Windows 10 сможет обнаруживать атаки с использованием PowerShell
Главная » Новости

Windows 10 сможет обнаруживать атаки с использованием PowerShell

Олег Иванов 07 Августа 2017 - 06:34
...
Windows 10 сможет обнаруживать атаки с использованием PowerShell

Компания Microsoft утверждает, что Windows 10 может обнаруживать подозрительную активность PowerShell, инъекции кода и вредоносные документы, а также атаки, когда процесс подключается к веб-серверу, копирует и запускает вредоносное приложение.

Эти возможности интегрированы во встроенное антивирусное средство Defender Advanced Threat Protection (Windows Defender ATP), которое было выпущено с Windows 10 Creators Update (и встроено в ядро Windows 10 Enterprise). По словам Microsoft, Windows Defender ATP опирается на общий поток поведенческих событий и технологии машинного обучения, встроенные в Windows 10.

Также компания заявляет, что поведенческий анализатор учитывает активность процессов-потомков, а также других связанных процессов. Это делается в связи с тем, что вредоносный код часто внедряется в смежные процессы. Таким образом, Windows Defender ATP отслеживает поведение всего дерева процессов, анализирует его действия.

Использование машинного обучения помогает Windows Defender ATP обнаруживать все виды передовых методов атак, в их числе атаки с использованием сценариев PowerShell, инъекций кода и полиморфных документов, запускающих вредоносный код. Об этом компания Microsoft пишет в блоге.

Одним из вредоносных применений PowerShell является выполнение задач без использования вредоносных двоичных файлов, которые могут обнаруживать сигнатурные датчики. Поскольку вредоносную составляющую, хранящуюся в скриптах, легче поддерживать и модифицировать, PowerShell является отличным решением для злоумышленников. Благодаря тому же машинному обучению, Windows Defender ATP может обнаруживать подозрительное поведение PowerShell.

Из известных вредоносных программ, использующих возможности PowerShell, можно выделить такие, как Kovter и Dridex.

Кроме того, Windows Defender ATP также способен детектировать активность документов с вредоносными макросами, которые используют процессы PowerShell.exe и Winword.exe, на что не способны технологии на основе сигнатур.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две 0-day и 81 баг: вышли сентябрьские патчи Microsoft
Екатерина Быстрова 10 Сентября 2025 - 09:13
Windows ЭксплойтыУязвимости программУязвимость нулевого дня Домашние пользователиКорпорации Microsoft
Две 0-day и 81 баг: вышли сентябрьские патчи Microsoft

Сегодня Microsoft выпустила сентябрьский пакет обновлений безопасности — традиционный Patch Tuesday. На этот раз компания закрыла 81 уязвимость, среди которых сразу две уже известных 0-day. Из общего числа багов девять получили статус «критических».

Пять из них позволяют выполнить удалённый код, одна связана с утечкой информации, ещё две дают злоумышленникам возможность повысить привилегии.

Если посмотреть по категориям, картина выглядит так:

  • 41 уязвимость повышения привилегий,
  • 2 обхода функций безопасности,
  • 22 удалённого выполнения кода,
  • 16 раскрытия информации,
  • 3 отказа в обслуживании,
  • 1 подделки (spoofing).

Важно отметить, что в эту статистику не входят баги, которые Microsoft закрыла ранее в сентябре: три в Azure, одна в Dynamics 365 FastTrack Implementation Assets, две в Mariner, пять в Edge и одна в Xbox.

Две 0-day

Первая критическая уязвимость — CVE-2025-55234 в Windows SMB Server. Речь идёт о проблеме повышения привилегий, связанной с релейными атаками. Microsoft предупреждает: в зависимости от конфигурации сервер может быть уязвим.

Чтобы защититься, рекомендуется включить SMB Server Signing и Extended Protection for Authentication (EPA). Но здесь есть нюанс — старые устройства могут работать некорректно, поэтому компания советует сначала включить аудит совместимости.

Вторая проблема — CVE-2024-21907, связанная с библиотекой Newtonsoft.Json, которая используется в Microsoft SQL Server. Уязвимость могла приводить к переполнению стека при десериализации данных через метод JsonConvert.DeserializeObject. Это позволяло удалённому атакующему вызвать отказ в обслуживании. В свежих апдейтах Microsoft обновила SQL Server и встроенную версию Newtonsoft.Json, закрыв дыру.

