Корпорация Microsoft подтвердила активную эксплуатацию критической уязвимости нулевого дня в компоненте Windows Remote Access Connection Manager, получившей идентификатор CVE-2025-59230. Брешь в системе безопасности, официально анонсированная 14 октября 2025 года, позволяет злоумышленникам с ограниченным доступом к системе повысить свои привилегии до максимального уровня, получая полный контроль над скомпрометированными компьютерами.
Детали уязвимости
Уязвимость связана с неправильным контролем доступа внутри компонента Windows Remote Access Connection Manager - ключевой службы, отвечающей за обработку удаленных сетевых подключений в операционных системах Windows. Специалисты Microsoft Threat Intelligence Center и Microsoft Security Response Center обнаружили свидетельства активной эксплуатации уязвимости в реальных атаках до того, как стало доступно исправление, что классифицирует ее как настоящую угрозу нулевого дня.
С базовым показателем CVSS 7.8 и временным показателем 7.2 уязвимость оценена Microsoft как «Важная» по степени серьезности. Атака требует локального доступа к целевой системе, что означает необходимость предварительного получения злоумышленником начального доступа к машине, обычно с привилегиями обычного пользователя. Однако низкая сложность атаки означает, что после получения первоначального доступа эксплуатация уязвимости становится простой задачей, не требующей взаимодействия с пользователем для успешного выполнения.
Наиболее тревожным аспектом данной уязвимости является потенциальное повышение привилегий до уровня SYSTEM - высшего уровня разрешений в средах Windows. Это предоставляет злоумышленникам неограниченный доступ для чтения, изменения или удаления любых данных, установки вредоносного программного обеспечения, создания новых учетных записей администраторов и поддержания постоянного доступа к скомпрометированным системам.
Оценка эксплуатационной пригодности от Microsoft подтверждает существование функционального эксплойтного кода и обнаружение активной эксплуатации в реальных атаках. Несмотря на это, уязвимость не была публично раскрыта до официального объявления Microsoft, что позволяет предположить, что субъекты угроз разработали эксплойт самостоятельно или получили его через подпольные каналы.
Тот факт, что злоумышленники уже используют эту уязвимость, подчеркивает срочность применения обновлений безопасности для организаций. Компонент Windows Remote Access Connection Manager присутствует в нескольких версиях Windows, что потенциально подвергает риску компрометации миллионы систем.
Эксперты по кибербезопасности рекомендуют системным администраторам уделить первостепенное внимание установке заплаток, особенно для систем, доступных нескольким пользователям или подключенных к корпоративным сетям. Организациям также следует отслеживать подозрительные попытки повышения привилегий и проверять системные журналы на предмет индикаторов компрометации, связанных со службой Remote Access Connection Manager.
Важность немедленного применения исправлений невозможно переоценить, учитывая, что уязвимость позволяет обойти многоуровневую защиту современных систем Windows. В условиях, когда многие организации продолжают использовать гибридные модели работы с удаленным доступом, потенциальная область воздействия данной уязвимости значительно расширяется.
Кибербезопасность требует комплексного подхода, и хотя установка исправлений остается критически важной мерой, специалисты также рекомендуют реализовать принцип минимальных привилегий, регулярно проводить аудит системных доступов и внедрять решения для обнаружения аномальной активности. Особое внимание следует уделить серверам и рабочим станциям, используемым администраторами, поскольку компрометация таких систем может привести к катастрофическим последствиям для всей инфраструктуры.
Обнаружение этой уязвимости нулевого дня в очередной раз демонстрирует необходимость постоянного мониторинга угроз и оперативного реагирования на инциденты безопасности. Microsoft традиционно выпускает исправления во вторник патчей, но для критических уязвимых мест, активно используемых в атаках, компания может издавать внеочередные обновления. Организациям следует внимательно следить за официальными каналами распространения обновлений безопасности и применять их в кратчайшие возможные сроки.
Ситуация с CVE-2025-59230 развивается, и эксперты ожидают, что в ближайшие дни появятся дополнительные технические детали о методах эксплуатации и способах обнаружения следов атак. Международные агентства по кибербезопасности уже включили данную уязвимость в списки активных угроз и рекомендуют организациям всех секторов предпринять незамедлительные меры по защите своих активов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59230
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-59230
