Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак

В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.

Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.

Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.

Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.

В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.

Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.

Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на этой странице.

Не только Microsoft в сентябре устраняла критические дыры. Adobe закрыла уязвимость SessionReaper в Magento, которая позволяла перехватывать пользовательские сессии. Google выпустила сентябрьский патч Android, устранивший 84 ошибки, включая две активно эксплуатируемые в реальных атаках. SAP исправила уязвимость максимальной степени опасности в NetWeaver, позволявшую выполнять команды с правами системы. Sitecore подтвердила наличие zero-day, активно используемой хакерами , и выпустила обновления для защиты клиентов. TP-Link признала брешь в ряде домашних роутеров, которая пока находится в стадии изучения, но компания уже готовит патчи для американских пользователей. Cisco обновила WebEx, ASA и другие сетевые продукты, устранив риски удалённого доступа и утечек.

Сентябрьский Patch Tuesday стал одним из наиболее насыщенных в этом году. Две публично раскрытые zero-day в SMB и SQL Server подчёркивают необходимость максимально быстрой установки обновлений, а масштабный список уязвимостей в Windows и Office показывает, что атакующие могут использовать самые разные векторы для компрометации корпоративной инфраструктуры. Администраторам и специалистам по безопасности стоит незамедлительно проверить актуальность установленных патчей и внимательно отнестись к аудитам систем, чтобы снизить риск эксплуатации критических багов в реальных условиях.