На острие VM: уязвимости Microsoft, Fortinet и 7-Zip выходят в топ угроз

И вновь на связи я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

В новый дайджест мы отнесли к трендовым восемь уязвимостей:

Уязвимости в Microsoft

• Уязвимость, позволяющая выполнить удаленный код, в Windows Lightweight Directory Access Protocol (CVE-2024-49112).

• Уязвимости, связанные с повышением привилегий, в Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335).

• Уязвимость, позволяющая выполнить удаленный код, в Windows OLE (CVE-2025-21298).

• Уязвимость, связанная с повышением привилегий, в Microsoft Configuration Manager (CVE-2024-43468).

Уязвимость в Fortinet

• Уязвимость, связанная с повышением привилегий, в модуле Node.js в FortiOS и FortiProxy (CVE-2024-55591).

Уязвимость в 7-Zip

• Уязвимость, позволяющая выполнить удаленный код, в 7-Zip (CVE-2025-0411).

Уязвимости в продуктах Microsoft Windows

Уязвимости Windows, описанные ниже,   согласно данным The Verge , потенциально затрагивают более миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Удаленное выполнение кода в Windows Lightweight Directory Access Protocol (LDAP Nightmare)

CVE-2024-49112 (оценка по CVSS - 9.8; критический уровень опасности)

Уязвимость из  декабрьского Microsoft Patch Tuesday . Через три недели, 1 января, исследователи из компании SafeBreach выпустили  write-up по этой уязвимости , обозначенной ими как LDAPNightmare, а также PoC эксплойта.

Эксплойт вызывает принудительную перезагрузку уязвимых Windows-серверов. Необходимое условие - DNS-сервер контроллера домена-жертвы должен иметь доступ к Интернет.

Эксплуатации уязвимости связана с DCE/RPC. Эта технология, которая позволяет программистам заниматься разработкой распределённого программного обеспечения, как будто это все работает на том же компьютере, не отвлекаясь на работу с сетью. Атака  начинается  с отправки DCE/RPC запроса на Windows-сервер жертвы, вызывающего сбой LSASS (Local Security Authority Subsystem Service) и принудительную перезагрузку сервера, когда злоумышленник отправляет специальный реферальный пакет ответа CLDAP (Connectionless Lightweight Directory Access Protocol).

Но это же DoS, а где RCE? Исследователи отмечают, что RCE можно добиться модификацией CLDAP пакета.

Признаки эксплуатации: Microsoft на момент публикации дайджеста  не отмечает  фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Компенсирующие меры:

• пользователям необходимо обновить ПО, пользуясь  рекомендациями ,

• в качестве временных мер защиты  эксперты рекомендуют  публиковать RPC и LDAP внешне через SSL и сегментацию сети.

Уязвимости повышения привилегий в Hyper-V NT Kernel Integration VSP

CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 (CVSS – 7.8; высокий уровень опасности)
Эти три уязвимости из  январского Microsoft Patch Tuesday . У них одинаковое описание. Все они были  найдены в компоненте , используемом для связи между хостовой ОС и виртуальными машинами контейнерного типа, такими как  Windows Sandbox  и  Microsoft Defender Application Guard  (MDAG).

Эксплуатация уязвимостей позволяет получить привилегии System. Microsoft отдельно отмечают, что речь идёт именно о локальном повышении привилегий на хостовой системе, а не о побеге из гостевой системы в хостовую.

Есть признаки эксплуатации уязвимости в реальных атаках. Публичных эксплоитов пока нет..

Единственная разница в описании уязвимостей, в том, что CVE-2025-21333 вызвана  Heap-based Buffer Overflow , а CVE-2025-21334 и CVE-2025-21335 –  Use After Free .

Признаки эксплуатации: Microsoft  отмечает   факты   эксплуатации  уязвимостей. Кроме того, CISA  добавили  эти уязвимости в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Уязвимость с выполнением удаленного кода OLE

CVE-2025-21298 (оценка по CVSS – 9.8; критический уровень опасности)

Уязвимость из  январского Microsoft Patch Tuesday . OLE (Object Linking and Embedding) - это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Наглядный пример использования этой технологии - открытие таблицы Excel в документе Word.

В чём суть этой уязвимости? Код злоумышленника выполняется на хосте жертвы при открытии специального RTF-документа или при открытии специального email-сообщения в почтовом клиенте Microsoft Outlook (в том числе и в preview-режиме). Во втором случае от жертвы не требуется никаких действий кроме клика по сообщению. Microsoft рекомендуют настроить просмотр сообщений в Outlook  только в plain text . Для этого нужно в настройках Outlook в разделе Email Security поставить галочку «Read all standard mail in plain text».

20 января на GitHub появился PoC эксплоита, демонстрирующий Memory Corruption при открытии RTF-документа. Теперь ждём и RCE-эксплойт для Outlook. 

Сообщений об атаках пока не было.

Устраните уязвимость в приоритетном порядке!

Признаки эксплуатации: Microsoft  не отмечает  фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Компенсирующие меры:  рекомендуется  читать сообщения по почте в  текстовом формате .

Уязвимость RCE в Microsoft Configuration Manager

CVE-2024-43468 (оценка по CVSS – 9.8; критический уровень опасности)

Уязвимость из  октябрьского Microsoft Patch Tuesday 2024 года . Microsoft Configuration Manager (ConfigMgr)  используется  для управления большими группами компьютеров: удаленного контроля, патчинга, развертывания ОС, установки ПО, и т.д.