Полный список пропатченных уязвимостей приводим ниже:

Затронутый компонент CVE-идентификатор CVE-наименование Степень риска
Azure - Networking CVE-2025-54914 Azure Networking Elevation of Privilege Vulnerability Критическая
Azure Arc CVE-2025-55316 Azure Arc Elevation of Privilege Vulnerability Важная
Azure Bot Service CVE-2025-55244 Azure Bot Service Elevation of Privilege Vulnerability Критическая
Azure Entra CVE-2025-55241 Azure Entra Elevation of Privilege Vulnerability Критическая
Azure Windows Virtual Machine Agent CVE-2025-49692 Azure Connected Machine Agent Elevation of Privilege Vulnerability Важная
Capability Access Management Service (camsvc) CVE-2025-54108 Capability Access Management Service (camsvc) Elevation of Privilege Vulnerability Важная
Dynamics 365 FastTrack Implementation Assets CVE-2025-55238 Dynamics 365 FastTrack Implementation Assets Information Disclosure Vulnerability Критическая
Graphics Kernel CVE-2025-55236 Graphics Kernel Remote Code Execution Vulnerability Критическая
Graphics Kernel CVE-2025-55223 DirectX Graphics Kernel Elevation of Privilege Vulnerability Важная
Graphics Kernel CVE-2025-55226 Graphics Kernel Remote Code Execution Vulnerability Критическая
Microsoft AutoUpdate (MAU) CVE-2025-55317 Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability Важная
Microsoft Brokering File System CVE-2025-54105 Microsoft Brokering File System Elevation of Privilege Vulnerability Важная
Microsoft Edge (Chromium-based) CVE-2025-9866 Chromium: CVE-2025-9866 Inappropriate implementation in Extensions Неизвестно
Microsoft Edge (Chromium-based) CVE-2025-9867 Chromium: CVE-2025-9867 Inappropriate implementation in Downloads Неизвестно
Microsoft Edge (Chromium-based) CVE-2025-53791 Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability Средняя
Microsoft Edge (Chromium-based) CVE-2025-9864 Chromium: CVE-2025-9864 Use after free in V8 Неизвестно
Microsoft Edge (Chromium-based) CVE-2025-9865 Chromium: CVE-2025-9865 Inappropriate implementation in Toolbar Неизвестно
Microsoft Graphics Component CVE-2025-53807 Windows Graphics Component Elevation of Privilege Vulnerability Важная
Microsoft Graphics Component CVE-2025-53800 Windows Graphics Component Elevation of Privilege Vulnerability Критическая
Microsoft High Performance Compute Pack (HPC) CVE-2025-55232 Microsoft High Performance Compute (HPC) Pack Remote Code Execution Vulnerability Важная
Microsoft Office CVE-2025-54910 Microsoft Office Remote Code Execution Vulnerability Критическая
Microsoft Office CVE-2025-55243 Microsoft OfficePlus Spoofing Vulnerability Важная
Microsoft Office CVE-2025-54906 Microsoft Office Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-54902 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-54899 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-54904 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-54903 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-54898 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-54896 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-54900 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-54901 Microsoft Excel Information Disclosure Vulnerability Важная
Microsoft Office PowerPoint CVE-2025-54908 Microsoft PowerPoint Remote Code Execution Vulnerability Важная
Microsoft Office SharePoint CVE-2025-54897 Microsoft SharePoint Remote Code Execution Vulnerability Важная
Microsoft Office Visio CVE-2025-54907 Microsoft Office Visio Remote Code Execution Vulnerability Важная
Microsoft Office Word CVE-2025-54905 Microsoft Word Information Disclosure Vulnerability Важная
Microsoft Virtual Hard Drive CVE-2025-54112 Microsoft Virtual Hard Disk Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2025-54092 Windows Hyper-V Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2025-54091 Windows Hyper-V Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2025-54115 Windows Hyper-V Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2025-54098 Windows Hyper-V Elevation of Privilege Vulnerability Важная
SQL Server CVE-2025-47997 Microsoft SQL Server Information Disclosure Vulnerability Важная
SQL Server CVE-2025-55227 Microsoft SQL Server Elevation of Privilege Vulnerability Важная
SQL Server CVE-2024-21907 VulnCheck: CVE-2024-21907 Improper Handling of Exceptional Conditions in Newtonsoft.Json Неизвестно
Windows Ancillary Function Driver for WinSock CVE-2025-54099 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows BitLocker CVE-2025-54911 Windows BitLocker Elevation of Privilege Vulnerability Важная
Windows BitLocker CVE-2025-54912 Windows BitLocker Elevation of Privilege Vulnerability Важная
Windows Bluetooth Service CVE-2025-53802 Windows Bluetooth Service Elevation of Privilege Vulnerability Важная
Windows Connected Devices Platform Service CVE-2025-54102 Windows Connected Devices Platform Service Elevation of Privilege Vulnerability Важная
