В экосистеме информационной безопасности Microsoft выявлена критическая ситуация: две ранее неизвестные уязвимости нулевого дня в драйвере Windows Agere Modem активно эксплуатируются злоумышленниками для повышения привилегий на атакуемых системах. Эти уязвимости, зарегистрированные под идентификаторами CVE-2025-24052 и CVE-2025-24990, позволяют пользователю с низким уровнем прав получить полный контроль над системой без какого-либо взаимодействия с пользователем.
Детали уязвимостей
Первый из выявленных недостатков, CVE-2025-24052, представляет собой переполнение буфера в стеке драйвера Agere Modem. Локальный злоумышленник, обладающий базовыми привилегиями, может использовать эту уязвимость для выполнения произвольного кода в контексте ядра, что приводит к высокому риску для конфиденциальности, целостности и доступности системы. Корпорация Microsoft оценила серьёзность этой уязвимости как «Важная» с баллом 7.8 по шкале CVSS v3.1. Ситуацию усугубляет тот факт, что код эксплуатации уязвимости уже опубликован в открытом доступе, что значительно ускоряет процесс её внедрения в арсенал киберпреступников.
Вскоре после обнаружения первой уязвимости исследователи идентифицировали CVE-2025-24990 - ошибку, связанную с разыменованием непроверенного указателя в том же драйвере. Этот недостаток аналогичным образом позволяет провести локальное повышение привилегий, используя низкие права пользователя и не требуя взаимодействия с жертвой. Microsoft также присвоила данной уязвимости статус «Важная» и рейтинг CVSS v3.1 7.8. Хотя изначально публичных эксплойтов для этой уязвимости обнаружено не было, её сходство с CVE-2025-24052 создаёт высокий риск быстрой адаптации для malicious-целей.
Обе уязвимости затрагивают компонент ltmdm64.sys, который по умолчанию присутствует в поддерживаемых выпусках операционной системы Windows. В ответ на угрозу Microsoft выпустила накопительное обновление за октябрь 2025 года, которое полностью удаляет уязвимый драйвер с систем. Однако это решение создаёт побочный эффект для организаций, которые до сих пор полагаются на факсимильное модемное оборудование, зависимое от данного компонента. После установки обновления такое оборудование перестанет функционировать, что может привести к сбоям в работе критически важных служб.
Особую озабоченность вызывает потенциальное влияние на организации в регулируемых отраслях, таких как здравоохранение, финансы и юридические услуги, где факсимильная связь всё ещё используется в силу нормативных требований или legacy-инфраструктуры. Исполнительная сводка Microsoft прямо рекомендует администраторам устранить любые существующие зависимости от факс-модемного оборудования, которое не может быть обновлено.
Наличие публичного proof-of-concept для CVE-2025-24052 значительно повышает операционный риск. Злоумышленники могут интегрировать этот код в более сложные цепочки атак, что открывает путь к хищению конфиденциальных данных или развёртыванию ransomware-программ после получения доступа на уровне ядра. Учитывая, что для эксплуатации уязвимостей не требуются повышенные привилегии или действия пользователя, атаки могут проводиться скрытно и массово.
В качестве немедленной меры защиты корпорация настоятельно рекомендует установить октябрьское накопительное обновление для Windows 2025 года, которое устраняет уязвимости путём полного удаления драйвера ltmdm64.sys со всех поддерживаемых платформ. Для сред, где немедленная замена оборудования невозможна, эксперты предлагают временные компенсирующие меры. Рекомендуется отключить функциональность факс-модема через групповые политики или инструменты управления конфигурацией. Также следует ограничить локальные привилегии пользователей с помощью таких решений, как AppLocker или Device Guard, чтобы минимизировать возможность загрузки или взаимодействия с уязвимым драйвером. Дополнительным слоем защиты может стать мониторинг журналов событий Windows на предмет необычных попыток загрузки драйверов в режиме ядра или событий повышения уровня привилегий процессов.
Однако эти меры носят временный характер. Стратегическим решением, полностью устраняющим поверхность атаки, является переход от устаревшего модемного оборудования к современным и поддерживаемым решениям для связи. ИТ-командам следует провести аудит существующей инфраструктуры, определить системы с установленным драйвером Agere Modem и запланировать миграцию на безопасные альтернативные коммуникационные технологии. В условиях растущей киберугрозы оперативное применение обновлений и отказ от устаревших компонентов становятся не просто рекомендацией, а необходимостью для обеспечения непрерывности бизнеса и защиты данных.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-24990
- https://www.cve.org/CVERecord?id=CVE-2025-24052
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-24052
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24990
