Две 0-day и 10 критических багов: что принёс июньский апдейт Windows

Екатерина Быстрова 11 Июня 2025 - 09:20

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

Две 0-day и 10 критических багов: что принёс июньский апдейт Windows

Сегодня Microsoft выпустила июньский пакет обновлений — традиционный Patch Tuesday. В этот раз в него вошли 66 уязвимостей, из которых одна уже используется в атаках, а другая была публично раскрыта до релиза патча.

Кроме того, Microsoft устранила 10 критических уязвимостей, из них 8 — это RCE (удалённое выполнение кода) и ещё 2 — эскалация привилегий.

Что по категориям

Обновление закрывает уязвимости следующих типов:

13 — повышение прав.
3 — обход средств безопасности.
25 — удалённое выполнение кода.
17 — раскрытие информации.
6 — отказ в обслуживании.
2 — спуфинг.

Две zero-day: одна в бою, другая уже в открытом доступе

1. CVE-2025-33053 — WebDAV Remote Code Execution (эксплуатируется)

Эта уязвимость в компоненте WebDAV Windows позволяет атакующему удалённо выполнить код. Главное условие — жертва должна кликнуть по специально сформированной WebDAV-ссылке.

По данным Check Point Research, уязвимость уже использовалась в марте 2025 года APT-группой Stealth Falcon в атаке на оборонную компанию в Турции. Злоумышленники подменили рабочую директорию штатного Windows-инструмента и запускали вредоносный код с подконтрольного WebDAV-сервера.

Уязвимость обнаружили Александра Гофман и Давид Дрикер (Check Point). Microsoft присвоила номер CVE-2025-33053 и выпустила патч 10 июня 2025 года.

2. CVE-2025-33073 — SMB Client Elevation of Privilege (публично раскрыта)

Вторая zero-day — уязвимость в клиенте SMB, позволяющая повысить привилегии до уровня SYSTEM. Атакующий может принудить систему жертвы подключиться к вредоносному SMB-серверу и пройти аутентификацию — после чего получает повышенные права.

Хотя патч уже вышел, Microsoft предлагает временную меру: включить серверную подпись SMB через Group Policy, чтобы снизить риск эксплуатации. Полный список закрытых брешей приводим в таблице ниже:

Tag	CVE-идентификатор	CVE-наименование	Степень риска
.NET and Visual Studio	CVE-2025-30399	.NET and Visual Studio Remote Code Execution Vulnerability	Важная
App Control for Business (WDAC)	CVE-2025-33069	Windows App Control for Business Security Feature Bypass Vulnerability	Важная
Microsoft AutoUpdate (MAU)	CVE-2025-47968	Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability	Важная
Microsoft Local Security Authority Server (lsasrv)	CVE-2025-33056	Windows Local Security Authority (LSA) Denial of Service Vulnerability	Важная
Microsoft Office	CVE-2025-47164	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2025-47167	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2025-47162	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2025-47173	Microsoft Office Remote Code Execution Vulnerability	Важная
Microsoft Office	CVE-2025-47953	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office Excel	CVE-2025-47165	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-47174	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Outlook	CVE-2025-47171	Microsoft Outlook Remote Code Execution Vulnerability	Важная
Microsoft Office Outlook	CVE-2025-47176	Microsoft Outlook Remote Code Execution Vulnerability	Важная
Microsoft Office PowerPoint	CVE-2025-47175	Microsoft PowerPoint Remote Code Execution Vulnerability	Важная
Microsoft Office SharePoint	CVE-2025-47172	Microsoft SharePoint Server Remote Code Execution Vulnerability	Критическая
Microsoft Office SharePoint	CVE-2025-47166	Microsoft SharePoint Server Remote Code Execution Vulnerability	Важная
Microsoft Office SharePoint	CVE-2025-47163	Microsoft SharePoint Server Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-47170	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-47957	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-47169	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-47168	Microsoft Word Remote Code Execution Vulnerability	Важная
Nuance Digital Engagement Platform	CVE-2025-47977	Nuance Digital Engagement Platform Spoofing Vulnerability	Важная
Remote Desktop Client	CVE-2025-32715	Remote Desktop Protocol Client Information Disclosure Vulnerability	Важная
Visual Studio	CVE-2025-47959	Visual Studio Remote Code Execution Vulnerability	Важная
WebDAV	CVE-2025-33053	Web Distributed Authoring and Versioning (WEBDAV) Remote Code Execution Vulnerability	Важная
Windows Common Log File System Driver	CVE-2025-32713	Windows Common Log File System Driver Elevation of Privilege Vulnerability	Важная
Windows Cryptographic Services	CVE-2025-29828	Windows Schannel Remote Code Execution Vulnerability	Критическая
Windows DHCP Server	CVE-2025-33050	DHCP Server Service Denial of Service Vulnerability	Важная
Windows DHCP Server	CVE-2025-32725	DHCP Server Service Denial of Service Vulnerability	Важная
Windows DWM Core Library	CVE-2025-33052	Windows DWM Core Library Information Disclosure Vulnerability	Важная
Windows Hello	CVE-2025-47969	Windows Virtualization-Based Security (VBS) Information Disclosure Vulnerability	Важная
Windows Installer	CVE-2025-33075	Windows Installer Elevation of Privilege Vulnerability	Важная
Windows Installer	CVE-2025-32714	Windows Installer Elevation of Privilege Vulnerability	Важная
Windows KDC Proxy Service (KPSSVC)	CVE-2025-33071	Windows KDC Proxy Service (KPSSVC) Remote Code Execution Vulnerability	Критическая
Windows Kernel	CVE-2025-33067	Windows Task Scheduler Elevation of Privilege Vulnerability	Важная
Windows Local Security Authority (LSA)	CVE-2025-33057	Windows Local Security Authority (LSA) Denial of Service Vulnerability	Важная
Windows Local Security Authority Subsystem Service (LSASS)	CVE-2025-32724	Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability	Важная
Windows Media	CVE-2025-32716	Windows Media Elevation of Privilege Vulnerability	Важная
Windows Netlogon	CVE-2025-33070	Windows Netlogon Elevation of Privilege Vulnerability	Критическая
Windows Recovery Driver	CVE-2025-32721	Windows Recovery Driver Elevation of Privilege Vulnerability	Важная
Windows Remote Access Connection Manager	CVE-2025-47955	Windows Remote Access Connection Manager Elevation of Privilege Vulnerability	Важная
Windows Remote Desktop Services	CVE-2025-32710	Windows Remote Desktop Services Remote Code Execution Vulnerability	Критическая
Windows Routing and Remote Access Service (RRAS)	CVE-2025-33064	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-33066	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows SDK	CVE-2025-47962	Windows SDK Elevation of Privilege Vulnerability	Важная
Windows Secure Boot	CVE-2025-3052	Cert CC: CVE-2025-3052 InsydeH2O Secure Boot Bypass	Важная
Windows Security App	CVE-2025-47956	Windows Security App Spoofing Vulnerability	Важная
Windows Shell	CVE-2025-47160	Windows Shortcut Files Security Feature Bypass Vulnerability	Важная
Windows SMB	CVE-2025-33073	Windows SMB Client Elevation of Privilege Vulnerability	Важная
Windows SMB	CVE-2025-32718	Windows SMB Client Elevation of Privilege Vulnerability	Важная
Windows Standards-Based Storage Management Service	CVE-2025-33068	Windows Standards-Based Storage Management Service Denial of Service Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-32719	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-24065	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-24068	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33055	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-24069	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33060	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33059	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33062	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33061	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33058	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-32720	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33065	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33063	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Port Driver	CVE-2025-32722	Windows Storage Port Driver Information Disclosure Vulnerability	Важная
Windows Win32K - GRFX	CVE-2025-32712	Win32k Elevation of Privilege Vulnerability	Важная

