Критические уязвимости: Microsoft, Fortinet, Ivanti

Microsoft выпускает патчи для активно используемых и публично раскрытых уязвимостей

Недавний выпуск Patch Tuesday от Microsoft включал исправления для значительного числа уязвимостей, в том числе пяти, которые уже активно используются, а также двух публично раскрытых уязвимостей нулевого дня. Активно используемые недостатки представляют серьезную угрозу, поскольку злоумышленники активно используют их для компрометации систем. Крайне рекомендовано немедленное применение исправлений и внедрение рекомендованных обходных путей для смягчения потенциальных угроз.

Подробное описание активно используемых уязвимостей

Следующие уязвимости были идентифицированы как активно используемые:

• Microsoft DWM Core Library (CVE-2025-30400): Эта уязвимость в Desktop Window Manager (DWM) Core Library может позволить злоумышленнику повысить свои привилегии до уровня SYSTEM. Это означает, что злоумышленник может получить полный контроль над пораженной системой. Для успешной эксплуатации злоумышленнику требуется возможность выполнить код на целевой системе. Это может быть достигнуто путем использования существующих уязвимостей или путем убеждения пользователя запустить вредоносное приложение.

После получения контроля над системой злоумышленник может установить вредоносное программное обеспечение, получить доступ к конфиденциальным данным или использовать систему для дальнейших атак.

Исправление для этой уязвимости устраняет недостаток, обеспечивая надлежащую проверку входных данных, поступающих в DWM Core Library. Это предотвращает использование злоумышленником уязвимости для повышения своих привилегий.Рекомендуется немедленно установить исправление, чтобы защитить системы от этой уязвимости.

• Windows Common Log File System (CVE-2025-32701 и CVE-2025-32706): Две отдельные уязвимости в Windows Common Log File System (CLFS) также могут позволить злоумышленнику получить привилегии уровня SYSTEM. CLFS — это служба ведения журналов общего назначения, используемая различными компонентами Windows.

Уязвимости связаны с тем, как CLFS обрабатывает метаданные журнала. Злоумышленник может создать вредоносный журнал, который может вызвать повреждение памяти при обработке CLFS. Это может позволить злоумышленнику запустить произвольный код с привилегиями SYSTEM.

Для успешной эксплуатации этих уязвимостей злоумышленнику требуется возможность создать и записать вредоносный журнал в целевую систему. Это может быть достигнуто путем использования существующей уязвимости или путем убеждения пользователя запустить вредоносное приложение.

После получения контроля над системой злоумышленник может установить вредоносное программное обеспечение, получить доступ к конфиденциальным данным или использовать систему для дальнейших атак.

Исправления для этих уязвимостей устраняют недостатки, обеспечивая надлежащую проверку метаданных журнала, обрабатываемых CLFS. Это предотвращает использование злоумышленником уязвимостей для повышения своих привилегий.

Рекомендуется немедленно установить исправления, чтобы защитить системы от этих уязвимостей.

• Windows Ancillary Function Driver (CVE-2025-32709): Уязвимость в Windows Ancillary Function Driver может аналогичным образом привести к повышению привилегий до уровня SYSTEM. Эта уязвимость может быть использована локальным злоумышленником для повышения своих привилегий и выполнения кода с привилегиями SYSTEM. Драйвер Windows Ancillary Function Driver отвечает за обработку различных функциональных возможностей оборудования. Уязвимость связана с тем, как драйвер обрабатывает определенные запросы ввода-вывода.

Злоумышленник может отправить вредоносный запрос ввода-вывода драйверу, который может вызвать повреждение памяти. Это может позволить злоумышленнику запустить произвольный код с привилегиями SYSTEM. Чтобы злоумышленник мог использовать эту уязвимость, ему требуется возможность выполнить код на целевой системе. Это может быть достигнуто путем использования существующей уязвимости или путем убеждения пользователя запустить вредоносное приложение.

После получения контроля над системой злоумышленник может установить вредоносное программное обеспечение, получить доступ к конфиденциальным данным или использовать систему для дальнейших атак.

Рекомендуется немедленно установить исправление, чтобы защитить системы от этой уязвимости.

• Microsoft Scripting Engine (CVE-2025-30397): В Microsoft Scripting Engine существует уязвимость, связанная с повреждением памяти, которая может позволить злоумышленнику выполнить произвольный код. Эта уязвимость связана с тем, как Scripting Engine обрабатывает объекты в памяти. Злоумышленник может создать вредоносный веб-сайт или документ, содержащий специально созданный объект, который может вызвать повреждение памяти при обработке Scripting Engine. Это может позволить злоумышленнику запустить произвольный код с привилегиями текущего пользователя.

