Январский "В тренде VM": уязвимости в Windows, React и MongoDB. Традиционная ежемесячная подборка трендовых уязвимостей. Стартуем сезон 2026. 🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего три уязвимости:
🔻 EoP - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)
🔻 RCE - React Server Components "React2Shell" (CVE-2025-55182)
🔻 InfDisc - MongoDB "MongoBleed" (CVE-2025-14847)
Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2025-62221). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились на компьютере. Уязвимость этого драйвера, исправленная в рамках декабрьского Microsoft Patch Tuesday, позволяет локальному атакующему получить привилегии SYSTEM. Причина уязвимости - Use After Free (CWE-416).
⚙️ Уязвимость была обнаружена исследователями Microsoft (из MSTIC и MSRC). Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.
👾 Уязвимость была отмечена Microsoft как эксплуатирующаяся в реальных атаках и добавлена в CISA KEV. Подробностей по атакам пока нет.
🛠 С 10 декабря на GitHub были доступны репозитории, якобы содержащие эксплоиты для уязвимости. Впоследствии они были удалены. Есть несколько объявлений о продаже эксплоитов (возможно мошеннических).
Декабрьский Microsoft Patch Tuesday. Всего 56 уязвимостей, на 9 меньше, чем в ноябре. Есть одна уязвимость с признаком эксплуатации вживую:
🔻 EoP - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)
Уязвимостей с публичными эксплоитами пока нет. Из остальных уязвимостей можно выделить:
🔹 RCE - Microsoft Office (CVE-2025-62554, CVE-2025-62557), Microsoft PowerShell (CVE-2025-54100), Microsoft Outlook (CVE-2025-62562), GitHub Copilot for JetBrains (CVE-2025-64671)
🔹 EoP - Windows Win32k (CVE-2025-62458), Windows Cloud Files Mini Filter Driver (CVE-2025-62454, CVE-2025-62457), Windows Common Log File System Driver (CVE-2025-62470), Windows Remote Access Connection Manager (CVE-2025-62472), Windows Storage (CVE-2025-59516)
Апрельский выпуск "В тренде VM": уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat. По видяшкам берём паузу, пока только текстом. 🤷♂️🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего 11 трендовых уязвимостей:
🔻 Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)
🔻 Четыре эксплуатируемые уязвимости Windows из мартовского Microsoft Patch Tuesday (CVE-2025-24985, CVE-2025-24993, CVE-2025-26633, CVE-2025-24983)
🔻 Три уязвимости VMware "ESXicape" (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
🔻 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔻 Remote Code Execution - Kubernetes (CVE-2025-1974)
Про уязвимость Elevation of Privilege - Windows Cloud Files Mini Filter Driver (CVE-2024-30085). cldflt.sys - это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились в компьютере. Уязвимость этого драйвера, исправленная в рамках июньского Microsoft Patch Tuesday 2024 года, позволяет атакующему получить привилегии SYSTEM. Причина уязвимости - Heap-based Buffer Overflow (CWE-122).
🔻 Приватный эксплойт был представлен на конкурсе TyphoonPWN 2024 30 мая 2024 года. Его использовали в составе цепочки эксплоитов для осуществления побега из виртуальной машины под управлением VMware workstation (Guest-to-Host-Escape).
🔻 19 декабря 2024 года техническое описание и код эксплоита были опубликованы на сайте SSD Secure Disclosure.
🔻 3 марта в блоге Positive Technologies вышел пост, в котором рассматриваются корни уязвимости и техники эксплуатации.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.