05.08.2025 09:55
sea-team 0 275 Источник

Хабр, привет!

На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в июле 2025 года. В нем собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и их устранение должно быть в приоритете.

В июле было выделено три трендовые уязвимости:

Уязвимости RARLAB WinRAR

CVE-2025-6218 | BDU:2025-07480: Уязвимость удаленного выполнения кода через обход каталогов

Уровень критичности по оценке CVSS: 7.8

Вектор атаки: локальный

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости: 

В начале июля исследователь whs3-detonator сообщил об уязвимости в популярном архиваторе WinRAR до версии 7.11 включительно.

WinRAR ненадлежащим образом проверяет и очищает пути файлов от последовательностей обхода каталогов внутри архива. Это позволяет атакующему сформировать архив с файлами, путь к которым выходит за пределы целевой директории при распаковке.

Для доставки архива и инициирования распаковки файлов пользователем, атакующий может применить методы социальной инженерии.

Статус эксплуатации уязвимости:

Присутствует публичный PoC эксплойта на GitHub. На момент анализа упоминаний о фактических атаках не зафиксировано, однако этапы эксплуатации уязвимости не вызывают сложностей, что подтверждают наши эксперты.

Возможные негативные сценарии:

  • Размещение вредоносного скрипта (например, файл с расширением .bat) в директории автозагрузки Windows для выполнения произвольного кода в момент запуска системы.

  • Перезапись критически важных системных файлов в каталогах, таких как C:\Windows\System32, что может привести к повышению привилегий или нарушению функционирования системы.

  • Распространение вредоносного ПО в ИТ-инфраструктуре без ведома пользователя. Таким ПО могут оказаться: вымогатели, шифровальщики, шпионские программы или бэкдоры.

Рекомендации по устранению

Обновите программное обеспечение до версии WinRAR 7.12 и выше.

Уязвимости Google Chrome

CVE-2025-6558 | BDU:2025-08785: Уязвимость проверки ненадежных входных данных в ANGLE и GPU

Уровень критичности по оценке CVSS: 8.8

Вектор атаки: сетевой

Подтверждение вендоров:

Информация об эксплуатации

Описание уязвимости: 

Уязвимость в модулях ANGLE и GPU позволяет атакующему выходить за рамки песочницы Chrome, используя низкоуровневые операции графического процессора, которые браузеры обычно изолируют. 

Для эксплуатации уязвимости достаточно перейти на подготовленную веб-страницу без дополнительных действий от пользователя, что может привести к компрометации конечного устройства. Это упрощает путь начала целенаправленной атаки.

Также можно отметить, что уязвимости подвержены все браузеры на основе ядра Chromium.

Статус эксплуатации уязвимости:

В процессе анализа публичного эксплойта не обнаружено, при этом вендор заявляет об активной эксплуатации уязвимости в атаках, а также она добавлена в перечень CISA Kev.

Возможные негативные сценарии:

Успешная эксплуатация может привести к полной компрометации устройства: выполнению произвольного кода, краже данных или установке вредоносного ПО.

Рекомендации по устранению

  • Обновите программное обеспечение до версии 138.0.7204.157 и выше.

  • Проверьте наличие обновлений для других браузеров на базе Chromium.

Уязвимости Microsoft SharePoint Server

CVE-2025-53770 | BDU:2025-08714: Уязвимость удалённого выполнения кода через десериализацию в Microsoft SharePoint

Уровень критичности по оценке CVSS: 9.8

Вектор атаки: сетевой

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости: 

Причиной данной уязвимости являются ошибки в сериализации и десериализации ASPX файлов, которые используются для создания динамических веб-страниц, в рамках фреймворка ASP.NET, что может привести к удаленному выполнения кода и созданию веб-шелла. 

Rapid7 описала технические детали уязвимости. У атакующего появляется возможность направить специальный POST-запрос к серверу SharePoint. Этот запрос использует особенность того, как SharePoint отображает элементы на странице, чтобы заставить сервер выполнить встроенные команды PowerShell.  После выполнения запроса злоумышленник разворачивает вредоносную веб-оболочку spinstall0.aspx в каталоге макетов сервера. После этого злоумышленник делает еще один запрос GET к этой странице и извлекает криптографические ключи MachineKey, которые обеспечивают безопасность и целостность данных.

Атакующие активно используют цепочку уязвимостей в атаке, такой цепочке присвоено название "ToolShell". ToolShell позволяет атакующему получить временный доступ и ключи шифрования, в частности ключи проверки подлинности и ключи дешифрования. Обладание этими ключами позволяет атакующему независимо подделывать токены аутентификации, предоставляя постоянный доступ в инфраструктуре для дальнейшей атаки.

Ранее уже публиковались похожие по эксплуатации уязвимости CVE-2025-49704 и CVE-2025-49706, для которых был выпущен патч 8 июля 2025 года. Обновление не полностью устранило эти уязвимости. Атакующие проанализировали исправления и нашли способы обойти защиту, начав использовать новые уязвимости CVE-2025-53770 и CVE-2025-53771 для атаки ToolShell. Поэтому 20 июля 2025 года Microsoft выпустила срочное обновление, которое полностью закрывает эти уязвимости.

Атака с помощью ToolShell проходит в три шага:

  1. Эксплуатация уязвимости CVE-2025-53771, позволит пропустить проверки аутентификации и попасть в систему.

  2. Эксплуатация уязвимости CVE-2025-53770. Имея привилегированный доступ, атакующий отправляет вредоносный код в теле запроса POST, что приводит к возникновению основной уязвимости, при которой приложение SharePoint десериализует объект в исполняемый код на сервере. После этого атакующий может выполнять команды по своему усмотрению.

  3. Использование специализированной веб-оболочки для кражи ключей криптографической системы сервера. Получив ValidationKey и DecryptionKey, атакующий получает доступ к внутренним данным, используемым в SharePoint. Эти ключи нужны для того, чтобы SharePoint мог проверять подлинность пользователей и защищать важные данные сессии.

Обладание этими ключами позволяет атакующему сохранять контроль на протяжении долгого времени, что дает возможность запускать новые вредоносные программы на скомпрометированном устройстве.

Уязвимости применимы к Microsoft SharePoint Enterprise Server 2016 и 2019, а также Microsoft SharePoint Server Subscription Edition. Вендор заявляет, что Microsoft 365 SharePoint Online не подвержен уязвимости.

Статус эксплуатации уязвимости:

Присутствует публичный PoC эксплойта и упоминания в атаках, что подтверждает добавление в перечень CISA Kev.

По публичным данным эксплуатация уязвимостей затронула более 400 серверов по всему миру, в том числе и в России.

По информации сервиса FOFA более 500 адресов с SharePoint в России доступны извне. На диаграмме отражена распространенность организаций по отраслям. Стоит учесть, что развернутые сервисы уже могут быть обновлены.

Возможные негативные сценарии:

Успешная эксплуатация может привести к полной компрометации устройства, выполнению произвольного кода, краже данных или установке вредоносного ПО.

Рекомендации по устранению

Для снижения потенциальных угроз вендор рекомендует:

  • Установить последние обновления безопасности.

  • Использовать средства защиты информации и мониторинг индикаторов веб-шелла таких, как spinstall0.aspx.

  • Убедиться, что интерфейс AMSI включен и правильно настроен для защиты от вредоносных запросов.

  • Обновить ключи SharePoint Server ASP.NET после обновления или включения AMSI.

Как защититься?

В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.

Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.

Следите за обновлениями и до встречи в следующем выпуске дайджеста

Комментарии (0)