Microsoft закрыла 6 активно эксплуатируемых 0-day с мартовскими патчами

Microsoft закрыла 6 активно эксплуатируемых 0-day с мартовскими патчами

Microsoft закрыла 6 активно эксплуатируемых 0-day с мартовскими патчами

Microsoft выпустила набор мартовских обновлений, в котором разработчики закрыли 57 уязвимостей, включая шесть активно эксплуатируемых 0-day и одну уязвимость с общедоступным эксплойтом.

В этом обновлении Microsoft устранила:

  • 23 проблемы повышения привилегий.
  • Три возможности обхода защитной функциональности.
  • 23 бреши удалённого выполнения кода.
  • Четыре бага раскрытия информации.
  • Одну DoS-уязвимость.
  • Три возможности спуфинга.

Как уже отмечалось выше, в этом месяце Microsoft пропатчила шесть активно эксплуатируемых 0-day и одну уязвимость, технические данные которой раскрыты публично.

1. CVE-2025-24983 — повышение привилегий в подсистеме Windows Win32 Kernel.

Позволяет локальному атакующему получить права SYSTEM на целевом устройстве. Уязвимость связана с race condition.

2. CVE-2025-24984 — раскрытие информации в Windows NTFS.

Эксплуатируется при наличии физического доступа к устройству: атакующий вставляет вредоносный USB-накопитель, получая доступ к содержимому оперативной памяти.

3. CVE-2025-24985 — возможность удалённого выполнения кода в драйвере Windows Fast FAT.

Позволяет атакующему выполнить удалённый код из-за целочисленного переполнения в драйвере Windows Fast FAT. Злоумышленник может заставить пользователя подключить специально созданный VHD-образ, что приведёт к эксплуатации.

4. CVE-2025-24991 — также баг раскрытия информации в Windows NTFS.

Злоумышленник может прочитать части памяти с помощью модифицированного VHD-файла, если пользователь согласится его подключить.

5. CVE-2025-24993 — возможность удалённого выполнения кода в Windows NTFS.

Связана с переполнением буфера в NTFS. Позволяет атакующему выполнить произвольный код при монтировании вредоносного VHD-образа.

6. CVE-2025-26633 — обход защитной функциональности в Microsoft Management Console.

Позволяет обойти функции безопасности через вредоносный .msc-файл. Злоумышленник может отправить жертве файл по электронной почте или через мессенджер и обманом заставить открыть его.

Публично раскрытая уязвимость:

CVE-2025-26630 — удалённое выполнение кода в Microsoft Access.

Связана с ошибкой «use after free» в Microsoft Access. Злоумышленник отправляет специально созданный файл, который жертва должна открыть.