Если текущий пользователь имеет административные привилегии, злоумышленник может получить полный контроль над системой.

Для успешной эксплуатации этой уязвимости злоумышленнику нужно убедить пользователя посетить вредоносный веб-сайт или открыть вредоносный документ. Это может быть достигнуто с помощью фишинговых электронных писем или путем размещения вредоносного веб-сайта в Интернете.

После получения контроля над системой злоумышленник может установить вредоносное программное обеспечение, получить доступ к конфиденциальным данным или использовать систему для дальнейших атак.

Исправление для этой уязвимости устраняет недостатки, обеспечивая надлежащую обработку объектов в памяти Scripting Engine. Это предотвращает использование злоумышленником уязвимости для запуска произвольного кода.

Рекомендуется немедленно установить исправление, чтобы защитить системы от этой уязвимости.

Общедоступные уязвимости

В дополнение к активно используемым уязвимостям Microsoft также устранила две публично раскрытые уязвимости нулевого дня:

• Microsoft Defender (CVE-2025-26685): В Microsoft Defender существует уязвимость спуфинга удостоверений, которая может позволить злоумышленнику подделать другую учетную запись в смежной сети. Злоумышленник может использовать эту уязвимость для перехвата трафика или для получения доступа к конфиденциальным данным. Уязвимость связана с тем, как Microsoft Defender обрабатывает проверку подлинности. Злоумышленник может отправить вредоносный запрос на проверку подлинности Microsoft Defender, который может заставить Microsoft Defender поверить в то, что злоумышленник является другим пользователем.

Это может позволить злоумышленнику получить доступ к ресурсам, к которым у него не должно быть доступа.

Для успешной эксплуатации этой уязвимости злоумышленнику требуется находиться в той же сети, что и целевая система. Это может быть достигнуто путем подключения к той же сети Wi-Fi или путем физического подключения к той же сети. После того как злоумышленник находится в той же сети, он может отправить вредоносный запрос на проверку подлинности Microsoft Defender.

Исправление для этой уязвимости устраняет недостатки, обеспечивая надлежащую проверку запросов на проверку подлинности. Это предотвращает использование злоумышленником уязвимости для подделки другой учетной записи.

Рекомендуется немедленно установить исправление, чтобы защитить системы от этой уязвимости.

• Visual Studio (CVE-2025-32702): Уязвимость удаленного выполнения кода в Visual Studio может позволить не прошедшему проверку подлинности злоумышленнику выполнить код локально. Злоумышленник может использовать эту уязвимость для установки вредоносного программного обеспечения или для получения доступа к конфиденциальным данным.

Уязвимость связана с тем, как Visual Studio обрабатывает проекты. Злоумышленник может создать вредоносный проект, который может вызвать выполнение произвольного кода при открытии в Visual Studio.

Для успешной эксплуатации этой уязвимости злоумышленнику нужно убедить пользователя открыть вредоносный проект в Visual Studio. Это может быть достигнуто с помощью фишинговых электронных писем или путем размещения вредоносного проекта в Интернете.

После получения контроля над системой злоумышленник может установить вредоносное программное обеспечение, получить доступ к конфиденциальным данным или использовать систему для дальнейших атак.

Исправление для этой уязвимости устраняет недостатки, обеспечивая надлежащую обработку проектов Visual Studio. Это предотвращает использование злоумышленником уязвимости для запуска произвольного кода.

Рекомендуется немедленно установить исправление, чтобы защитить системы от этой уязвимости.

Критические уязвимости, требующие приоритетности

Помимо активно используемых и публично раскрытых недостатков, Microsoft также выпустила исправления для шести критических уязвимостей, которые, хотя в настоящее время не известны как используемые, должны быть приоритетными для исправления. Эти уязвимости влияют на различные продукты Microsoft, в том числе:

• Microsoft Office (CVE-2025-30377 и CVE-2025-30386): В Microsoft Office были выявлены две критические уязвимости, которые потенциально позволяют удаленно выполнять код. Злоумышленник может использовать эти уязвимости для установки вредоносного программного обеспечения или для получения доступа к конфиденциальным данным.

Уязвимости связаны с тем, как Microsoft Office обрабатывает специально созданные документы. Злоумышленник может создать вредоносный документ, который может вызвать выполнение произвольного кода при открытии в Microsoft Office.

