| Cookie | Duration | Description |
|---|---|---|
| cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
| cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
| cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
| cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
| cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
| viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Компания Microsoft выпустила ноябрьское обновление безопасности Patch Tuesday, устраняющее 63 уязвимости во всем портфолио ее продуктов, включая пять критических проблем высокой степени серьезности.
Список этого месяца также включает тревожное событие: одна из уязвимостей (отслеживаемая как CVE‑2025‑62215 ) уже была обнаружена в реальных условиях эксплуатации («в дикой природе»), что подчеркивает, что угроза не является просто теоретической.
Учитывая объём и серьёзность этих уязвимостей, организациям любого размера было бы разумно отнестись к этому обновлению как к срочному. Но чтобы выйти за рамки простого призыва «примените исправления», стоит разобраться, что поставлено на карту, почему это важно и как специалистам по безопасности следует расставлять приоритеты.
Вот список уязвимостей, отсортированных по типу:
Почему вам следует немедленно установить исправление
Выделим несколько ключевых моментов:
Количество и уровень серьёзности : 63 уязвимости CVE в одном обновлении — это большое число даже по меркам недавних «вторников патчей». Уже один этот объём увеличивает нагрузку на команды разработчиков.
Активная эксплуатация : тот факт, что CVE-2025-62215 используется не по назначению, означает, что это не просто плановое ежемесячное обслуживание, а реальная угроза. Злоумышленники знают о существовании этих уязвимостей, а метка «эксплуатация в реальных условиях» опровергает любые предположения о чисто академической угрозе.
Критические проблемы удаленного выполнения кода и повышения привилегий : в число пяти критических проблем входят несколько уязвимостей удаленного выполнения кода (RCE) и повышения привилегий (EoP) — тип недостатков, которые злоумышленники предпочитают, поскольку они позволяют полностью скомпрометировать систему или осуществить горизонтальное перемещение.
Управление сложностью : разнообразие затрагиваемых компонентов (ядро Windows, GDI+, Office, Visual Studio, DirectX) означает, что установка исправлений не является универсальной. Владельцам систем необходимо определить, какие версии, службы и функции затронуты, провести соответствующее тестирование и тщательно внедрить исправления.
Короче говоря: исправление этого релиза не является необязательным — оно критически важно для выполнения миссии.
Эксплуатируемая уязвимость нулевого дня: CVE-2025-62215
На первом месте в списке «необходимо устранить немедленно» находится уязвимость CVE-2025-62215 , которую Microsoft и связанные с ней исследователи безопасности классифицируют как важную (а не критическую), но которая, тем не менее, является объектом вполне реальных злоупотреблений.
Краткий обзор:
Выводы для защитника : если у вас есть системы, к которым пользователи уже имеют локальный доступ (или где ненадежный код может запускаться от имени локального пользователя), эта уязвимость представляет высокий риск, поскольку допускает эскалацию. Планирования обновления до следующего окна обслуживания, вероятно, недостаточно — следует стремиться ускорить его. Также рассмотрите возможность применения дополнительных мер по снижению риска (например, ограничение прав локальных пользователей, отслеживание необычных эскалаций привилегий, использование EDR для обнаружения аномалий ядра) до применения обновления.
Критические уязвимости
Хотя эксплуатируемая уязвимость нулевого дня помечена как «важная», категория «критическая» по-прежнему включает уязвимости, эксплуатация которых может иметь катастрофические последствия.
Ниже приводится анализ пяти важнейших проблем, рассмотренных в этом месяце, и их значения:
CVE‑2025‑60724 — уязвимость удалённого выполнения кода (RCE) в GDI+ (графическом компоненте), возникающая из-за переполнения буфера в куче. Злоумышленники могут убедить жертву открыть вредоносный документ или, в контексте веб-сервисов, загрузить специально созданный метафайл и выполнить код без взаимодействия с пользователем. Microsoft оценила сложность атаки как «низкую», хотя и отметила возможность её эксплуатации как «маловероятную».
CVE‑2025‑30398 — уязвимость раскрытия информации в Nuance PowerScribe 360; отсутствие авторизации позволяет неаутентифицированному злоумышленнику вызвать конечную точку API и получить конфиденциальные данные (включая персональные данные). Оценка по шкале CVSS 3.1 составляет около 8,1. Сложность атаки «низкая», эксплуатация «маловероятна».
CVE‑2025‑62199 — RCE в Microsoft Office, основанный на уязвимости использования после освобождения. Злоумышленник отправляет вредоносный файл и убеждает пользователя открыть его. Оценка: 7,8. Сложность атаки «низкая». Эксплуатация «маловероятна».
