Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили 3 трендовые уязвимости:
Уязвимости Microsoft
- Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut (CVE-2025-33053)
- Уязвимость, связанная с повышением привилегий, в SMB-клиенте (CVE-2025-33073)
Уязвимость Roundcube
- Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube (CVE-2025-49113)
Начнём, как обычно, с уязвимостей Windows.
Уязвимости в продуктах Microsoft
Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut
CVE-2025-33053 (оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимость из июньского Microsoft Patch Tuesday. Эта уязвимость сразу имела признаки эксплуатации вживую. Эксплуатация уязвимости позволяет удалённому злоумышленнику выполнить произвольный код при открытии жертвой специального .url-файла, доставленного, например, в ходе фишинговой атаки.
- Уязвимость зарепортили исследователи из компании Check Point. В день июньского Microsoft Patch Tuesday (10 июня) на их сайте были опубликованы технические детали. Уязвимость эксплуатировалась APT-группой Stealth Falcon как минимум с марта 2025 года. Эксплуатация уязвимости приводила к загрузке и запуску вредоносного ПО (Horus Agent) с WebDAV-сервера злоумышленника.
- Эксплойты для уязвимости доступны на GitHub с 12 июня.
Признаки эксплуатации: исследователи из Check Point сообщили об эксплуатации уязвимости APT-группировкой Stealth Falcon в атаке на турецкую оборонную компанию. Атака была проведена еще до публичного раскрытия информации об уязвимости, в итоге злоумышленники заразили жертву вредоносным ПО. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Уязвимость, связанная с повышением привилегий, в SMB-клиенте
CVE-2025-33073 (оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимость из июньского Microsoft Patch Tuesday. Для эксплуатации уязвимости злоумышленник может выполнить вредоносный скрипт, чтобы заставить хост жертвы подключиться к атакующему серверу по SMB и пройти аутентификацию. В результате злоумышленник может получить привилегии SYSTEM.
- Детали эксплуатации уязвимости были опубликованы 11 июня (на следующий день после MSPT) на сайтах компаний RedTeam Pentesting и Synacktiv.
- Эксплойты для уязвимости доступны на GitHub с 15 июня.
- Исследователи PT ESC подтвердили эксплуатабельность уязвимости и 24 июня опубликовали ликбез, варианты эксплуатации и информацию по методам детектирования.
Помимо установки обновления, для устранения уязвимости необходимо настроить принудительное требование подписи SMB для SMB-служб контроллеров и рабочих станций.
Информации об эксплуатации вживую пока нет.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft ( CVE-2025-33053, CVE-2025-33073).
Закончим трендовой уязвимостью в Roundcube.
Уязвимости в продукте Roundcube
Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube
CVE-2025-49113 (оценка по CVSS — 9,9; критический уровень опасности)
Roundcube – популярный веб-клиент для работы с электронной почтой (IMAP) с открытым исходным кодом. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольный код на сервере Roundcube Webmail. Причина уязвимости – Deserialization of Untrusted Data ( CWE-502).
-
1 июня вендор выпустил исправленные версии 1.6.11 и 1.5.10. В течение 48 часов патч был проанализирован злоумышленниками и сообщения о продаже эксплойта появились в даркнете.
-
3 июня эксперты PT SWARM воспроизвели уязвимость.
-
С 5 июня публичные эксплойты доступны на GitHub.
-
6 июня Кирилл Фирсов, исследователь, зарепортивший эту уязвимость, опубликовал подробный write-up. В нём он утверждает, что уязвимость присутствовала в коде 10 лет и что есть признаки её публичной эксплуатации.
-
16 июня появились сообщения об успешной атаке на немецкого почтового хостинг-провайдера с использованием этой уязвимости.
Признаки эксплуатации: предполагается, что атака на почтового хостинг-провайдера Cock.li была совершена с использованием этой уязвимости.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: Roundcube широко распространен в хостинг-среде (GoDaddy, Hostinger, OVH), входит в состав панелей управления (cPanel, Plesk и других), применяется в государственном и образовательном секторах, сфере технологий. По данным Censys, на момент написания статьи обнаружено около 2,5 миллионов экземпляров Roundcube Webmail. Как сообщили эксперты Shadowserver, по состоянию на 8 июня выявлено около 84 тысяч уязвимых экземпляров Roundcube, большинство из них — в США, Германии и Индии. По данным CyberOK, в России наблюдается более 78 тысяч уникальных инсталляций Roundcube Webmail, около 85% которых уязвимы.
Способы устранения, компенсирующие меры: согласно рекомендации Roundcube, необходимо обновить ПО до одной из исправленных версий ( 1.6.11 или 1.5.10).
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организациям.
Узнавать об актуальных недостатках безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
На этом всё. До встречи в новом дайджесте трендовых уязвимостей через месяц.