Для успешной эксплуатации этих уязвимостей злоумышленнику нужно убедить пользователя открыть вредоносный документ в Microsoft Office. Это может быть достигнуто с помощью фишинговых электронных писем или путем размещения вредоносного документа в Интернете.

После получения контроля над системой злоумышленник может установить вредоносное программное обеспечение, получить доступ к конфиденциальным данным или использовать систему для дальнейших атак.

Исправления для этих уязвимостей устраняют недостатки, обеспечивая надлежащую обработку специально созданных документов в Microsoft Office. Это предотвращает использование злоумышленником уязвимостей для запуска произвольного кода.

Рекомендуется немедленно установить исправления, чтобы защитить системы от этих уязвимостей.

• Microsoft Power Apps (CVE-2025-47733): В Microsoft Power Apps обнаружена критическая уязвимость, которая может привести к несанкционированному доступу или выполнению кода. Злоумышленник может использовать эту уязвимость для получения доступа к конфиденциальным данным или для запуска произвольного кода на сервере Power Apps. Уязвимость связана с тем, как Power Apps обрабатывает запросы на проверку подлинности. Злоумышленник может отправить вредоносный запрос на проверку подлинности на сервер Power Apps, который может позволить злоумышленнику обойти проверку подлинности и получить доступ к конфиденциальным данным.

Исправление для этой уязвимости устраняет недостатки, обеспечивая надлежащую проверку запросов на проверку подлинности. Это предотвращает использование злоумышленником уязвимости для обхода проверки подлинности и получения доступа к конфиденциальным данным.Рекомендуется немедленно установить исправление, чтобы защитить системы от этой уязвимости.

• Remote Desktop Gateway Service (CVE-2025-29967): В Remote Desktop Gateway Service существует критическая уязвимость, которая может позволить злоумышленнику скомпрометировать систему. Злоумышленник может использовать эту уязвимость для получения несанкционированного доступа к системе или для запуска произвольного кода на системе.Remote Desktop Gateway Service используется для предоставления пользователям возможности подключения к удаленным компьютерам через Интернет. Уязвимость связана с тем, как служба Remote Desktop Gateway обрабатывает запросы на подключение. Злоумышленник может отправить вредоносный запрос на подключение к службе Remote Desktop Gateway, который может позволить злоумышленнику обойти проверку подлинности и получить доступ к удаленному компьютеру.

Исправление для этой уязвимости устраняет недостатки, обеспечивая надлежащую проверку запросов на подключение. Это предотвращает использование злоумышленником уязвимости для обхода проверки подлинности и получения доступа к удаленному компьютеру.

Рекомендуется немедленно установить исправление, чтобы защитить системы от этой уязвимости.

• Windows Remote Desktop (CVE-2025-29966): В Windows Remote Desktop обнаружена критическая уязвимость, которая потенциально может привести к удаленному выполнению кода. Злоумышленник может использовать эту уязвимость для получения несанкционированного доступа к системе или для запуска произвольного кода на системе. уязвимость связана с тем, как служба Remote Desktop обрабатывает запросы на подключение Windows Remote Desktop используется для предоставления пользователям возможности подключения к удаленным компьютерам через локальную сеть. Злоумышленник может отправить вредоносный запрос на подключение к службе Remote Desktop, который может позволить злоумышленнику обойти проверку подлинности и получить доступ к удаленному компьютеру.

Исправление для этой уязвимости устраняет недостатки, обеспечивая надлежащую проверку запросов на подключение. Это предотвращает использование злоумышленником уязвимости для обхода проверки подлинности и получения доступа к удаленному компьютеру.

Необходимо регулярно устанавливать исправления, чтобы защитить системы от этой уязвимости.

Fortinet устраняет критическую уязвимость в нескольких продуктах

Fortinet выпустила рекомендации по безопасности, касающиеся критической уязвимости, затрагивающей несколько ее продуктов, включая FortiVoice, FortiMail, FortiNDR, FortiRecorder и FortiCamera. Уязвимость проявляется как переполнение буфера на основе стека, что позволяет злоумышленникам удаленно и без аутентификации выполнять произвольный код, отправляя специально созданные HTTP-запросы. Это может привести к полному контролю над затронутым устройством.

Эта уязвимость, связанная с переполнением буфера на основе стека, получила оценку серьезности CVSS v4 9,6 (CVSS v3.1: 9,8), что указывает на ее высокую серьезность. Уязвимость может быть использована удаленно не прошедшим проверку подлинности злоумышленником путем отправки HTTP-запросов, содержащих специально созданный hash cookie. Успешная эксплуатация может привести к выполнению произвольного кода, позволяя злоумышленнику получить полный контроль над затронутым устройством.

