0-day в Power Pages позволял полностью захватывать бизнес-порталы

Microsoft устранила критическую 0-day уязвимость повышения привилегий в Power Pages, которая уже использовалась хакерами в реальных атаках. Проблема, получившая идентификатор CVE-2025-24989 , связана с некорректным управлением доступом, что позволяло злоумышленникам обходить механизмы регистрации пользователей и получать более высокий уровень привилегий через сеть.

Компания сообщает , что уязвимость была устранена на уровне сервиса, а затронутые пользователи получили уведомления с инструкциями по проверке возможных следов компрометации. В сообщении Microsoft отмечается, что исправление устранило обход контроля регистрации.

Power Pages — это облачная платформа с низким порогом входа, предназначенная для создания и управления безопасными внешними веб-сайтами для бизнеса. Она входит в экосистему Microsoft Power Platform наряду с Power BI, Power Apps и Power Automate. Поскольку Power Pages работает в облаке, атака, вероятно, проводилась удалённо.

Детали эксплуатации уязвимости Microsoft не раскрывает. Однако пользователям рекомендуется проверить журналы активности на предмет подозрительных регистраций, несанкционированных изменений ролей и прав доступа. Следует также провести аудит списка пользователей и администраторов, чтобы выявить возможные случаи несанкционированного повышения привилегий.

Microsoft также устранила другую серьёзную уязвимость — ошибку удалённого выполнения кода в Bing ( CVE-2025-21355 ), но об её эксплуатации в реальных атаках пока ничего не сообщается.

Эксперты рекомендуют администраторам Power Pages провести дополнительные проверки, даже если уведомлений от Microsoft не поступало. Необходимо обратить внимание на аномальную активность учётных записей, изменения ролей и прав доступа, а также срочно отключить подозрительные аккаунты. В целях усиленной безопасности рекомендуется сбросить скомпрометированные учётные данные и включить многофакторную аутентификацию.