12.08.2025 09:50
ptsecurity 0 282 Источник

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили в наш список еще 2 трендовые уязвимости в продуктах Microsoft:

  • Уязвимость удаленного выполнения кода в Microsoft SharePoint (CVE-2025-53770)

  • Уязвимость повышения привилегий в службе обновлений Windows (CVE-2025-48799)

Уязвимость удаленного выполнения кода в Microsoft SharePoint (CVE-2025-53770)

SharePoint – это веб-приложение от Microsoft, предназначенное для развертывания корпоративных интранет-порталов, управления документами и совместной работы. Ошибка в механизме десериализации в развёрнутом on-premises SharePoint Server позволяет удалённому неаутентифицированному злоумышленнику выполнить произвольный код.

18 июля эксперты компании Eye Security сообщили о массовой эксплуатации этой уязвимости совместно с уязвимостью спуфинга CVE-2025-53771. Уязвимости CVE-2025-53770 и CVE-2025-53771 – эволюция уязвимостей CVE-2025-49704 и CVE-2025-49706 из июльского Microsoft Patch Tuesday.

На следующий день, 19 июля, Microsoft выпустили обновления для SharePoint Server 2016, 2019 и SharePoint Subscription Edition. Также вендор порекомендовал настроить интеграцию с Antimalware Scan Interface.

? Публичные эксплоиты были доступны на GitHub с 21 июля.

Пока самая интересная жертва атак с эксплуатацией трендовой уязвимости SharePoint - Национальное управление по ядерной безопасности США (National Nuclear Security Administration, NNSA).

Пресс-секретарь Министерства энергетики США (Department of Energy, DOE), в которое входит NNSA, заявил следующее:

В пятницу, 18 июля, эксплуатация уязвимости нулевого дня Microsoft SharePoint начала затрагивать Министерство энергетики, включая NNSA. [...] Пострадало очень небольшое количество систем. Все затронутые системы DOE восстанавливаются. NNSA принимает необходимые меры для снижения риска и перехода на другие решения по мере необходимости.

NNSA управляет запасами ядерного оружия США, включая его тестирование и безопасную транспортировку, занимается ядерными силовыми установками, термоядерным синтезом и т.д.

 Насколько эта уязвимость актуальна для России? Похоже, что весьма актуальна. Хотя, казалось бы, после ухода Microsoft из России, можно было бы хотя бы корпоративные порталы перевести на отечественные решения.

Однако как сообщают коллеги из BiZone:

По нашей оценке, этим уязвимостям подвержено до 10% российских enterprise-компаний [...]

Более того, как сообщают коллеги из CyberOK:

? СКИПА отслеживает ~1 800 экземпляров SharePoint в Рунете. По оценкам экспертов CyberOK, более 20% могут быть уязвимы для атак с использованием CVE‑2025‑53770.

Признаки эксплуатации: по данным экспертов Eye Security, уязвимость CVE-2025-53770 активно эксплуатируется совместно с другой уязвимостью в Microsoft SharePoint (CVE-2025-53771) с 18 июля 2025. Они также сообщили, что обнаружили более 400 скомпрометированных систем. По данным Microsoft, с начала июля цепочка из этих двух уязвимостей используется в атаках APT-группировок Linen Typhoon (APT27) и Violet Typhoon (APT31), а также группировки вымогателей Storm-2603. Кроме того, CISA добавило эту уязвимость в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: в открытом доступе опубликован PoC. Также в открытом доступе существует инструмент для эксплуатации уязвимости.

Уязвимость повышения привилегий в службе обновлений Windows (CVE-2025-48799)

Уязвимость из июльского Microsoft Patch Tuesday. Неправильное разрешение ссылок перед доступом к файлу ('link following') в Windows Update Service позволяет авторизованному атакующему повысить привилегии до максимальных - "NT AUTHORITY\SYSTEM".

? Эксплойт для уязвимости был опубликован исследователем Филип Драгович (Wh04m1001) 8 июля, в день Microsoft Patch Tuesday. В описании эксплоита он сообщает, что уязвимость затрагивает версии Windows 10 и Windows 11 с как минимум двумя жёсткими дисками. Если место установки новых приложений изменено на вторичный диск (с помощью Storage Sense), то при установке нового приложения служба wuauserv будет произвольно удалять папки без проверки на символические ссылки, что приводит к локальному повышению привилегий (LPE).

? В демонстрационном видео исследователь запускает exe файл эксплоита и получает консоль администратора.

Признаки эксплуатации:  случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты:  в открытом доступе опубликован PoC.

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2025-48799, CVE-2025-53770). Кроме того, для устранения CVE-2025-53770 Microsoft также рекомендует настроить Antimalware Scan Interface (AMSI) в режиме “Full Mode” и использовать Microsoft Defender Antivirus и Defender for Endpoint для всех развернутых локально экземпляров SharePoint.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом всё. До встречи в новом дайджесте трендовых уязвимостей через месяц.

Александр Леонов

Ведущий эксперт PT Expert Security Center

Комментарии (0)