В фокусе RVD: трендовые уязвимости июля

На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в июле 2025 года. В нем собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и их устранение должно быть в приоритете.

В июле было выделено три трендовые уязвимости:

• CVE-2025-6218 ^[1] - RARLAB WinRAR

• CVE-2025-6558 ^[2] - Google Chrome

• CVE-2025-53770  ^[3]- Microsoft SharePoint Server

Уязвимости RARLAB WinRAR

CVE-2025-6218 ^[1] | BDU:2025-07480 ^[4]: Уязвимость удаленного выполнения кода через обход каталогов

Уровень критичности по оценке CVSS: 7.8

Вектор атаки: локальный

Подтверждение вендора:

• RARLAB WinRAR ^[5]

Информация об эксплуатации

Описание уязвимости: 

В начале июля исследователь whs3-detonator ^[6] сообщил об уязвимости в популярном архиваторе WinRAR до версии 7.11 включительно.

WinRAR ненадлежащим образом проверяет и очищает пути файлов от последовательностей обхода каталогов внутри архива. Это позволяет атакующему сформировать архив с файлами, путь к которым выходит за пределы целевой директории при распаковке.

Для доставки архива и инициирования распаковки файлов пользователем, атакующий может применить методы социальной инженерии.

Статус эксплуатации уязвимости:

Присутствует публичный PoC эксплойта на GitHub. На момент анализа упоминаний о фактических атаках не зафиксировано, однако этапы эксплуатации уязвимости не вызывают сложностей, что подтверждают наши эксперты.

Возможные негативные сценарии:

• Размещение вредоносного скрипта (например, файл с расширением .bat) в директории автозагрузки Window ^[7]s для выполнения произвольного кода в момент запуска системы.

• Перезапись критически важных системных файлов в каталогах, таких как C:WindowsSystem32, что может привести к повышению привилегий или нарушению функционирования системы.

• Распространение вредоносного ПО в ИТ-инфраструктуре без ведома пользователя. Таким ПО могут оказаться: вымогатели, шифровальщики, шпионские программы или бэкдоры.

Рекомендации по устранению

Обновите программное обеспечение до версии WinRAR 7.12 и выше.

Уязвимости Google Chrome

CVE-2025-6558 |  ^[2]BDU:2025-08785 ^[8]: Уязвимость проверки ненадежных входных данных в ANGLE и GPU

Уровень критичности по оценке CVSS: 8.8

Вектор атаки: сетевой

Подтверждение вендоров:

• Google Chrome ^[9]

• Microsoft Edge ^[10]

• Opera ^[11]

• Яндекс Браузер ^[12]

Информация об эксплуатации

Описание уязвимости: 

Уязвимость в модулях ANGLE ^[13] и GPU ^[14] позволяет атакующему выходить за рамки песочницы Chrome, используя низкоуровневые операции графического процессора, которые браузеры обычно изолируют. 

Для эксплуатации уязвимости достаточно перейти на подготовленную веб-страницу без дополнительных действий от пользователя, что может привести к компрометации конечного устройства. Это упрощает путь начала целенаправленной атаки.

Также можно отметить, что уязвимости подвержены все браузеры на основе ядра Chromium.

Статус эксплуатации уязвимости:

В процессе анализа публичного эксплойта не обнаружено, при этом вендор заявляет об активной эксплуатации уязвимости в атаках, а также она добавлена в перечень CISA Kev ^[15].

Возможные негативные сценарии:

Успешная эксплуатация может привести к полной компрометации устройства: выполнению произвольного кода, краже данных или установке вредоносного ПО.

Рекомендации по устранению

• Обновите программное обеспечение до версии 138.0.7204.157 и выше.

• Проверьте наличие обновлений для других браузеров на базе Chromium.

Уязвимости Microsoft SharePoint Server

CVE-2025-53770 ^[3] | BDU:2025-08714 ^[16]: Уязвимость удалённого выполнения кода через десериализацию в Microsoft SharePoint

Уровень критичности по оценке CVSS: 9.8

Вектор атаки: сетевой

Подтверждение вендора:

• Microsoft ^[17]

Информация об эксплуатации

Описание уязвимости: 

Причиной данной уязвимости являются ошибки в сериализации и десериализации ASPX файлов, которые используются для создания динамических веб-страниц, в рамках фреймворка ASP.NET ^[18], что может привести к удаленному выполнения кода и созданию веб-шелла. 

