Вторник исправлений: Microsoft исправляет две активно эксплуатируемые уязвимости нулевого дня

Ежемесячный отчет относительно легкий, с некоторыми мобильными обновлениями или исправлениями, которые уже были выполнены на стороне сервера и не должны вызывать беспокойства у администраторов, сказал Тайлер Регули, заместитель директора по исследованиям и разработкам в области безопасности в глобальном поставщике программного обеспечения и услуг по кибербезопасности Fortra. Другая уязвимость затрагивает только оборудование Microsoft Surface.

Февральское обновление исправляет две эксплуатируемые уязвимости

Две эксплуатируемые уязвимости:

CVE-2025-21391, уязвимость хранилища Windows, которая может позволить злоумышленнику удалить файлы. CVE-2025-21418, уязвимость для повышения привилегий, начинающаяся в драйвере вспомогательной функции Windows для WinSock.

«Хотя обе уязвимости имеют рейтинг важности от Microsoft и оценки CVSS в диапазоне 7.x, я бы отнес уязвимость Windows AFD для WinSock к критически важной с точки зрения исправления, учитывая, что она активно эксплуатируется», — написал Регули в электронном письме TechRepublic.

Старший научный сотрудник Tenable Сатнам Наранг в комментарии для KrebsonSecurity отметил, что с 2022 года в драйвере вспомогательных функций Windows для WinSock были обнаружены девять уязвимостей, включая случаи, приписываемые спонсируемой Северной Кореей группе усовершенствованных постоянных угроз.

«Основная причина — недостаточная проверка вводимых пользователем данных, что позволяет пользователям с низкими привилегиями отправлять специально созданные данные, которые переполняют буфер», — написал в своем блоге Майк Уолтерс, президент и соучредитель компании Action1, занимающейся управлением исправлениями.

Для исправления любой из эксплуатируемых уязвимостей не требуется никакого взаимодействия с пользователем.

CVE-2025-21391, уязвимость хранилища Windows нулевого дня, связана с тем, как Windows определяет пути к файлам и следует ссылкам, сказал Уолтерс. Удаление файлов — это только начало проблем, которые оно может вызвать, поскольку оно может привести к повышению привилегий, нежелательному доступу к журналам безопасности или конфигурациям, внедрению вредоносного ПО, манипулированию данными или другим атакам.

«С оценкой CVSS 7,1 метрики CVSS показывают, что эта уязвимость не влияет на конфиденциальность, поэтому доступ к конфиденциальным данным невозможен», — сказал Кев Брин, старший директор по исследованию угроз в компании-производителе платформ кибербезопасности Immersive, в электронном письме TechRepublic. «Однако это может серьезно повлиять на целостность и доступность данных».

Одна уязвимость имеет оценку CVSS 9.0

Самая высокая оценка CVSS, исправленная в февральском пакете исправлений, — CVE-2025-21198, оцененная как 9,0. Эта CVE может позволить злоумышленнику выполнить удаленную атаку на агента Linux в кластерах высокопроизводительных вычислений. Однако это сработает только в том случае, если у злоумышленника уже есть доступ к сети, к которой подключен кластер.

«Требование к сетевому взаимодействию должно ограничить влияние того, что в противном случае стало бы более серьезной уязвимостью», — сказал Регули.

СМОТРЕТЬ: Microsoft PowerToys теперь включает ZoomIT от Sysinternals — инструмент для записи экрана, предназначенный для технических презентаций.

Microsoft исправляет ошибку спуфинга, влияющую на все клиентские и серверные версии

CVE-2025-21377 уже был публично раскрыт, но патч выпускается сегодня. С помощью этой уязвимости злоумышленник может раскрыть хэш NTLMv2 пользователя, что позволит злоумышленнику подделать личность пользователя. Уолтерс сказал, что любая организация, использующая системы Windows, которые не полагаются исключительно на Kerberos для аутентификации, находится под угрозой.

По словам Брина, CVE-2025-21377 — это «еще одна уязвимость CVE, которую следует исправить как можно скорее».

«Пользователю не обязательно открывать или запускать исполняемый файл, но простого просмотра файла в Проводнике может быть достаточно, чтобы активировать уязвимость», — сказал Брин. «Эта конкретная уязвимость известна как атака NTLM-ретрансляции или передачи хэша, и этот стиль атаки является излюбленным для злоумышленников, поскольку он позволяет им выдавать себя за пользователей в сети».

Наконец, Бен Маккарти, ведущий инженер по кибербезопасности компании Immersive, указал на уязвимость CVE-2025-21381, позволяющую удаленно выполнять код в Excel.

«Уязвимости Excel особенно опасны, поскольку макросы и встроенные скрипты Excel исторически были основным вектором атак для групп APT, операторов программ-вымогателей и кампаний финансового мошенничества, часто обходя традиционные средства защиты», — сказал Маккарти.

Другие важные изменения в брендах

Как отметил Уолтерс, Chrome 131 недавно вышел с исправлениями для нескольких уязвимостей памяти. Ни одна из уязвимостей, обнаруженных Google, не была использована. Apple также начала выпуск iOS 18.3.1, которая включает исправление для физической атаки, которая могла быть использована против конкретных лиц. Иванти рекомендовал администраторам следить за обновлениями Google Chrome и Microsoft Edge на этой неделе.

«Браузеры — главная цель для злоумышленников, которые нацеливаются на пользователей», — написал вице-президент по управлению продуктами безопасности компании Ivanti, занимающейся ИТ-программным обеспечением. Крис Гёттл в своем блоге. «Хотя включение браузеров в ежемесячный процесс обновления рекомендуется, это оставляет много CVE открытыми между циклами. Рекомендуется перевести браузеры на еженедельный цикл приоритетных обновлений».

И последнее, но не менее важное: Adobe выпустила обновления для InDesign, Photoshop Elements, Illustrator и других.