Microsoft, FortiOS, 7-Zip: восемь критических багов парализуют системы

В феврале 2025 года эксперты Positive Technologies отнесли к трендовым восемь уязвимостей. Это недостатки безопасности в продуктах Microsoft, операционных системах FortiOS и прокси-сервисе FortiProxy, программе для архивирования файлов 7-Zip.

Удаленное выполнение кода в механизме поиска и обнаружения серверов в сети Windows Lightweight Directory Access Protocol (LDAP Nightmare)

CVE-2024-49112 (CVSS — 9,8)

Эксплуатируя уязвимость , злоумышленник отправляет запрос DCE/RPC на LDAP-сервер жертвы. Устройство жертвы в ответ на запрос ищет в сети IP-адрес полученного имени узла (атакующего). При получении IP-адреса жертва становится клиентом LDAP, отправляет запрос атакующему. Ответ злоумышленника CLDAP с определенным значением вызывает сбой службы LSASS за счет переполнения. Он, в свою очередь, может привести к простоям, утечкам данных, выполнению произвольного кода злоумышленником и особенно опасен для тех, кто использует технологию Active Directory.

Чтобы защититься, пользователям необходимо обновить ПО, пользуясь рекомендациями Microsoft . В качестве временных мер защиты эксперты рекомендуют публиковать RPC и LDAP внешне через SSL и сегментацию сети.

Уязвимости повышения привилегий в компоненте для связи между узлами ОС и виртуальными машинами контейнерного типа Hyper-V NT Kernel Integration VSP

CVE-2025-21333 , CVE-2025-21334 , CVE-2025-21335 (CVSS — 7,8)

Уязвимости были обнаружены в компоненте Hyper-V NT Kernel Integration, используемом для связи между уздами ОС и виртуальными машинами контейнерного типа, такими как Windows Sandbox и Microsoft Defender Application Guard. При этом уязвимость CVE-2025-21333 связана с переполнением кучи, а CVE-2025-21334 и CVE-2025-21335 — с использованием памяти после освобождения. Эксплуатируя уязвимости, злоумышленник может получить привилегии уровня SYSTEM — максимальные на узлах системы. Это может позволить атакующему перемещаться по сети, заражать устройства вредоносным ПО, получить полный контроль над системой.

Уязвимость с выполнением удаленного кода OLE

CVE-2025-21298 (CVSS — 9,8)

Для эксплуатации злоумышленнику необходимо направить жертве специальным образом созданный RTF-файл. При открытии файла жертва запускает обработку вредоносного кода, что может привести к утечке конфиденциальной информации и потере контроля над оборудованием.

Уязвимость выполнения вредоносного кода в Microsoft Configuration Manager

CVE-2024-43468 (CVSS — 9,8)

Злоумышленник с помощью SQL-внедрения создает нового пользователя с правами администратора (отправляет запрос от лица клиента, внедрив в этот запрос вредоносный скрипт). Таким образом, будучи неаутентифицированным пользователем, злоумышленник может получить полный контроль над системой, выполнив код на узле жертвы. При эксплуатации уязвимости на устройство может быть загружено вредоносное ПО с целью кражи, шифрования или распространения данных.

Исследователи Synacktiv советуют прибегнуть к проверке папки C:\Program Files\SMS_CCM\Logs\MP_Location.log на наличие записей в журнале для UpdateSFRequest, XML-сообщений и ошибок при выполнении операции getMachineID().

Чтобы защититься, необходимо установить обновления безопасности, которые представлены на официальных страницах Microsoft: CVE-2024-49112 , CVE-2025-21333 , CVE-2025-21334 , CVE-2025-21335 , CVE-2024-43468 , CVE-2025-21298 .