Немедленно нужно выполнить обновление до указанных фиксированных версий в связи с активной эксплуатацией злоумышленниками, сканированием сети и захватом учетных данных.

Эксплуатация наблюдалась в FortiVoice

Fortinet подтвердила, что наблюдала активную эксплуатацию этой уязвимости на устройствах FortiVoice. Злоумышленники сканировали сети устройств, стирали журналы системных сбоев и включали отладку fcgi для захвата учетных данных, введенных во время входа в систему или SSH. Если злоумышленник сможет получить учетные данные, он сможет получить доступ к устройству FortiVoice и изменить его конфигурацию. Злоумышленник также может использовать учетные данные для получения доступа к другим системам в сети. Поэтому крайне важно немедленно установить обновление безопасности для защиты устройств FortiVoice от этой уязвимости. Также следует включить двухфакторную аутентификацию для всех учетных записей пользователей, чтобы предотвратить несанкционированный доступ.

Пораженные модели и версии

Уязвимость под номером CVE-2025-32756 затрагивает следующие модели и версии устройств. Крайне рекомендуется немедленно выполнить обновление до указанных фиксированных версий:

• FortiVoice:
  • 7.2.0: Обновите до версии 7.2.1 или выше
  • 7.0.0 – 7.0.6: Обновите до версии 7.0.7 или выше
  • 6.4.0 – 6.4.10: Обновите до версии 6.4.11 или выше
• FortiRecorder:
  • 7.2.0 – 7.2.3: Обновите до версии 7.2.4 или выше
  • 7.0.0 – 7.0.5: Обновите до версии 7.0.6 или выше
  • 6.4.0 – 6.4.5: Обновите до версии 6.4.6 или выше
• FortiMail:
  • 7.6.0 – 7.6.2: Обновите до версии 7.6.3 или выше
  • 7.4.0 – 7.4.4: Обновите до версии 7.4.5 или выше
  • 7.2.0 – 7.2.7: Обновите до версии 7.2.8 или выше
  • 7.0.0 – 7.0.8: Обновите до версии 7.0.9 или выше
• FortiNDR:
  • 7.6.0: Обновите до версии 7.6.1 или выше
  • 7.4.0 – 7.4.7: Обновите до версии 7.4.8 или выше
  • 7.2.0 – 7.2.4: Обновите до версии 7.2.5 или выше
  • 7.1: Перенесите на фиксированный выпуск
  • 7.0.0 – 7.0.6: Обновите до версии 7.0.7 или выше
  • 1.1 – 1.5: Перенесите на фиксированный выпуск
• FortiCamera:
  • 2.1.0 – 2.1.3: Обновите до версии 2.1.4 или выше
  • 2.0: Перенесите на фиксированный выпуск
  • 1.1: Перенесите на фиксированный выпуск

Необходимо провести сканирование устройств в сети, чтобы выявить тех, кто использует старые версии программного обеспечения Fortinet. Вы также должны мониторить свою сеть на предмет признаков компрометации, таких как необычная активность или неожиданный трафик.

Также следует внедрить политику управления исправлениями для обеспечения своевременной установки исправлений безопасности. Регулярно нужно создавать резервные копии своих устройств Fortinet, чтобы можно было быстро восстановить их в случае компрометации.

Индикаторы компрометации и шаги по смягчению последствий

Fortinet предоставила индикаторы компрометации (IOC) в своем предупреждении безопасности, чтобы помочь организациям обнаружить потенциальные попытки эксплуатации. Если немедленное применение исправлений невозможно, Fortinet рекомендует временно отключить административный интерфейс HTTP/HTTPS в качестве меры по смягчению последствий. Альтернативно можно реализовать систему обнаружения вторжений, чтобы отследить вредоносные HTTP-запросы, которые могут указывать на попытку эксплуатации.

Дополнительные меры безопасности могут включать реализацию строгих политик паролей и многофакторной аутентификации, ограничение доступа к административному интерфейсу только авторизованным IP-адресам и регулярное сканирование системы на предмет вредоносного программного обеспечения.

Ivanti устраняет уязвимости удаленного выполнения кода в Endpoint Manager Mobile

Ivanti предоставила рекомендации по безопасности, касающиеся двух уязвимостей, затрагивающих ее решение Endpoint Manager Mobile (EPMM). Эти уязвимости, в сочетании, могут привести к удаленному выполнению кода без аутентификации. В Ivanti заявили, что уязвимости связаны с кодом с открытым исходным кодом, используемым в EPMM, а не с основным кодом Ivanti.

