В рамках мартовских обновлений безопасности Microsoft устранила шесть брешей, которые уже используются злоумышленниками в реальных атаках. Половина этих уязвимостей затрагивает обработку файловых данных, при этом три из них активируются схожим образом, что предполагает их совместное применение. Хотя технические детали эксплуатации пока не раскрыты, установка патча является критически важной.
Проблемы в обработке файловых данных
Две бреши в NTFS позволяют получить несанкционированный доступ к динамической памяти приложений. Уязвимость CVE-2025-24984 (оценка CVSS 4.6) требует физического контакта с устройством — атакующий должен подключить вредоносный USB-накопитель. Для эксплуатации CVE-2025-24991 (CVSS 5.5) злоумышленникам нужно убедить пользователя подключить скомпрометированный виртуальный диск.
Схожим образом активируются CVE-2025-24985 в драйвере Fast FAT и CVE-2025-24993 в NTFS, однако их использование приводит к выполнению произвольных команд на удалённой системе (RCE). Обе получили балл CVSS 7.8.
Другие активно используемые бреши
CVE-2025-24983 (CVSS 7.0) в подсистеме Win32 позволяет повысить права до системного уровня через race condition. Последняя из эксплуатируемых уязвимостей, CVE-2025-26633 (CVSS 7.0), обходит защиту Microsoft Management Console. Эксперты Zero Day Initiative отмечают два сценария: отправка вредоносного вложения по почте или через мессенджер. Эту технику применяет группировка Larva-208.
Дополнительная уязвимость нулевого дня
Обновление также устраняет CVE-2025-26630 в Microsoft Access с рейтингом CVSS 7.8. Хотя брешь пока не замечена в атаках, она была публично известна и позволяет выполнять код при открытии специального файла. Предварительный просмотр документа не активирует уязвимость.
Прочие исправленные бреши
Отдельные патчи закрывают возможность эксплуатации через предпросмотр документов (CVE-2025-24057) и пять критических уязвимостей, позволяющих выполнение кода:
- CVE-2025-24035 и CVE-2025-24045 в службе удалённых рабочих столов (RDS);
- CVE-2025-24057 в Microsoft Office;
- CVE-2025-24084 в подсистеме Windows для Linux;
- CVE-2025-26645 в клиенте RDP — срабатывает при подключении к вредоносному серверу.
Установка обновлений должна быть приоритетной задачей, так как обнаруженные бреши применяются в целенаправленных атаках. Для дополнительной защиты рекомендуется использовать EDR-решения и сервисы Managed Detection and Response.