Корпорация Microsoft выпустила экстренные обновления безопасности для устранения четырёх новых уязвимостей в службе брандмауэра Windows Defender, которые позволяют злоумышленникам повышать привилегии на уязвимых системах. Все уязвимости, отслеживаемые как CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 и CVE-2025-54915, были опубликованы 9 сентября 2025 года и имеют схожие характеристики.
Детали уязвимостей
Несмотря на то, что для эксплуатации уязвимостей требуется локальный доступ к системе, успешная атака может позволить киберпреступникам выполнять код на уровне SYSTEM, обходя стандартные механизмы безопасности. Каждая из уязвимостей связана с ошибкой типа "спутывание типов" (CWE-843), когда служба брандмауэра неправильно интерпретирует тип ресурса, что приводит к несанкционированным операциям.
Все четыре уязвимости классифицируются как "важные" с базовой оценкой CVSS 3.1 в 6,7 баллов и временной оценкой 5,8. Вектор атаки является локальным (AV:L), с низкой сложностью эксплуатации (AC:L), требованием высоких привилегий (PR:H) и отсутствием необходимости взаимодействия с пользователем (UI:N). Воздействие на конфиденциальность, целостность и доступность оценивается как высокое (C:H/I:H/A:H).
Уязвимости находятся в исполняемом файле службы брандмауэра Windows Defender, который работает с повышенными привилегиями. Злоумышленник, имеющий возможность локального входа в целевую систему, может использовать одну из этих уязвимостей для выполнения произвольного кода от имени SYSTEM. Это может стать первым шагом к полному компрометированию системы, особенно в средах с слабым контролем локальных учётных записей.
Microsoft уже выпустила исправления для всех受影响 версий Windows в рамках сентябрьских обновлений безопасности 2025 года. Системным администраторам настоятельно рекомендуется немедленно установить эти обновления для защиты службы брандмауэра. Кроме того, специалисты по кибербезопасности рекомендуют ограничить локальный вход в систему только доверенным персоналом, отслеживать журналы системных событий на предмет необычного поведения службы брандмауэра или событий аварийного завершения, которые могут указывать на попытки эксплуатации этих уязвимостей, а также внедрить политики наименьших привилегий для минимизации последствий в случае компрометации учётных данных локальных аккаунтов.
Хотя эти уязвимости требуют локального доступа, они представляют значительный риск в корпоративных средах, где сотрудники имеют административные привилегии или где ноутбуки могут физически доступны посторонним лицам. Получив привилегии SYSTEM, злоумышленник может отключать средства безопасности, устанавливать постоянное вредоносное программное обеспечение или перемещаться внутри сети. Своевременное устранение этих проблем сокращает возможность для киберпреступников использовать данные уязвимости.
Брандмауэр Windows Defender долгое время являлся ключевым компонентом стратегии многоуровневой защиты Microsoft. Эти уязвимости повышения привилегий подчёркивают важность регулярного обновления систем и строгого контроля доступа. Применяя доступные обновления и применяя robust политики безопасности, организации могут защититься от потенциальных атак на повышение привилегий, направленных на службу брандмауэра.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-53808
- https://www.cve.org/CVERecord?id=CVE-2025-54104
- https://www.cve.org/CVERecord?id=CVE-2025-54109
- https://www.cve.org/CVERecord?id=CVE-2025-54915
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53808
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54104
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54109
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54915
