверным определением ссылки перед доступом к файлу (CWE-59).

? 14 апреля исследователь Elli Shlomo (CYBERDOM) выложил техническое описание уязвимости и код эксплойта для получения привилегий SYSTEM. Однако 27 апреля, после сообщений о неработоспособности эксплойта, он его удалил, пообещав доработать. ? Эксплуатабельность пока под вопросом.

? 22 апреля исследователь Kevin Beaumont сообщил, что исправление этой уязвимости, связанное с созданием папки, приводит к новой уязвимости отказа в обслуживании, позволяющей пользователям без привилегий администратора блокировать установку обновлений безопасности Windows. В Microsoft ему ответили, что оперативно исправлять это не будут. ?‍♂️ Пока стоит решать это настройкой мониторинга.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Уязвимость, связанная с раскрытием хэша NTLMv2

? CVE-2025-24054 (оценка по CVSS — 6,5; средний уровень опасности)

Эта уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры никак не выделяли её в своих обзорах. Было известно только то, что уязвимость эксплуатируется через взаимодействие жертвы со зловредным файлом.

Через месяц, 16 апреля в блоге Check Point вышел пост с техническими деталями. Там сообщается, что для эксплуатации этой уязвимости используются зловредные файлы…

✋ Минуточку, а ведь в мартовском MSPT была трендовая уязвимость CVE-2025-24071, связанная с такими файлами. ? Выясняется, что это та же самая уязвимость. ? CheckPoint сообщают: «Microsoft had initially assigned the vulnerability the CVE identifier CVE-2025-24071, but it has since been updated to CVE-2025-24054». ?‍♂️ Так что по технике переадресую к прошлому посту.

? Начиная с 19 марта, Check Point отследили около 11 вредоносных кампаний, направленных на сбор NTLMv2-SSP хешей, эксплуатирующих эту уязвимость.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Признаки эксплуатации: по сообщениям Check Point, всего через восемь дней после исправления уязвимости компанией Microsoft была обнаружена ее первая эксплуатация. Кампания была направлена на государственные и частные учреждения в Польше и Румынии. Для распространения вредоносного файла преступники использовали ссылки на Dropbox, где хранился архив. Примечательно, что один из файлов в архиве был направлен на эксплуатацию уязвимости CVE-2024-43451, которая также связана с раскрытием хеша NTLMv2. Подробнее об этой уязвимости можно узнать в нашем ноябрьском дайджесте. В более поздних кампаниях, направленных на организации по всему миру, вредоносные файлы рассылались без архива. CISA добавила уязвимость в каталог KEV как активно эксплуатируемую.

Способ устранения описанных выше уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft – CVE-2025-29824, CVE-2025-24054, CVE-2025-21204.

И закончим уязвимостью, которая может касаться множества сетевых устройств.

Уязвимость во фреймворке Erlang

Уязвимость удаленного выполнения кода в библиотеке Erlang/OTP SSH

? CVE-2025-32433 (оценка по CVSS — 10,0; критический уровень опасности)

Erlang – язык программирования для построения масштабируемых систем мягкого реального времени с требованиями высокой доступности. Используется в телекоммуникациях, банковской сфере, e-commerce, компьютерной телефонии и мессенджерах. OTP – набор Erlang-библиотек, предоставляющий middleware для разработки таких систем.

Уязвимость обработки сообщений в SSH-сервере Erlang/OTP позволяет неаутентифицированному злоумышленнику выполнить произвольный код. Код выполняется в контексте SSH-демона. Если демон запущен от root-а, это дает полный контроль над устройством.

? Бюллетень вендора вышел 16 апреля. Безопасные версии: OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.

? Уже 17 апреля в блоге Platform Security появился write-up и PoC эксплойта (разработанный с использование AI).

? Уязвимости подвержены устройства Cisco. И, наверняка, не только они. ?

? Признаков эксплуатации вживую пока нет.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе был опубликован PoC. При этом, как сообщает исследователь безопасности Мэтт Кили, он создал PoC-эксплойт при помощи ИИ.

Количество потенциальных жертв: По данным поисковой системы Shodan, Erlang/OTP работает более чем на 600 тысячах IP-адресов. Однако утверждается, что большинство этих устройств работают под управлением CouchDB, которая не подвержена уязвимости. Уязвимость затрагивает некоторые продукты компании Cisco, а также ряд других решений.

Способы устранения, компенсирующие меры: компания Erlang рекомендует клиентам обновиться до последней исправленной версии: OTP-27.3.3 (для OTP-27), OTP-26.2.5.11 (для OTP-26) или OTP-25.3.2.20 (для OTP-25). В случае невозможности немедленного обновления в качестве временного решения рекомендуется отключить SSH-сервер или ограничить доступ через правила брандмауэра.

⚔️ Как защититься ⚔️

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.

На этом все. До встречи через месяц в новом дайджесте трендовых уязвимостей.

Александр Леонов

Ведущий эксперт PT Expert Security Center