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 02 Февраля 2026 - 14:52

Linux Бэкдоры Трояны Корпорации Государство

Сложный бесфайловый троян ShadowHS незаметно захватывает Linux-системы

Исследователи обнаружили ShadowHS — продвинутый бесфайловый фреймворк для атак на Linux, который заметно отличается от привычных вредоносных программ. Это не очередной бинарник, который можно поймать антивирусом, а полноценный инструмент постэксплуатации, целиком работающий в памяти и рассчитанный на долгую и аккуратную работу внутри защищённых корпоративных сред.

По данным Cyble Research & Intelligence Labs, ShadowHS — это сильно модифицированная и «вооружённая» версия утилиты hackshell.

В процессе заражения вредонос вообще не пишет файлы на диск: он выполняется из анонимных файловых дескрипторов, маскирует имя процесса под легитимные приложения вроде python3 и тем самым обходит контроль целостности и классические механизмы защиты.

Цепочка заражения начинается с многоступенчатого шелл-загрузчика, в котором полезная нагрузка зашифрована с помощью AES-256-CBC. После запуска загрузчик проверяет наличие зависимостей вроде OpenSSL, Perl и gzip, определяет контекст запуска и только затем восстанавливает пейлоад через сложную цепочку декодирования. Исполнение происходит напрямую из памяти — через /proc/<pid>/fd/<fd>, без следов в файловой системе.

Ключевая особенность ShadowHS — его «сдержанный» характер. В отличие от массовых зловредов, он не начинает сразу майнить криптовалюту или выкачивать данные. Сначала фреймворк проводит глубокую разведку окружения: ищет средства защиты, анализирует конфигурацию системы и передаёт результаты оператору, который уже вручную решает, что делать дальше. Такой подход больше похож на работу живого атакующего, чем на автоматизированный бот.

ShadowHS активно проверяет наличие корпоративных средств защиты — от CrowdStrike Falcon и Sophos Intercept X до Microsoft Defender, Elastic Agent, Wazuh, Tanium и агентов облачных провайдеров. Для этого используются проверки файловых путей, статусов сервисов и анализ состояния системы. Параллельно вредонос «зачищает территорию»: он ищет и завершает процессы конкурирующих семейств зловредов, включая Kinsing, Rondo и печально известный бэкдор Ebury, а также выявляет следы руткитов и прежних компрометаций.

Отдельного внимания заслуживает механизм вывода данных. Вместо стандартных SSH, SCP или SFTP ShadowHS использует пользовательские туннели GSocket. Передача файлов идёт через заранее заданную точку rendezvous и маскируется под локальные соединения, которые фактически перехватываются GSocket до попадания в сетевой стек. Такой подход позволяет обходить файрволы и средства сетевого мониторинга, не создавая очевидных сетевых сессий.

Если оператор решает активировать «тяжёлые» модули, ShadowHS способен развернуть сразу несколько вариантов криптомайнинга — от XMRig и XMR-Stak до GMiner и lolMiner. Для латерального перемещения он подтягивает инструменты вроде Rustscan. В коде также заложены модули для кражи AWS-учёток, SSH-ключей, данных из GitLab, WordPress, Bitrix, Docker, Proxmox, OpenVZ и облачных метаданных-сервисов — пока они остаются «спящими».

Из-за полностью fileless-архитектуры традиционные сигнатурные средства защиты против ShadowHS почти бесполезны. Эффективное обнаружение требует анализа поведения процессов, мониторинга исполнения в памяти и телеметрии на уровне ядра. Эксперты рекомендуют уделять внимание аномальной генеалогии процессов, подмене аргументов запуска и нетипичному использованию механизмов вроде memfd.