CVE‑2025‑60716 — Повышение привилегий (EoP) в графическом ядре Windows DirectX: авторизованный злоумышленник (локальный) может повысить привилегии, используя состояние гонки. Оценка CVSS 7,0, сложность атаки «высокая», эксплуатация «маловероятна».
CVE‑2025‑62214 — Уязвимость RCE в Visual Studio: внедрение команды ИИ в Visual Studio позволяет локально авторизованному злоумышленнику выполнить код (через внедрение подсказки, взаимодействие с агентом Copilot, запуск сборки). Оценка CVSS 6,7. Сложность атаки «высокая». Эксплуатация «маловероятна».
Почему это важно для защитников :
«Важные» уязвимости, эксплуатация которых наиболее вероятна
Помимо критических проблем, Microsoft и другие источники информации об угрозах выделяют ряд уязвимостей, получивших статус «важных» и имеющих высокую вероятность эксплуатации. Из обзора за этот месяц:
CVE‑2025‑59512 — Неправильное управление доступом в Программе улучшения качества программного обеспечения (CEIP) позволяет авторизованному злоумышленнику локально повышать привилегии. Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить привилегии SYSTEM.
CVE‑2025‑60705 — Неправильное управление доступом в службе кэширования на стороне клиента (CSC) Windows позволяет авторизованному злоумышленнику локально повышать привилегии. Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить права администратора.
CVE‑2025‑60719 — Разыменование недоверенного указателя в драйвере вспомогательных функций Windows для WinSock позволяет авторизованному злоумышленнику локально повысить привилегии. Для успешной эксплуатации этой уязвимости злоумышленнику необходимо выиграть в состоянии гонки. Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить привилегии SYSTEM.
CVE‑2025‑62217 — Параллельное выполнение с использованием общего ресурса с некорректной синхронизацией (состояние гонки) в драйвере вспомогательных функций Windows для WinSock позволяет авторизованному злоумышленнику локально повысить привилегии. Для успешной эксплуатации этой уязвимости злоумышленнику необходимо выиграть в состоянии гонки. Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить привилегии SYSTEM.
CVE‑2025‑62213 — Использование после освобождения памяти в драйвере вспомогательной функции Windows для WinSock позволяет авторизованному злоумышленнику локально повысить привилегии. Для успешной эксплуатации этой уязвимости злоумышленнику необходимо выиграть в состоянии гонки. Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить привилегии SYSTEM.
Они представляют собой сценарии, в которых злоумышленник с определённым уровнем доступа (локальным или сетевым) может повысить свои привилегии, переходя со среднего на высокий в скомпрометированной системе. Поскольку применяется тег «эксплуатация более вероятна», организациям следует рассматривать их как тактические приоритеты, даже если они не являются уязвимостями RCE, разработанными для самостоятельного выполнения.
Исторический контекст – почему эта закономерность важна
Стоит отметить, что многие тенденции, отмеченные в этом выпуске, перекликаются с более ранними:
В предыдущие месяцы (например, в августе 2025 г.) Microsoft выпустила исправления для большого количества уязвимостей, включая уязвимости нулевого дня, и злоумышленники быстро сканировали конечные точки на предмет неисправленных уязвимостей.
По мере того, как поверхности корпоративных атак становятся сложнее (облако, инструменты ИИ, среды DevOps, всё ещё используемые старые операционные системы), спектр затрагиваемых компонентов расширяется (GDI+, DirectX, WinSock, ядро, Office, Visual Studio). Это означает, что специалистам по безопасности следует быть более бдительными, охватывая более широкий спектр систем, а не только изолированную «ОС Windows».
Наличие уязвимостей EoP особенно важно. В типичном жизненном цикле атаки за первоначальным взломом (через фишинг, RCE и т. д.) часто следует эскалация привилегий для горизонтального продвижения и контроля над критически важными активами. Эти уязвимости EoP облегчают этот второй этап.
Рекомендуемые защитные действия
Учитывая глубину публикации этого месяца, вот список приоритетов для защитников:
Заключительные мысли
Ноябрьский вторник обновлений Microsoft 2025 года содержит критически важные обновления, устраняющие серьёзные уязвимости. Пользователям и администраторам рекомендуется своевременно ознакомиться с этими обновлениями и установить их для повышения безопасности системы.
Обновление от Microsoft за этот месяц — суровое напоминание о том, как продолжает меняться среда угроз. Уже недостаточно просто «выпустить исправление где-то в этом квартале» — промежуток времени между раскрытием уязвимости и сканированием злоумышленниками сокращается. Наличие активно эксплуатируемых уязвимостей наряду с высокосерьёзными уязвимостями RCE и повышения привилегий означает, что организациям необходимо действовать быстро.