Microsoft опубликовала сентябрьское обновление Patch Tuesday 2025, закрывающее 84 уязвимости в системах безопасности. Наиболее серьёзные из них включают две уязвимости "нулевого дня" и восемь критических проблем, что делает это обновление крайне важным для IT-сообщества.
Две уязвимости "нулевого дня"
Впервые публично раскрытая уязвимость "нулевого дня" в SMB Server, CVE-2025-55234, представляет собой возможность повышения привилегий (CVSS 8.8). Она даёт возможность неаутентифицированным удалённым пользователям выполнять атаки при отсутствии подписания SMB Server или Расширенной защиты для аутентификации. Другая уязвимость, CVE-2024-21907, представляет собой возможность отказа в обслуживании (CVSS 7.5) в библиотеке Newtonsoft.Json, что может вызвать сбои приложения.
Критические уязвимости
Из восьми критических уязвимостей наибольшее внимание привлекают:
- CVE-2025-54918 — критическая уязвимость повышения привилегий (CVSS 8.8) в Windows NTLM, позволяющая attaкерам с минимальными правами поднять их до уровня SYSTEM в сети.
- CVE-2025-54910 — критическая уязвимость удалённого выполнения кода (CVSS 8.4) в Microsoft Office, позволяющая атакующим выполнять произвольный код через переполнение буфера.
- Уязвимости в компоненте графики Windows CVE-2025-55228 (RCE, CVSS 7.8) и CVE-2025-53800 (EoP, CVSS 7.8) потенциально могут позволить гостю Hyper-V совершить побег на хост, несмотря на сложность исполнения таких атак.
- Критическая уязвимость в Hyper-V CVE-2025-49717 несёт угрозу удалённого выполнения кода и также может способствовать гостевой атаке на хост.
Рекомендации по защите
Не все уязвимости имеют простые исправления, и организациям рекомендуется разрабатывать планы реакции на невоспроизводимые проблемы. Важно регулярно пересматривать стратегии устранения уязвимостей и улучшать общую безопасность. Microsoft напоминает о необходимости учитывать сроки завершения поддержки продуктов, таких как Windows 10, при планировании обновлений для обеспечения продолжительных обновлений безопасности.
В этом месяце CrowdStrike отметила свой Patch Tuesday dashboard в платформе Falcon — он предоставляет наглядный обзор затронутых систем и помогает управлять уязвимостями и экспозициями.
CVSS (Common Vulnerability Scoring System) является отраслевым стандартом оценки серьёзности уязвимостей. Базовые оценки варьируются от 0.0 до 10.0 и используются для приоритизации усилий по их устранению.
