Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 12 марта 2025
Мартовский Patch Tuesday от Microsoft исправляет 7 уязвимостей, включая 7 нулевого дня
Microsoft в марте 2025 года выпустила обновление Patch Tuesday, устраняющее 57 уязвимостей, включая семь уязвимостей нулевого дня, шесть из которых активно используются в атаках.
Добавленные уязвимости касаются фундаментальных драйверов, ядер и десятков продуктов, включая Microsoft Office, компоненты Windows и многочисленные службы удаленного рабочего стола.
Количество обнаруженных уязвимостей в каждой категории выглядит следующим образом:
- 23 уязвимости повышения привилегий
- 3 уязвимости обхода средств защиты
- 23 уязвимости удаленного выполнения кода
- 4 уязвимости раскрытия информации
- 1 уязвимость отказа в обслуживании
- 3 уязвимости спуфинга
Активно эксплуатируемые уязвимости нулевого дня, исправленные в этом месяце, таковы:
- CVE-2025-24983 (CVSS score: 7.0) – Уязвимость повышения привилегий подсистемы ядра Windows Win32, которая позволяет локальным злоумышленникам получить привилегии SYSTEM на устройстве воспользовавшись состоянием гонки.
- CVE-2025-24984 (CVSS score: 4.6) – Уязвимость раскрытия информации Windows NTFS. Данная проблема может быть использована злоумышленниками, имеющими физический доступ к устройству и вставившими в него вредоносный USB-накопитель. Злоумышленники могут воспользоваться уязвимостью, чтобы получить доступ к фрагментам оперативной памяти и похитить данные.
- CVE-2025-24985 (CVSS score: 7.8) – Уязвимость удаленного выполнения кода в драйвере файловой системы Windows Fast FAT. Эта ошибка вызвана целочисленным переполнением или обходом в драйвере Windows Fast FAT Driver, который при эксплуатации позволяет злоумышленнику выполнить код. «Злоумышленник может обмануть локального пользователя уязвимой системы и заставить его смонтировать специально созданный VHD, что приведет к возникновению уязвимости», – поясняет Microsoft.
- CVE-2025-24991 (CVSS score: 5.5) – Уязвимость раскрытия информации в Windows NTFS. Злоумышленники могут использовать эту уязвимость для чтения небольших фрагментов оперативной памяти и кражи данных. Эксплуатация уязвимости возможна путем обмана пользователя с целью подключения вредоносного VHD-файла.
- CVE-2025-24993 (CVSS score: 7.8) – Уязвимость удаленного выполнения кода в Windows NTFS. Проблема вызвана ошибкой переполнения буфера в динамической памяти в Windows NTFS, которая позволяет злоумышленнику выполнить код. Microsoft поясняет: «Атакующий может обманом заставить локального пользователя на уязвимой системе смонтировать специально созданный VHD-файл, что приведет к эксплуатации уязвимости».
- CVE-2025-26633 (CVSS score: 7.8) – Уязвимость обхода функции безопасности Microsoft Management Console. Неправильная нейтрализация в Microsoft Management Console позволяет неавторизованному злоумышленнику локально обойти функцию безопасности. В сценарии атаки по электронной почте или с помощью мгновенных сообщений злоумышленник может отправить целевому пользователю специально созданный файл или веб-сайт, предназначенный для использования уязвимости. Требуется взаимодействие с пользователем.
Microsoft не сообщила о том, каким образом эти уязвимости использовались в атаках.
Публично раскрытая уязвимость нулевого дня выглядит следующим образом:
- CVE-2025-26630 (CVSS score: 7.8) – Уязвимость удаленного выполнения кода в Microsoft Access. Проблема вызвана ошибкой использования после освобождения в памяти Microsoft Office Access. Для эксплуатации уязвимости злоумышленнику необходимо обманом заставить пользователя открыть специально созданный файл Access.
Пользователям продуктов Microsoft следует убедиться, что они своевременно применяют соответствующие исправления, чтобы избежать риска компрометации.
Apple исправляет уязвимость нулевого дня WebKit, эксплуатируемую в целевых атаках
Во вторник (11 марта) компания Apple выпустила экстренные обновления для устранения уязвимости нулевого дня, которая, по ее словам, используется злоумышленниками в «чрезвычайно сложных» атаках.
Уязвимость отслеживается как CVE-2025-24201 и представляет собой проблему выхода за границы записи в кроссплатформенном движке веб-браузера WebKit, используемом в веб-браузере Safari от Apple и многих других приложениях и веб-браузерах на macOS, iOS, Linux и Windows.
«Это дополнительное исправление атаки, которая была заблокирована в iOS 17.2», – говорится в рекомендациях Apple, добавляя, что ей «известно о сообщении, что эта проблема могла быть использована в чрезвычайно сложной атаке против конкретных целевых лиц на версиях iOS до iOS 17.2».
Злоумышленники могут использовать CVE-2025-24201, используя вредоносный созданный веб-контент для выхода из песочницы веб-контента.
Уязвимость была устранена с помощью улучшенных проверок для предотвращения несанкционированных действий в iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.
Новый ботнет нацелен на маршрутизаторы TP-Link Archer
Ранее неизвестный ботнет нацелен на маршрутизаторы TP-Link Archer для дома и малого бизнеса, сообщают исследователи из Cato Networks.
По словам исследователей, хакер, стоящий за вредоносным ПО, использовал уязвимость в прошивке (CVE-2023-1389 – CVSS score: 8.8), чтобы позволить ботнету «автоматически распространять себя через Интернет» с помощью непропатченных устройств TP-Link.
Исследователи назвали ботнет, в который добавляются устройства, Ballista. Они также заявили, что полагают, что злоумышленник, стоящий за ней, базируется в Италии, поскольку IP-адрес командно-контрольного сервера ботнета и некоторые строки в коде вредоносной программы написаны на итальянском языке.
«В этой конкретной кампании вредоносная программа позволяет злоумышленнику выполнять произвольные команды на скомпрометированных устройствах. Это говорит о том, что у автора вредоносной программы могут быть более серьезные планы, чем обычная DDoS-бот-сеть», – говорит Матан Миттельман, руководитель группы предотвращения угроз в Cato Networks.
Исследователи заявили, что впервые заметили активность этого ботнета 10 января, а последняя активность была отмечена в середине февраля. По словам исследователей, способ написания вредоносной программы может позволить добавить новые возможности в ее будущие варианты.
На данный момент Ballista атаковала производственные, медицинские, сервисные и технологические организации в США, Австралии, Китае и Мексике.
Защита
Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.
