Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) пополнило свой Каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV) двумя новыми записями. Этот каталог служит критически важным ресурсом для специалистов по безопасности, поскольку содержит перечень недостатков, активное использование которых в атаках уже подтверждено. Добавление CVE-2025-6218, затрагивающей архиватор WinRAR, и CVE-2025-62221, связанной с драйвером Windows, означает, что организации должны незамедлительно принять меры по устранению этих рисков.
Детали уязвимостей
Первая уязвимость, CVE-2025-6218, была обнаружена в популярном архиваторе WinRAR от компании RARLAB. Этот недостаток классифицируется как "Path Traversal" (обход пути каталога) и может привести к удаленному выполнению кода (RCE). Конкретная проблема кроется в обработке путей к файлам внутри архивов. Злоумышленник может создать специальный архив, путь к файлу в котором заставит процесс WinRAR выйти за пределы предназначенной директории. В результате, если пользователь откроет такой вредоносный (malicious) архив или посетит специально созданную веб-страницу, злоумышленник получит возможность выполнить произвольный код с правами текущего пользователя. Уязвимость имеет высокий балл CVSS 3.0 - 7.8. Согласно данным, под угрозой находятся 64-битные версии WinRAR 7.11.
Вторая добавленная уязвимость, CVE-2025-62221, затрагивает ядро операционных систем Microsoft Windows. Она существует в мини-фильтре Cloud Files Mini Filter Driver и относится к классу "Use After Free" (использование после освобождения, UAF). Данная ошибка позволяет локальному авторизованному злоумышленнику повысить свои привилегии в системе. Уязвимость также оценивается в 7.8 балла по шкале CVSS 3.1. Важно отметить, что она затрагивает чрезвычайно широкий спектр версий Windows, включая Windows 10 (версии 1809, 21H2, 22H2), Windows 11 (версии 22H3, 23H2, 24H2, 25H2), а также серверные платформы Windows Server 2019, 2022 и 2025. Подобные уязвимости для повышения привилегий (privilege escalation) особенно ценятся киберпреступниками, поскольку часто становятся ключевым элементом в цепочке атаки, позволяя закрепиться (persistence) в системе или получить доступ к более защищенным данным.
Решение CISA добавить эти уязвимости в каталог KEV основано на фактических свидетельствах их активной эксплуатации в дикой природе. Следовательно, можно с уверенностью утверждать, что группы угроз уже используют эти слабости для проведения реальных атак. Федеральным агентствам США дано строгое указание устранить данные уязвимости в своих системах до установленных сроков. В частности, для CVE-2025-6218 крайний срок установлен на 24 июля 2025 года, а для CVE-2025-62221 - на 31 декабря 2025 года. Хотя эти требования формально адресованы государственным организациям, эксперты в области информационной безопасности единодушно рекомендуют всем компаниям и частным пользователям рассматривать каталог KEV как авторитетный источник для определения приоритетов исправлений.
Для защиты от угроз, связанных с CVE-2025-6218, пользователям WinRAR необходимо немедленно обновить программу до последней версии, которую разработчик, RARLAB, уже выпустил с соответствующим патчем. Следует проявлять повышенную бдительность при работе с архивами из непроверенных источников. Что касается CVE-2025-62221, то Microsoft уже распространила исправления через систему ежемесячных обновлений безопасности. Пользователям и системным администраторам критически важно установить все последние накопительные обновления (патчи) для своих версий Windows. Регулярное и своевременное обновление программного обеспечения остается одним из самых эффективных базовых методов защиты.
В заключение, появление этих двух уязвимостей в каталоге KEV служит своевременным напоминанием о постоянной активности злоумышленников. Они постоянно сканируют цифровое пространство в поисках таких "лазеек", особенно в широко распространенном программном обеспечении, таком как WinRAR и Windows. Эксплуатация уязвимостей в драйверах, как в случае с CVE-2025-62221, представляет особую опасность из-за глубокого уровня доступа к системе. Поэтому оперативное применение исправлений и соблюдение принципа минимальных привилегий для пользователей и служб являются неотъемлемыми компонентами современной стратегии кибербезопасности. Игнорирование подобных предупреждений от таких организаций, как CISA, может привести к серьезным инцидентам, включая утечку данных или полный компрометацию систем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-6218
- https://www.cve.org/CVERecord?id=CVE-2025-62221
- https://www.zerodayinitiative.com/advisories/ZDI-25-409/
- https://www.win-rar.com/singlenewsview.html?&tx_ttnews%5Btt_news%5D=276&cHash=388885bd3908a40726f535c026f94eb6
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221