Rapid7 ^[19] описала технические детали уязвимости. У атакующего появляется возможность направить специальный POST-запрос к серверу SharePoint. Этот запрос использует особенность того, как SharePoint отображает элементы на странице, чтобы заставить сервер выполнить встроенные команды PowerShell.  После выполнения запроса злоумышленник разворачивает вредоносную веб-оболочку spinstall0.aspx в каталоге макетов сервера. После этого злоумышленник делает еще один запрос GET к этой странице и извлекает криптографические ключи MachineKey, которые обеспечивают безопасность и целостность данных.

Атакующие активно используют цепочку уязвимостей в атаке, такой цепочке присвоено название "ToolShell". ToolShell позволяет атакующему получить временный доступ и ключи шифрования, в частности ключи проверки подлинности и ключи дешифрования. Обладание этими ключами позволяет атакующему независимо подделывать токены аутентификации, предоставляя постоянный доступ в инфраструктуре для дальнейшей атаки.

Ранее уже публиковались похожие по эксплуатации уязвимости CVE-2025-49704 ^[20] и CVE-2025-49706 ^[21], для которых был выпущен патч 8 июля 2025 года. Обновление не полностью устранило эти уязвимости. Атакующие проанализировали исправления и нашли способы обойти защиту, начав использовать новые уязвимости CVE-2025-53770 ^[17] и CVE-2025-53771 ^[17] для атаки ToolShell. Поэтому 20 июля 2025 года Microsoft ^[22] выпустила срочное обновление, которое полностью закрывает эти уязвимости.

Атака с помощью ToolShell проходит в три шага:

1. Эксплуатация уязвимости CVE-2025-53771, позволит пропустить проверки аутентификации и попасть в систему.

2. Эксплуатация уязвимости CVE-2025-53770. Имея привилегированный доступ, атакующий отправляет вредоносный код в теле запроса POST, что приводит к возникновению основной уязвимости, при которой приложение SharePoint десериализует объект в исполняемый код на сервере. После этого атакующий может выполнять команды по своему усмотрению.

3. Использование специализированной веб-оболочки для кражи ключей криптографической системы сервера. Получив ValidationKey и DecryptionKey, атакующий получает доступ к внутренним данным, используемым в SharePoint. Эти ключи нужны для того, чтобы SharePoint мог проверять подлинность пользователей и защищать важные данные сессии.

Обладание этими ключами позволяет атакующему сохранять контроль на протяжении долгого времени, что дает возможность запускать новые вредоносные программы на скомпрометированном устройстве.

Уязвимости применимы к Microsoft SharePoint Enterprise Server 2016 и 2019, а также Microsoft SharePoint Server Subscription Edition. Вендор заявляет, что Microsoft 365 SharePoint Online не подвержен уязвимости.

Статус эксплуатации уязвимости:

Присутствует публичный PoC эксплойта и упоминания в атаках, что подтверждает добавление в перечень CISA Kev ^[23].

По публичным данным ^[24] эксплуатация уязвимостей затронула более 400 серверов по всему миру, в том числе и в России.

По информации сервиса FOFA ^[25] более 500 адресов с SharePoint в России доступны извне. На диаграмме отражена распространенность организаций по отраслям. Стоит учесть, что развернутые сервисы уже могут быть обновлены.

Возможные негативные сценарии:

Успешная эксплуатация может привести к полной компрометации устройства, выполнению произвольного кода, краже данных или установке вредоносного ПО.

Рекомендации по устранению

Для снижения потенциальных угроз вендор рекомендует ^[22]:

• Установить последние обновления безопасности.

• Использовать средства защиты информации и мониторинг индикаторов веб-шелла таких, как spinstall0.aspx.

• Убедиться, что интерфейс AMSI включен и правильно настроен для защиты от вредоносных запросов.

• Обновить ключи SharePoint Server ASP.NET ^[18] после обновления или включения AMSI.

Как защититься?

В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение — первоочередная мера защиты.

Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований ^[26], все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.

Следите за обновлениями и до встречи в следующем выпуске дайджеста