В связи с этими уязвимостями организациям необходимо незамедлительно обновить EPMM до последних версий и реализовать дополнительные меры безопасности.

Подробная информация об уязвимостях

• CVE-2025-4427 (средняя степень серьезности): Это уязвимость обхода проверки подлинности со степенью серьезности CVSS v3.1 5,3. Злоумышленник может использовать ее для обхода механизмов проверки подлинности и получения несанкционированного доступа к системе. Уязвимость связана с тем, как EPMM обрабатывает запросы на сеанс. Злоумышленник может отправить специально созданный запрос на сеанс, который может позволить злоумышленнику обойти методы проверки подлинности и получить несанкционированный доступ к системе.

Исправление для этой уязвимости устраняет недостатки, обеспечивая надлежащую проверку запросов на сеанс. Это не позволит злоумышленнику использовать уязвимость для обхода проверки подлинности и получения несанкционированного доступа к системе.

• Уязвимость удаленного выполнения кода (высокая степень серьезности): Эта уязвимость имеет оценку серьезности CVSS v3.1 7,2, что указывает на высокую степень потенциального воздействия. Путем эксплуатации этого недостатка злоумышленник может выполнить произвольный код в затронутой системе удаленно. Это может использоваться для установки вредоносного программного обеспечения, кражи конфиденциальных данных или нарушения работы системы. Уязвимость связана с тем, как EPMM обрабатывает сериализацию XML. Злоумышленник может отправить вредоносный XML-документ на сервер EPMM, который может привести к выполнению произвольного кода.

Чтобы защитить системы от этой уязвимости, необходимо применить соответствующие исправления безопасности, выпущенные Ivanti. Кроме того, организации должны следовать лучшим практикам безопасности, таким как реализация строгих политик паролей, включение многофакторной аутентификации, регулярное обновление программного обеспечения и мониторинг систем на предмет подозрительной активности.

Затронутые продукты и версии

Следующие версии Ivanti Endpoint Mobile Manager затрагиваются этими уязвимостями. Как можно скорее обновитесь до последних версий:

• Ivanti Endpoint Mobile Manager
  • 11.12.0.4 и предыдущие: Обновите до версии 11.12.0.5 и более поздних версий
  • 12.3.0.1 и предыдущие: Обновите до версии 12.3.0.2 и более поздних версий
  • 12.4.0.1 и предыдущие: Обновите до версии 12.4.0.2 и более поздних версий
  • 12.5.0.0 и предыдущие: Обновите до версии 12.5.0.1 и более поздних версий

Необходимо спланировать график для обновления EPMM до последней версии. Организации должны расставить приоритеты в отношении обновления критически важных систем и тех, которые обращены в Интернет.

Стратегии снижения рисков

Ivanti настоятельно рекомендует пользователям обновить EPMM до последней версии как можно скорее. Однако риск можно значительно снизить, отфильтровав доступ к API с помощью встроенных Portal ACL или внешнего брандмауэра веб-приложений (WAF). Эти меры могут помочь предотвратить несанкционированный доступ и эксплуатацию уязвимостей.

Portal ACL могут использоваться для ограничения доступа к API на основе IP-адреса, сети или пользователя. WAF может использоваться для защиты API от различных атак, таких как SQL-инъекции и межсайтовый скриптинг.

Помимо использования фильтрации доступа, организации должны внедрить и другие меры безопасности для защиты своей среды EPMM. К ним относятся изменения паролей, включение многофакторной проверки подлинности, сканирование и мониторинг систем.

В заключение, недавние рекомендации по безопасности от Microsoft, Fortinet и Ivanti подчеркивают постоянную потребность в бдительности и упреждающих мерах безопасности. Организации должны уделять первоочередное внимание применению исправлений и внедрению рекомендуемых обходных путей для защиты от этих активно используемых уязвимостей и потенциальных будущих атак. Регулярный мониторинг рекомендаций по безопасности и оперативное устранение выявленных рисков являются важными компонентами надежной системы защиты. Потенциальные последствия неспособности устранить эти уязвимости могут быть серьезными, от утечек данных и финансовых потерь до репутационного ущерба и сбоев в работе бизнеса. Сотрудничество между поставщиками и сообществом безопасности имеет первостепенное значение для выявления и смягчения этих угроз, обеспечивая более безопасную и надежную цифровую среду для всех. Это требует непрерывного обмена информацией, координации и проактивных мер для предотвращения эксплуатации уязвимостей.