USB-шпион и 7 Zero Day: как прошел мартовский Patch Tuesday у Microsoft

Microsoft выпустила мартовские обновления безопасности Patch Tuesday 2025, устранив 57 уязвимостей, включая 6 активно эксплуатируемых нулевых дней. Среди исправленных проблем — 6 критических уязвимостей, позволяющих выполнять удалённый код.

В марте компания закрыла:

• 23 уязвимости повышения привилегий (Elevation of Privilege, EoP);
• 3 уязвимости обхода функций безопасности (Security Feature Bypass);
• 23 уязвимости удаленного выполнения кода (Remote Code Execution, RCE);
• 4 Уязвимости раскрытия информации (Information Disclosure);
• 1 Уязвимости типа «отказ в обслуживании» (Denial of Service, DoS);
• 3 уязвимости спуфинга (Spoofing).

В список не вошли уязвимости в Mariner и 10 исправленных ранее уязвимостей Microsoft Edge.

Чтобы узнать больше о выпущенных обновлениях, не связанных с безопасностью, стоит ознакомиться с накопительными обновлениями Windows 11 KB5053598 и KB5053602 , а также с обновлением Windows 10 KB5053606 .

Шесть активно эксплуатируемых уязвимостей

Microsoft устранила 6 уязвимостей, активно использовавшихся в атаках, а также 1 публично раскрытую проблему, доведя общее число нулевых дней до 7. В частности, несколько эксплуатируемых ошибок связаны с обработкой NTFS и монтированием VHD-дисков.

• CVE-2025-24983 — уязвимость подсистемы ядра Windows Win32, приводящая к повышению привилегий. Ошибка позволяет локальным злоумышленникам получить привилегии SYSTEM на устройстве после победы в гонке race condition. Microsoft пока не раскрыла детали эксплуатации
• CVE-2025-24984 — уязвимость раскрытия информации Windows NTFS позволяет атакующему с физическим доступом к устройству извлекать данные из оперативной памяти путём подключения вредоносного USB-устройства. Данная уязвимость была раскрыта анонимно
• CVE-2025-24985 — уязвимость драйвера файловой системы Windows Fast FAT, делающая возможным удаленное выполнение кода. Ошибка связана с integer overflow или wraparound. Атака осуществляется путём монтирования специально подготовленного VHD-диска. Недостаток раскрыт анонимно.
• CVE-2025-24991 — уязвимость раскрытия информации Windows NTFS позволяет читать небольшие фрагменты памяти и похищать информацию. Злоумышленники могут воспользоваться уязвимостью, обманом заставив пользователя смонтировать вредоносный VHD-файл. Уязвимость была раскрыта анонимно.
• CVE-2025-24993 — ошибка удаленного выполнения кода Windows NTFS. Данная RCE-уязвимость вызвана ошибкой переполнения буфера кучи (heap-based buffer overflow) в Windows NTFS, которая позволяет злоумышленнику выполнить код. Атака осуществляется путём монтирования специально подготовленного VHD-диска. Раскрыта анонимно.
• CVE-2025-26633 — обход функции безопасности консоли управления (Microsoft Management Console). Позволяет злоумышленнику обходить защитные механизмы Windows, заставляя жертву открыть специально созданный .msc-файл. На данный момент технических подробностей нет. Уязвимость раскрыта специалистами Trend Micro.

Публично раскрытая уязвимость нулевого дня

CVE-2025-26630 — удаленное выполнение кода в Microsoft Access. Вызвана ошибкой использования освобожденной памяти (use-after-free, UAF) в Microsoft Office Access. Для эксплуатации жертву нужно обманом заставить открыть специально созданный файл Access. Это можно сделать с помощью фишинга или атак социальной инженерии. Однако уязвимость невозможно использовать через панель предварительного просмотра. Недостаток обнаружен Unpatched.ai.

Полный список исправленных уязвимостей доступен на этой странице.