Компания Elastic выпустила экстренное обновление безопасности для своего продукта Elastic Defend после обнаружения опасной уязвимости, позволяющей злоумышленникам повышать привилегии на системах Windows. Уязвимость, получившая идентификатор CVE-2025-37735, связана с неправильным сохранением разрешений файлов в службе Defend и представляет серьезную угрозу для организаций, использующих эту платформу защиты конечных точек.
Детали уязвимости
Проблема затрагивает механизм обработки файловых разрешений в компоненте Elastic Defend для Windows. Служба Defend, функционирующая с привилегиями уровня SYSTEM, некорректно сохраняет исходные настройки доступа при обработке системных файлов. Следовательно, эта ошибка создает вектор атаки, позволяющий локальным злоумышленникам удалять произвольные файлы на скомпрометированной системе.
Особенно тревожным аспектом является потенциальное развитие атаки в сценарий эскалации привилегий. В определенных условиях возможность удаления критически важных системных файлов может позволить атакующему с ограниченными правами доступа получить полный административный контроль над целевым компьютером. Таким образом, исходная проблема обработки файлов трансформируется в полноценную уязвимость повышения привилегий, угрожающую общей безопасности организаций.
Подверженные уязвимости версии включают Elastic Defend 8.19.5 и более ранние выпуски, а также версии с 9.0.0 по 9.1.5 включительно. Организациям, использующим эти версии, следует рассматривать устранение данной проблемы как приоритетную задачу, поскольку уязвимость может быть использована любым локальным пользователем системы.
Оценка серьезности уязвимости подтверждает ее значимость. Elastic присвоил уязвимости рейтинг CVSS v3.1 7.0 баллов (высокий уровень опасности) с вектором CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H. Эксплуатация требует локального доступа и умеренной сложности атаки. Однако для выполнения достаточно низких привилегий, что делает угрозу реалистичной для многих корпоративных сред.
Компания уже выпустила исправленные версии, устраняющие данную уязвимость. Организациям следует немедленно обновиться до одной из защищенных версий: 8.19.6, 9.1.6 или 9.2.0. Эти обновления реализуют корректные механизмы сохранения разрешений, полностью устраняя вектор атаки.
Для организаций, которые не могут немедленно выполнить обновление из-за операционных ограничений или проблем совместимости, доступно временное решение. Windows 11 версии 24H2 содержит архитектурные изменения, существенно усложняющие эксплуатацию данной уязвимости. Соответственно, организации, использующие более старые версии Windows, могут рассмотреть переход на Windows 11 24H2 или новее в качестве временной меры безопасности при планировании графика обновления Elastic Defend.
Специалистам по безопасности следует расставить приоритеты в исправлении данной уязвимости в своей инфраструктуре. Сочетание требований локального доступа и пользовательских привилегий означает, что основной риск исходит от сотрудников или контракторов, имеющих доступ к системам. Кроме того, скомпрометированные учетные записи со стандартными правами пользователя могут использовать эту уязвимость для получения административного контроля.
Организациям рекомендуется провести инвентаризацию развертываний Elastic Defend, идентифицировать системы с уязвимыми версиями и разработать график обновлений. Учитывая высокий уровень серьезности и реалистичный сценарий эксплуатации, это следует рассматривать как критическое обслуживание инфраструктуры, а не как рутинное исправление.
CVE-2025-37735 представляет собой значительную проблему безопасности для сред Windows, использующих Elastic Defend. Потенциал уязвимости для эскалации привилегий требует немедленного внимания со стороны затронутых организаций. Своевременное развертывание доступных исправлений устранит данную угрозу и сохранит целостность безопасности инфраструктуры защиты конечных точек.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-37735
- https://nvd.nist.gov/vuln/detail/CVE-2025-37735
- https://discuss.elastic.co/t/elastic-defend-8-19-6-9-1-6-and-9-2-0-security-update-esa-2025-23/383272
