Хет-трик из 0Day и 57 «дыр» — Microsoft выпустила декабрьский Patch Tuesday

Microsoft выпустила декабрьские обновления безопасности: в рамках Patch Tuesday исправлено 57 уязвимостей, среди них три zero-day (одна уже активно используется в атаках) и три критические уязвимости удалённого выполнения кода. Администраторам и пользователям Windows рекомендуется как можно скорее установить патчи.

В этот пакет входят 28 уязвимостей повышения привилегий, 19 проблем удалённого выполнения кода, 4 уязвимости раскрытия информации, 3 отказа в обслуживании и 2 уязвимости спуфинга. В отчёт не входят 15 уязвимостей в Microsoft Edge и баги в Mariner, закрытые отдельными обновлениями ранее в декабре. Для тех, кто следит за функциональными обновлениями, Microsoft параллельно опубликовала отдельные бюллетени по накопительным обновлениям Windows 11 (KB5072033 и KB5071417).

Главная проблема месяца — активно эксплуатируемая уязвимость повышения привилегий CVE-2025-62221 в драйвере Windows Cloud Files Mini Filter. Ошибка типа use-after-free позволяет локальному атакующему, уже имеющему учётную запись в системе, повысить свои привилегии до уровня SYSTEM. Это именно тот класс уязвимостей, который злоумышленники любят использовать в связке с другими багами: сначала — получение первоначального доступа, затем — эксплуатация подобного EoP-багa для полного захвата машины. Microsoft приписывает обнаружение уязвимости своим MSTIC и MSRC, но не раскрывает деталей реальных атак.

Ещё две уязвимости zero-day, исправленные в декабрьском выпуске, уже были публично раскрыты до выхода патча, что повышает риск попыток их эксплуатации.

Первая — CVE-2025-64671 в GitHub Copilot для IDE JetBrains. Это уязвимость удалённого выполнения кода, связанная с некорректной фильтрацией специальных символов в командах (command injection). По сути, злоумышленник может добиться выполнения произвольных команд локально, если заставит Copilot сгенерировать или дополнить команду в терминале. Microsoft отдельно отмечает сценарий с Cross Prompt Injection: вредоносные подсказки могут быть встроены в недоверенные файлы или MCP-серверы, а при включённой функции автоматического подтверждения команд в терминале к разрешённой команде могут «прицепиться» дополнительные, уже вредоносные. Уязвимость описал исследователь Ари Марзук в работе «IDEsaster: A Novel Vulnerability Class in AI IDEs», где он показывает, как ИИ-подсказки в IDE сами становятся поверхностью атаки.

Вторая публично раскрытая zero-day — CVE-2025-54100 в Windows PowerShell. Здесь опять речь о command injection: при использовании Invoke-WebRequest скрипты, встроенные в загружаемую веб-страницу, могли выполняться при её разборе. То есть достаточно было получить содержимое страницы через PowerShell, чтобы потенциально запустить код, который пользователь даже не планировал выполнять, если страница окажется вредоносной.

В качестве смягчения Microsoft изменила поведение PowerShell: теперь при использовании Invoke-WebRequest отображается предупреждение о риске выполнения скриптов из веб-контента и предлагается добавить ключ -UseBasicParsing, чтобы отключить расширенный разбор и тем самым исключить выполнение кода. Это важное изменение для администраторов и разработчиков, у которых в автоматизации активно используются веб-запросы: старые скрипты стоит пересмотреть и явно указать нужный режим работы.

Среди критических уязвимостей выделяются три проблемы в Microsoft Office: две RCE-уязвимости в Office (CVE-2025-62554 и CVE-2025-62557) и одна в Outlook (CVE-2025-62562). Традиционно для этого класса багов достаточно открыть специально подготовленный документ или письмо, чтобы дать атакующему возможность выполнить произвольный код с правами пользователя. Для корпоративных сред это по-прежнему один из самых удобных векторов для фишинга и целевых атак.

Помимо этого, патчем закрыт широкий спектр уязвимостей в системных компонентах Windows: от драйверов Windows Storage VSP и Resilient File System (ReFS) до Windows Projected File System, Win32k и Windows Shell. Есть уязвимости в службах Remote Access Connection Manager и Routing and Remote Access Service (RRAS), в DirectX и Hyper-V. Многие из них классифицируются как важные (Important) и могут использоваться для закрепления в системе, обхода изоляции и движения внутри сети после первоначального взлома.

Обновления затрагивают и серверные продукты: исправлены уязвимости повышения привилегий и spoofing в Microsoft Exchange Server, а также баги в SharePoint Server, что делает декабрьский выпуск особенно актуальным для администраторов корпоративной инфраструктуры, где эти решения часто доступны из интернета.

На фоне Microsoft свои декабрьские бюллетени выпустили и другие вендоры. Adobe закрыла уязвимости в ColdFusion, Experience Manager, DNG SDK, Acrobat Reader и клиенте Creative Cloud. Fortinet обновила ряд продуктов, в том числе исправила критическую уязвимость обхода аутентификации в FortiCloud SSO. Google опубликовала декабрьский бюллетень безопасности Android с исправлениями двух уже эксплуатируемых уязвимостей. Ivanti выпустила патчи, включая исправление XSS-уязвимости с оценкой CVSS 9.6 в Ivanti Endpoint Manager. React устранил критическую RCE-уязвимость React2Shell в React Server Components, которая уже активно используется в атаках. SAP закрыла множество багов, среди которых — уязвимость внедрения кода с оценкой CVSS 9.9 в SAP Solution Manager.

Администраторам стоит в первую очередь установить обновления, закрывающие активно эксплуатируемую CVE-2025-62221, PowerShell-уязвимость CVE-2025-54100 и баг в GitHub Copilot CVE-2025-64671, а также критические RCE в Office и Outlook и обновления для интернет-доступных серверов (Exchange, SharePoint, RRAS). После этого рекомендуется планомерно развернуть остальные декабрьские исправления Microsoft и сопутствующие обновления от других вендоров. Полный список уязвимостей и затронутых продуктов доступен в официальном отчёте.