Каждый день может стать неудачным для директора по информационной безопасности (CSO). Однако второй вторник каждого месяца, известный как Patch Tuesday («вторник патчей»), почти гарантированно будет одним из таких дней, хотя, если повезет, он будет просто хлопотным, а не катастрофическим.
В 2025 году некоторые из них особенно взволновали директоров по информационной безопасности: Microsoft выпустила исправления для 1246 CVE, 158 из которых были оценены как критические. Сорок один из них были zero-day уязвимостями, и по оценкам исследователей Tenable, повышение привилегий составило около 38,3% всех уязвимостей Patch Tuesday в 2025 году, за которым следуют уязвимости удаленного выполнения кода, составляющие около 30%.
Мы спросили экспертов по безопасности, какие из этих ошибок их больше всего беспокоят. Вот что они ответили.
Новые тактики и ИИ меняют правила игры
В этом году было обнаружено больше уязвимостей, чем в 2024 году, говорит Джин Муди, технический директор поставщика решений для автоматизации установки патчей Action1. Это восходящий тренд, который продолжается последние пять лет.
Однако есть одно отличие: благодаря использованию ИИ злоумышленниками, а также новым хитрым тактикам, у команд безопасности остается меньше времени, чем когда-либо, на установку патчей.
«Группы атакующих делают такие вещи, как откладывают свою первую атаку до дня после Patch Tuesday, потому что это ставит Microsoft в затруднительное положение: им придется выпустить огромное внеплановое обновление или ждать следующего Patch Tuesday», — сказал он. «Так что, если вы ждете 30-дневных или квартальных циклов для установки патчей, вы отстаете от графика. Вы проводите недели или даже месяцы незащищенными, и [при этом] нет оправдания такому положению дел».
«Вы должны исправлять то, что нужно исправить, а не только то, что можно исправить», — добавил Муди. «У вас нет 30 дней на тестирование, планирование простоя. У вас больше нет роскоши говорить: “Мы собираемся выкатить все это сразу”. Вам нужно сказать: “Я собираюсь уничтожить те, которые убьют меня первыми”, и если вы автоматизируете эту [первоначальную партию], у вас будет больше человеко-часов для анализа и изучения остального».
Возьмем, к примеру, одну из самых неприятных дыр, обнаруженных в этом году, ToolShell (CVE-2025-53770), которая на самом деле представляет собой две связанные уязвимости в локальных серверах SharePoint 2016/2019. Она позволяет неаутентифицированному злоумышленнику выполнять удаленный код. Она имеет оценку 9,8 по CVSS, и ее эксплуатация стала излюбленным методом брокеров первоначального доступа.
Скотт Кавеза, старший научный сотрудник Tenable, описал ее возможную эксплуатацию как «кошмарный сценарий… которого директора по информационной безопасности захотят избежать любой ценой». Но, как отметил Муди, сегодня большинство крупных организаций получают доступ к SharePoint из облака. Поэтому ее оценка CVSS важна только для тех, у кого есть локальные серверы SharePoint.
Следите за уязвимостями с более низким рейтингом
Несколько уязвимостей с более низким рейтингом могли нанести серьезный ущерб, если бы их не устранили быстро, сказал Муди. К ним относятся:
- CVE 2025 24993, проблема повреждения памяти Windows NTFS, затрагивающая почти каждую систему Windows по умолчанию, позволяла локальное выполнение кода неавторизованным злоумышленником;
- CVE 2025 24990, ошибка повышения привилегий в драйвере модема Agere, поставляемом с Windows, позволяла злоумышленникам повысить свои права до SYSTEM с небольшими усилиями и без использования фактического модема Agere, превращая ограниченный доступ в полный контроль;
- CVE 2025 62221, ошибка use-after-free в мини-фильтре драйвера облачных файлов Windows, активно эксплуатировалась и обеспечивала надежный путь к SYSTEM после достижения выполнения кода. Хотя это требовало первоначального доступа, Муди отмечает, что это был очень короткий путь к полному контролю, который было легко выполнить, с низкими требованиями к квалификации;
- CVE 2025 53779, повышение привилегий Kerberos BadSuccessor, угрожало компрометацией уровня домена, позволяя любой учетной записи, аутентифицированной в домене, повышать привилегии путем подмены токенов в средах Active Directory. В блоге директор по исследованию уязвимостей Action1 Джек Бицер назвал эту дыру «подарком для операторов программ-вымогателей… обеспечивающим скоростной лифт для администратора домена».
Кавеза также обратил внимание на две ошибки повышения привилегий: CVE-2025-24983 в ядре Windows и CVE-2025-29824 в драйвере общей файловой системы Windows, поскольку обе они использовались с бэкдором PipeMagic для распространения программ-вымогателей.
Он также отметил
- CVE-2025-26633, уязвимость обхода функции безопасности, затрагивающая консоль управления Microsoft (MMC). Это была уязвимость нулевого дня, которой злоупотребляли несколько злоумышленников для развертывания вредоносного ПО, включая троянский загрузчик MSC EvilTwin, и использовалась с несколькими вариантами вредоносного ПО, включая бэкдоры и вредоносное ПО для кражи информации;
- CVE-2025-33053, уязвимость удаленного выполнения кода, затрагивающая файлы ярлыков Интернета. Check Point Research обнаружила, что эта уязвимость нулевого дня использовалась APT, известной как Stealth Falcon, которая использовала эту уязвимость для распространения вредоносного ПО Horus Agent.
Остерегайтесь атак через панель предварительного просмотра
Тайлер Регули, заместитель директора по исследованиям и разработкам в Fortra, сказал, что директорам по информационной безопасности следует подумать о защите от атак через панель предварительного просмотра в Windows и Office. Злоумышленники могли использовать эти недостатки для запуска вредоносного кода, когда сотрудник просматривал специально созданный файл или электронное письмо.
Одним из примеров была CVE-2025-30377, которую исследователи из ZeroPath назвали «одной из самых опасных уязвимостей, обнаруженных в Microsoft Office», когда она была выявлена в мае.
Эти виды атак «представляют собой один из самых больших рисков для организаций», — сказал Регули. «Эти бесшумные эксплойты, которые запускаются, как только просматривается электронное письмо, представляют собой потенциальный риск, поскольку большинство людей используют панель предварительного просмотра. Хотя могут быть и более серьезные уязвимости, которые оказали большее влияние, на которые, я уверен, другие обратят внимание, это тот класс уязвимостей, на который я хотел бы обратить внимание и убедиться, что другие следят за ним».
Оценка CVSS — лишь часть головоломки
Муди призвал директоров по информационной безопасности перестать думать о CVSS как о балле и начать думать о ней как о средстве разработки балла; оценка CVSS — это «лишь часть головоломки».
Большинство директоров по информационной безопасности не имеют фундаментального понимания того, как уязвимости связаны с их конкретной ИТ-средой и проблемами, отметил он. «Люди склонны гнаться за CVSS, [думая] “9,5 — плохо”. Что ж, 9,5 — это теоретически плохо. Это наихудший сценарий в лаборатории, если вам удастся его реализовать, но эта уязвимость может даже не проявляться в вашей среде. Или она может быть в вашей среде, но безобидным образом.
«В отличие от этого, 6,2 может быть самой важной, которую вам нужно остановить прямо сейчас, потому что она находится на 10 000 внешних веб-серверах».
Он призвал директоров по информационной безопасности проводить триаж уязвимостей, используя структуру категоризации уязвимостей по конкретным заинтересованным сторонам (SSVC) Агентства по кибербезопасности и защите инфраструктуры США (CISA).
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
7/8
Автор – Howard Solomon
