Microsoft официально подтвердила наличие критической уязвимости удалённого выполнения кода (RCE, Remote Code Execution) в Windows PowerShell. Этот недостаток безопасности, получивший идентификатор CVE-2025-54100, позволяет злоумышленникам выполнять произвольный код на уязвимых системах. Публичное раскрытие информации о проблеме состоялось 9 декабря 2025 года, что создало значительные риски для организаций по всему миру.
Детали уязвимости
Суть уязвимости заключается в некорректной нейтрализации специальных элементов, используемых при выполнении команд. Эта ошибка обработки позволяет атакующим внедрять вредоносные команды через PowerShell. Для успешной эксплуатации недостатка злоумышленнику необходим локальный доступ к системе и взаимодействие с пользователем. Жертва должна быть обманом вовлечена в выполнение опасного скрипта или команды. В результате атаки возможно получение повышенных привилегий и выполнение произвольного кода на целевой системе.
Корпорация Microsoft присвоила уязвимости уровень серьёзности "Important" с максимальным базовым баллом CVSS 7.8. Несмотря на то что для атаки требуется определённая степень доступа, угроза является серьёзной. Эксперты предупреждают, что данную уязвимость можно использовать в цепочке с другими эксплойтами для эскалации атак или компрометации конфиденциальных данных. Особенно высокому риску подвержены организации, активно использующие PowerShell для администрирования систем, автоматизации задач или написания скриптов.
В настоящий момент Microsoft не выпустила официальных исправлений. Пользователям настоятельно рекомендуется внимательно следить за бюллетенями безопасности компании. Между тем, специалисты по кибербезопасности предостерегают, что авторы вредоносного ПО могут использовать эту брешь для выхода из песочниц (sandbox) или получения возможности выполнения кода в ходе целевых кампаний. Способы эксплуатации могут включать фишинговые письма с опасными вложениями, атаки типа "водопой" (watering-hole) или компрометацию цепочек поставок.
Следовательно, командам безопасности необходимо незамедлительно принять защитные меры. Во-первых, следует ограничить политики выполнения PowerShell, отключив ненужные скрипты. Во-вторых, критически важно настроить мониторинг активности командной строки на предмет подозрительного поведения. Предприятиям также стоит рассмотреть возможность развёртывания правил обнаружения, специально нацеленных на попытки внедрения в PowerShell.
До выхода патчей Microsoft рекомендует применять принцип наименьших привилегий к выполнению PowerShell и тщательно отслеживать всю связанную с ним активность на предмет индикаторов компрометации. Сетевые защитники должны усилить мониторинг аномалий, связанных с PowerShell, и подозрительных шаблонов выполнения команд. Одновременно командам анализа угроз следует подготовить процедуры реагирования на инциденты и начать мониторинг теневых форумов на предмет появления эксплойтов или подтверждения концепции (PoC, Proof-of-Concept).
Хотя уязвимость требует определённых условий для эксплуатации, её потенциальное влияние на инфраструктуру, где PowerShell играет ключевую роль, трудно переоценить. Своевременное обновление систем после выхода патчей остаётся важнейшим шагом. Однако уже сейчас организациям необходимо пересмотреть свои модели угроз и укрепить защиту периметра, чтобы смягчить возможные последствия до получения официальных исправлений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-54100
- https://nvd.nist.gov/vuln/detail/CVE-2025-54100
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54100