Windows Connected Devices Platform Service CVE-2025-54114 Windows Connected Devices Platform Service (Cdpsvc) Denial of Service Vulnerability Важная
Windows Defender Firewall Service CVE-2025-53810 Windows Defender Firewall Service Elevation of Privilege Vulnerability Важная
Windows Defender Firewall Service CVE-2025-53808 Windows Defender Firewall Service Elevation of Privilege Vulnerability Важная
Windows Defender Firewall Service CVE-2025-54094 Windows Defender Firewall Service Elevation of Privilege Vulnerability Важная
Windows Defender Firewall Service CVE-2025-54915 Windows Defender Firewall Service Elevation of Privilege Vulnerability Важная
Windows Defender Firewall Service CVE-2025-54109 Windows Defender Firewall Service Elevation of Privilege Vulnerability Важная
Windows Defender Firewall Service CVE-2025-54104 Windows Defender Firewall Service Elevation of Privilege Vulnerability Важная
Windows DWM CVE-2025-53801 Microsoft DWM Core Library Elevation of Privilege Vulnerability Важная
Windows Imaging Component CVE-2025-53799 Windows Imaging Component Information Disclosure Vulnerability Критическая
Windows Internet Information Services CVE-2025-53805 HTTP.sys Denial of Service Vulnerability Важная
Windows Kernel CVE-2025-53803 Windows Kernel Memory Information Disclosure Vulnerability Важная
Windows Kernel CVE-2025-53804 Windows Kernel-Mode Driver Information Disclosure Vulnerability Важная
Windows Kernel CVE-2025-54110 Windows Kernel Elevation of Privilege Vulnerability Важная
Windows Local Security Authority Subsystem Service (LSASS) CVE-2025-54894 Local Security Authority Subsystem Service Elevation of Privilege Vulnerability Важная
Windows Local Security Authority Subsystem Service (LSASS) CVE-2025-53809 Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability Важная
Windows Management Services CVE-2025-54103 Windows Management Service Elevation of Privilege Vulnerability Важная
Windows MapUrlToZone CVE-2025-54107 MapUrlToZone Security Feature Bypass Vulnerability Важная
Windows MapUrlToZone CVE-2025-54917 MapUrlToZone Security Feature Bypass Vulnerability Важная
Windows MultiPoint Services CVE-2025-54116 Windows MultiPoint Services Elevation of Privilege Vulnerability Важная
Windows NTFS CVE-2025-54916 Windows NTFS Remote Code Execution Vulnerability Важная
Windows NTLM CVE-2025-54918 Windows NTLM Elevation of Privilege Vulnerability Критическая
Windows PowerShell CVE-2025-49734 PowerShell Direct Elevation of Privilege Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-54095 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-54096 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53797 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53796 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-54106 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-54097 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53798 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-54113 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-55225 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53806 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows SMB CVE-2025-55234 Windows SMB Elevation of Privilege Vulnerability Важная
Windows SMBv3 Client CVE-2025-54101 Windows SMB Client Remote Code Execution Vulnerability Важная
Windows SPNEGO Extended Negotiation CVE-2025-54895 SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Elevation of Privilege Vulnerability Важная
Windows TCP/IP CVE-2025-54093 Windows TCP/IP Driver Elevation of Privilege Vulnerability Важная
Windows UI XAML Maps MapControlSettings CVE-2025-54913 Windows UI XAML Maps MapControlSettings Elevation of Privilege Vulnerability Важная
Windows UI XAML Phone DatePickerFlyout CVE-2025-54111 Windows UI XAML Phone DatePickerFlyout Elevation of Privilege Vulnerability Важная
Windows Win32K - GRFX CVE-2025-55224 Windows Hyper-V Remote Code Execution Vulnerability Критическая
Windows Win32K - GRFX CVE-2025-55228 Windows Graphics Component Remote Code Execution Vulnerability Критическая
Windows Win32K - GRFX CVE-2025-54919 Windows Graphics Component Remote Code Execution Vulnerability Важная
Xbox CVE-2025-55242 Xbox Certification Bug Copilot Djando Information Disclosure Vulnerability Критическая
XBox Gaming Services CVE-2025-55245 Xbox Gaming Services Elevation of Privilege Vulnerability Важная
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Сбер и Security Vision интегрируют решения для борьбы с киберугрозами
Новость
Сбер и Security Vision интегрируют решения для борьбы с кибе...
Система маркировки Честный знак работает с перебоями
Новость
Система маркировки Честный знак работает с перебоями
Из-за уязвимости Windows Hello отключили в темноте на Windows 10 и 11
Новость
Из-за уязвимости Windows Hello отключили в темноте на Window...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.