Затронутый компонент CVE-идентификатор CVE-наименованиеe Степень опасности
.NET CVE-2025-24043 WinDbg Remote Code Execution Vulnerability Важная
ASP.NET Core & Visual Studio CVE-2025-24070 ASP.NET Core and Visual Studio Elevation of Privilege Vulnerability Важная
Azure Agent Installer CVE-2025-21199 Azure Agent Installer for Backup and Site Recovery Elevation of Privilege Vulnerability Важная
Azure Arc CVE-2025-26627 Azure Arc Installer Elevation of Privilege Vulnerability Важная
Azure CLI CVE-2025-24049 Azure Command Line Integration (CLI) Elevation of Privilege Vulnerability Важная
Azure PromptFlow CVE-2025-24986 Azure Promptflow Remote Code Execution Vulnerability Важная
Kernel Streaming WOW Thunk Service Driver CVE-2025-24995 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability Важная
Microsoft Local Security Authority Server (lsasrv) CVE-2025-24072 Microsoft Local Security Authority (LSA) Server Elevation of Privilege Vulnerability Важная
Microsoft Management Console CVE-2025-26633 Microsoft Management Console Security Feature Bypass Vulnerability Важная
Microsoft Office CVE-2025-24083 Microsoft Office Remote Code Execution Vulnerability Важная
Microsoft Office CVE-2025-26629 Microsoft Office Remote Code Execution Vulnerability Важная
Microsoft Office CVE-2025-24080 Microsoft Office Remote Code Execution Vulnerability Важная
Microsoft Office CVE-2025-24057 Microsoft Office Remote Code Execution Vulnerability Критическая
Microsoft Office Access CVE-2025-26630 Microsoft Access Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-24081 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-24082 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-24075 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Word CVE-2025-24077 Microsoft Word Remote Code Execution Vulnerability Важная
Microsoft Office Word CVE-2025-24078 Microsoft Word Remote Code Execution Vulnerability Важная
Microsoft Office Word CVE-2025-24079 Microsoft Word Remote Code Execution Vulnerability Важная
Microsoft Streaming Service CVE-2025-24046 Kernel Streaming Service Driver Elevation of Privilege Vulnerability Важная
Microsoft Streaming Service CVE-2025-24067 Kernel Streaming Service Driver Elevation of Privilege Vulnerability Важная
Microsoft Windows CVE-2025-25008 Windows Server Elevation of Privilege Vulnerability Важная
Microsoft Windows CVE-2024-9157 Synaptics: CVE-2024-9157 Synaptics Service Binaries DLL Loading Vulnerability Важная
Remote Desktop Client CVE-2025-26645 Remote Desktop Client Remote Code Execution Vulnerability Критическая
Role: DNS Server CVE-2025-24064 Windows Domain Name Service Remote Code Execution Vulnerability Критическая
Role: Windows Hyper-V CVE-2025-24048 Windows Hyper-V Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2025-24050 Windows Hyper-V Elevation of Privilege Vulnerability Важная
Visual Studio CVE-2025-24998 Visual Studio Elevation of Privilege Vulnerability Важная
Visual Studio CVE-2025-25003 Visual Studio Elevation of Privilege Vulnerability Важная
Visual Studio Code CVE-2025-26631 Visual Studio Code Elevation of Privilege Vulnerability Важная
Windows Common Log File System Driver CVE-2025-24059 Windows Common Log File System Driver Elevation of Privilege Vulnerability Важная
Windows Cross Device Service CVE-2025-24994 Microsoft Windows Cross Device Service Elevation of Privilege Vulnerability Важная
Windows Cross Device Service CVE-2025-24076 Microsoft Windows Cross Device Service Elevation of Privilege Vulnerability Важная
Windows exFAT File System CVE-2025-21180 Windows exFAT File System Remote Code Execution Vulnerability Важная
Windows Fast FAT Driver CVE-2025-24985 Windows Fast FAT File System Driver Remote Code Execution Vulnerability Важная
Windows File Explorer CVE-2025-24071 Microsoft Windows File Explorer Spoofing Vulnerability Важная
Windows Kernel Memory CVE-2025-24997 DirectX Graphics Kernel File Denial of Service Vulnerability Важная
Windows Kernel-Mode Drivers CVE-2025-24066 Kernel Streaming Service Driver Elevation of Privilege Vulnerability Важная
Windows MapUrlToZone CVE-2025-21247 MapUrlToZone Security Feature Bypass Vulnerability Важная
Windows Mark of the Web (MOTW) CVE-2025-24061 Windows Mark of the Web Security Feature Bypass Vulnerability Важная
Windows NTFS CVE-2025-24993 Windows NTFS Remote Code Execution Vulnerability Важная
Windows NTFS CVE-2025-24984 Windows NTFS Information Disclosure Vulnerability Важная
Windows NTFS CVE-2025-24992 Windows NTFS Information Disclosure Vulnerability Важная
Windows NTFS CVE-2025-24991 Windows NTFS Information Disclosure Vulnerability Важная
Windows NTLM CVE-2025-24996 NTLM Hash Disclosure Spoofing Vulnerability Важная
Windows NTLM CVE-2025-24054 NTLM Hash Disclosure Spoofing Vulnerability Важная
Windows Remote Desktop Services CVE-2025-24035 Windows Remote Desktop Services Remote Code Execution Vulnerability Критическая
Windows Remote Desktop Services CVE-2025-24045 Windows Remote Desktop Services Remote Code Execution Vulnerability Критическая
Windows Routing and Remote Access Service (RRAS) CVE-2025-24051 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Subsystem for Linux CVE-2025-24084 Windows Subsystem for Linux (WSL2) Kernel Remote Code Execution Vulnerability Критическая
Windows Telephony Server CVE-2025-24056 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows USB Video Driver CVE-2025-24988 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2025-24987 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2025-24055 Windows USB Video Class System Driver Information Disclosure Vulnerability Важная
Windows Win32 Kernel Subsystem CVE-2025-24044 Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability Важная
Windows Win32 Kernel Subsystem CVE-2025-24983 Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability Важная
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

macOS-юзеров через ClickFix атакует Odyssey Stealer — переодетый Poseidon

Эксперты CYFIRMA обнаружили множество сайтов, использующих тактику Clickfix для раздачи вредоносных AppleScript. Как оказалось, целевой троян Odyssey — это обновленный, сменивший имя инфостилер Poseidon.

Вредоносные фейки используют тайпсквоттинг и имитируют легитимные финансовые сервисы, магазин приложений Apple для macOS и сайты новостей на рынке криптовалют.

При заходе на такую площадку пользователю отображается фейковый тест CAPTCHA в стиле Cloudflare с предложением скопировать и вставить в Терминал закодированную по Base64 команду.

В результате атаки ClickFix на машину жертвы с внешнего сервера загружается AppleScript для кражи данных. Обфускация не применяется, и это сильно облегчает анализ.

При заходе на поддельный сайт с Windows-устройства инструкции по копипасту соответствующим образом изменяются — визитера просят запустить Powershell, однако на момент анализа кнопка «»Скопировать» не работала.

 

Вредоносный скрипт создает на macOS-компьютере папку временных файлов для хранения краденого. Туда копируются конфигурационные данные из менеджеров паролей, сохраненные в Chrome, Firefox и Safari учетки; приватные ключи, сид-фразы для криптокошельков, токены аутентификации из 100+ расширений браузеров; файлы из папок «Рабочий стол» и «Документы», а также пароли, полученные с помощью фейковых системных подсказок.

Украденные данные впоследствии выводятся на серверы авторов атаки в виде ZIP-файла. По состоянию на 30 июня стилера Odyssey детектируют 22 из 62 антивирусов коллекции VirusTotal.

Анализ показал, что новобранец является результатом развития и ребрендинга Poseidon Stealer, а также форком AMOS Stealer. Его центры управления по большей части размещены в России. Жертвы — в основном жители США и ЕС; страны СНГ, по всей видимости, являются табу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru