Исследователи кибербезопасности выявили критическую уязвимость в операционных системах Microsoft Windows, которая позволяет злоумышленникам повышать уровень своих привилегий и потенциально получать полный контроль над уязвимыми машинами. Уязвимость, получившая идентификатор CVE-2025-53149, затрагивает драйвер Kernel Streaming WOW Thunk Service и была устранена корпорацией Майкрософт в августе 2025 года в рамках ежемесячного цикла обновлений безопасности.
Детали уязвимости
Проблема безопасности представляет собой переполнение кучи (heap-based buffer overflow) в драйвере ksthunk.sys, конкретно в функции CKSAutomationThunk::HandleArrayProperty(). Данный компонент играет ключевую роль в обеспечении совместимости, выступая промежуточным слоем между 32-битными пользовательскими приложениями и 64-битными kernel-mode драйверами в современных версиях Windows. Это делает его особенно привлекательной мишенью для атак, направленных на повышение привилегий.
Уязвимость была обнаружена специалистами компании Crowdfense в ходе планового анализа внутренних компонентов Windows. Её эксплуатация возможна при обработке системой запросов KSPROPERTY_VPCONFIG_DDRAWSURFACEHANDLE, когда драйвер неправильно проверяет длину выходного буфера, что приводит к возможности переполнения невыгружаемого пула (non-paged heap). Это, в свою очередь, позволяет выполнить произвольный код с повышенными привилегиями.
По шкале CVSS уязвимость получила высокий балл - 7.8. Для успешной атаки злоумышленник должен иметь первоначальный доступ к системе с низкими привилегиями, однако после эксплуатации уязвимости он может получить системные права, что ставит под угрозу всю установку Windows.
Процесс ответственного раскрытия информации занял несколько месяцев. Исследователи обнаружили уязвимость 14 апреля 2025 года и уведомили Майкрософт 18 апреля того же года. Корпорация подтвердила проблему 20 мая и выплатила вознаграждение за сообщение о уязвимости 4 июня. Патч был выпущен в августе 2025 года.
Обновление безопасности устраняет основную причину уязвимости, добавляя корректные проверки длины буфера в уязвимой функции. Хотя на текущий момент не зафиксировано случаев активной эксплуатации в реальных условиях, публикация технических деталей увеличивает риски будущих атак.
Системным администраторам и пользователям настоятельно рекомендуется немедленно установить соответствующие обновления безопасности. Мониторинг подозрительной активности, связанной с повышением привилегий, также остаётся важной мерой предосторожности.
Обнаружение CVE-2025-53149 вновь подчёркивает важность постоянного анализа безопасности даже в таких специализированных компонентах, как драйверы потоковой передачи мультимедиа. Своевременное обновление систем и сотрудничество с независимыми исследователями остаются ключевыми элементами защиты цифровой инфраструктуры.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-53149
- https://nvd.nist.gov/vuln/detail/CVE-2025-53149
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53149
- https://www.crowdfense.com/cve-2025-53149-windows-ksthunk-heap-overflow/