Согласно  описанию Microsoft , уязвимость позволяла неаутентифицированному злоумышленнику выполнять команды на уровне сервера или базы данных через специальные запросы к Management Point.

Эксперты Synacktiv  раскрыли подробности  через 100 дней после октябрьского MSPT – 16 января. Проблема была в сервисе MP_Location, который небезопасно обрабатывал клиентские сообщения. Это позволило реализовывать SQL-инъекции и выполнять произвольные запросы к БД с максимальными правами. В том числе выполнять команды на сервере через  xp_cmdshell . 

Публичные эксплоиты доступны на GitHub. Сообщений об эксплуатации вживую пока не было.

Признаки эксплуатации: Microsoft на момент публикации дайджеста  не отмечает  фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Компенсирующие меры: исследователи из  Synacktiv  советуют прибегнуть к проверке папки C:Program FilesSMS_CCMLogsMP_Location.log на наличие записей в журнале для UpdateSFRequest XML-сообщений и ошибок при выполнении операции getMachineID(). 

Способы устранения: поставьте обновления безопасности,  скачав их на официальных страницах Microsoft, посвященных соответствующим уязвимостям:  CVE-2024-49112 ,  CVE-2025-21333 ,  CVE-2025-21334 ,  CVE-2025-21335 ,  CVE-2024-43468 ,  CVE-2025-21298 .

Уязвимость в модуле websocket Node.js в FortiOS и FortiProxy

CVE-2024-55591 (оценка по CVSS – 9.8; критический уровень опасности)

Уязвимость позволяет удаленному злоумышленнику получить привилегии суперадминистратора с помощью специальных запросов к модулю Node.js websocket. Уязвимости подвержены сетевые устройства Fortinet под управлением FortiOS (включая  FortiGate NGFW ), а также решения FortiProxy.

10 января Arctic Wolf  сообщили  об атаках на устройства Fortinet, начавшихся в ноябре 2024 года. Злоумышленники создают учётки со случайными именами, меняют настройки устройств и проникают во внутреннюю сеть.

14 января  вышел  бюллетень вендора. Уязвимость  добавили в CISA KEV .

С 21 января на GitHub доступен публичный эксплойт.

По состоянию на 26 января Shadow Server  фиксируют  около 45 000 уязвимых устройств, доступных из Интернет.

Вендор  рекомендует  обновить FortiOS и FortiProxy до безопасных версий, ограничить доступ к административному HTTP/HTTPS интерфейсу (или полностью выключить его).

Признаки эксплуатации: Fortinet  отмечает  случаи эксплуатации уязвимости.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Потенциальные жертвы: исследователи  сообщают , что данная уязвимость затронула 15000 устройств по всему миру, а именно пользователей  FortiOS 7.0.0 – 7.0.16, FortiProxy 7.0.0 – 7.0.19, 7.2.0-7.2.12 .

Способы устранения, компенсирующие меры:

• Обновление системы  FortiOS 7.0 до 7.0.17 и выше, FortiProxy 7.0 до 7.0.20 и выше, FortiProxy 7.2 до 7.2.13 и выше .

Исследователи  Fortinet  сообщают о компенсирующих мерах:

• Устраните административного интерфейса HTTP/HTTPS.

• Ограничьте IP адреса, которые могут пользоваться административными интерфейсами, через локальные процессы.

• Замените имя администратора на нестандартное.

• При компрометации сети немедленно замените учетные данные, ротацию сертификатов, аудит и перенастройку брендмауэров.

Уязвимость обхода Mark-of-the-Web в 7-Zip

CVE-2025-0411 (CVSS – 7.0; высокий уровень опасности)

7-Zip  – популярный бесплатный архиватор с открытым исходным кодом. Он широко используется в организациях в качестве стандартного средства для работы с архивами.

Уязвимость заключается в  обходе механизма Mark-of-the-Web .

Если вы в Windows скачаете подозрительный исполняемый файл и запустите его, то функция SmartScreen Microsoft Defender-а отработает и заблокирует запуск файла из ненадёжного источника.

А если вы скачаете 7z архив, содержащий вложенный 7z архив со зловредом, то сможете в три дабл-клика запустить исполняемый файл и SmartScreen не сработает.  Причина в том, что 7-Zip  до версии 24.09 , вышедшей 30 ноября 2024 года, некорректно проставлял метку Mark-of-the-Web на распакованные файлы. На GitHub есть пример эксплоита.

Признаков эксплуатации уязвимости вживую пока нет. Но, скорее всего, они появятся, так как это простой способ повысить эффективность фишинговых атак. Обновите 7-Zip!

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Потенциальные жертвы: согласно данным  SourceForge , до ноября (даты выпуска обновления) было скачано около 430 миллионов копий программы, все устройства с устаревшей версией 7-zip потенциально уязвимы.

Способы устранения, компенсирующие меры:

• Обновите 7-Zip до версии  24.09 и выше .

• Используйте  функций безопасности  в операционной системе.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями  MaxPatrol VM  информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например  PT Application Firewall , которые позволяют обезопасить общедоступные ресурсы.

В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 января 2024 года.