Корпорация Microsoft подтвердила наличие серьёзной уязвимости в веб-сервере Internet Information Services (IIS), которая позволяет злоумышленникам выполнять произвольный код без необходимости прохождения аутентификации. Уязвимость, получившая идентификатор CVE-2025-59282, была публично раскрыта 14 октября 2025 года и оценивается компанией как "Важная" в системе классификации угроз.
Детали уязвимости
Проблема затрагивает компонент IIS Inbox COM Objects, отвечающий за операции с глобальной памятью. Основная причина уязвимости заключается в сочетании двух классических ошибок программирования: состояния гонки и использования памяти после освобождения (use-after-free). Согласно таксономии MITRE, эти слабости соответствуют категориям CWE-362 (параллельное выполнение с использованием общего ресурса без надлежащей синхронизации) и CWE-416 (использование после освобождения).
Технический анализ показывает, что злоумышленник может манипулировать временем создания и удаления объектов, отправляя специально сформированные HTTP-запросы к целевым серверам. Это позволяет выполнить вредоносный код в контексте процесса IIS, что эквивалентно получению полного контроля над системой. Эксплуатация уязвимости не требует аутентификации - достаточно сетевого доступа к портам веб-сервера.
Оценка по методологии CVSS 3.1 демонстрирует серьёзность угрозы: базовая оценка составляет 7.0 баллов, временная - 6.1. Векторная строка CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C указывает на высокое влияние на конфиденциальность, целостность и доступность системы в случае успешной эксплуатации. Особую озабоченность вызывает возможность полного компрометирования серверов с последующей кражей данных или установкой вредоносного программного обеспечения, включая программы-вымогатели (ransomware).
Microsoft, выступая в роли CVE Numbering Authority (CNA - организация, уполномоченная присваивать идентификаторы уязвимостей), опубликовала детальное описание проблемы и выпустила соответствующее обновление безопасности. Компания настоятельно рекомендует администраторам незамедлительно установить предоставленные патчи, которые устраняют состояние гонки и исправляют ошибку использования после освобождения.
В качестве временных мер защиты до применения обновлений специалисты по кибербезопасности советуют ограничить доступ к портам 80 и 443 только доверенным хостам через настройки сетевого экрана. Также рекомендуется усилить мониторинг журналов событий IIS на предмет необычной активности, особенно запросов к COM-объектам и нерегулярных аварийных завершений процессов, которые могут свидетельствовать о попытках эксплуатации.
Дополнительной мерой предосторожности является запуск веб-серверов с минимально необходимыми привилегиями, что позволяет ограничить потенциальный ущерб в случае успешного выполнения кода злоумышленниками. Практика минимальных привилегий особенно важна для критически важных систем, обрабатывающих конфиденциальную информацию.
Своевременное применение обновлений в сочетании с ужесточением сетевого контроля позволяет организациям эффективно защитить свои серверы IIS от этой высокорисковой уязвимости. Регулярное обновление программного обеспечения остаётся ключевым элементом стратегии кибербезопасности для предотвращения эксплуатации известных уязвимостей.
Особое внимание следует уделить серверам, доступным из публичных сетей, поскольку они представляют наиболее вероятную цель для массовых атак. Администраторам рекомендуется провести инвентаризацию всех систем с установленным IIS и убедиться в применении последних обновлений безопасности от Microsoft.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59282
- https://nvd.nist.gov/vuln/detail/CVE-2025-59282
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59282
