- PVSM.RU - https://www.pvsm.ru -

Июльский «В тренде VM»: уязвимости в Microsoft Windows и Roundcube

Июльский «В тренде VM»: уязвимости в Microsoft Windows и Roundcube - 1

На связи Александр Леонов из PT Expert Security Center, дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста [1] мы добавили 3 трендовые уязвимости:

Уязвимости Microsoft

  • Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut (CVE-2025-33053) 

  • Уязвимость, связанная с повышением привилегий, в SMB-клиенте (CVE-2025-33073)

Уязвимость Roundcube

  • Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube (CVE-2025-49113)

Начнём, как обычно, с уязвимостей Windows.

Уязвимости в продуктах Microsoft

Уязвимости, описанные ниже, согласно данным The Verge [2], потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Уязвимость, связанная с удаленным выполнением кода, в файлах Internet Shortcut

💥 CVE-2025-33053 [3](оценка по CVSS — 8,8; высокий уровень опасности)

Уязвимость из июньского Microsoft Patch Tuesday [4]. Эта уязвимость сразу имела признаки эксплуатации вживую. Эксплуатация уязвимости позволяет удалённому злоумышленнику выполнить произвольный код при открытии жертвой специального .url-файла, доставленного, например, в ходе фишинговой атаки.

🔹 Уязвимость зарепортили исследователи из компании Check Point. В день июньского Microsoft Patch Tuesday (10 июня) на их сайте были опубликованы [5] технические детали. Уязвимость эксплуатировалась APT-группой Stealth Falcon [6] как минимум с марта 2025 года. Эксплуатация уязвимости приводила к загрузке и запуску вредоносного ПО (Horus Agent) с WebDAV [7]-сервера злоумышленника.

🔹 Эксплойты для уязвимости доступны на GitHub с 12 июня.

Признаки эксплуатации: исследователи из Check Point сообщили [5] об эксплуатации уязвимости APT-группировкой Stealth Falcon в атаке на турецкую оборонную компанию. Атака была проведена еще до публичного раскрытия информации об уязвимости, в итоге злоумышленники заразили жертву вредоносным ПО. Кроме того, CISA добавило [8] уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Уязвимость, связанная с повышением привилегий, в SMB-клиенте

💥 CVE-2025-33073 [9](оценка по CVSS — 8,8; высокий уровень опасности)

Уязвимость из июньского Microsoft Patch Tuesday [4]. Для эксплуатации уязвимости злоумышленник может выполнить вредоносный скрипт, чтобы заставить хост жертвы подключиться к атакующему серверу по SMB и пройти аутентификацию. В результате злоумышленник может получить привилегии SYSTEM.

🔹 Детали эксплуатации уязвимости были опубликованы 11 июня (на следующий день после MSPT) на сайтах компаний RedTeam Pentesting [10] и Synacktiv [11].

🔹 Эксплойты для уязвимости доступны на GitHub с 15 июня.

🔹 Исследователи PT ESC подтвердили эксплуатабельность уязвимости и 24 июня опубликовали ликбез [12], варианты эксплуатации [13] и информацию по методам детектирования [14].

Помимо установки обновления [9], для устранения уязвимости необходимо настроить принудительное требование [15] подписи SMB для SMB-служб контроллеров и рабочих станций.

Информации об эксплуатации вживую пока нет.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: в открытом доступе опубликован [16] PoC.

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft (CVE-2025-33053 [3], CVE-2025-33073 [9]).

Закончим трендовой уязвимостью в Roundcube.

Уязвимости в продукте Roundcube

Уязвимость, связанная с удаленным выполнением кода, в почтовом веб-клиенте Roundcube

💥 CVE-2025-49113 [17] (оценка по CVSS — 9,9; критический уровень опасности)

Roundcube [18] – популярный веб-клиент для работы с электронной почтой (IMAP) с открытым исходным кодом. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольный код на сервере Roundcube Webmail. Причина уязвимости – Deserialization of Untrusted Data (CWE-502 [19]).

🔹 1 июня вендор выпустил [20] исправленные версии 1.6.11 и 1.5.10. В течение 48 часов патч был проанализирован злоумышленниками и сообщения о продаже эксплойта появились в даркнете.

🔹 3 июня эксперты PT SWARM воспроизвели уязвимость [21].

🔹 С 5 июня публичные эксплойты доступны на GitHub.

🔹 6 июня Кирилл Фирсов, исследователь, зарепортивший эту уязвимость, опубликовал подробный write-up [22]. В нём он утверждает, что уязвимость присутствовала в коде 10 лет и что есть признаки её публичной эксплуатации.

🔹 16 июня появились сообщения [23] об успешной атаке на немецкого почтового хостинг-провайдера [24] с использованием этой уязвимости.

Признаки эксплуатации: предполагается [23], что атака на почтового хостинг-провайдера [24] Cock.li [25] была совершена с использованием этой уязвимости.

Публично доступные эксплойты: в открытом доступе опубликован [26] PoC.

Количество потенциальных жертв: Roundcube широко распространен в хостинг-среде (GoDaddy, Hostinger, OVH), входит в состав панелей управления (cPanel, Plesk и других), применяется в государственном и образовательном секторах, сфере технологий. По данным Censys, на момент написания статьи обнаружено [27] около 2,5 миллионов экземпляров Roundcube Webmail. Как сообщили эксперты Shadowserver, по состоянию на 8 июня выявлено [28] около 84 тысяч уязвимых экземпляров Roundcube, большинство из них — в США, Германии и Индии. По данным CyberOK, в России наблюдается [29] более 78 тысяч уникальных инсталляций Roundcube Webmail, около 85% которых уязвимы.

Способы устранения, компенсирующие меры: согласно рекомендации [20] Roundcube, необходимо обновить ПО до одной из исправленных версий (1.6.11 [30] или 1.5.10 [31]).

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организациям.

Узнавать об актуальных недостатках безопасности можно на портале dbugs [32], где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом всё. До встречи в новом дайджесте трендовых уязвимостей через месяц. 

Июльский «В тренде VM»: уязвимости в Microsoft Windows и Roundcube - 2

Александр Леонов

Ведущий эксперт PT Expert Security Center

Автор: ptsecurity

Источник [33]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/microsoft/425564

Ссылки в тексте:

[1] прошлого дайджеста: https://habr.com/ru/companies/pt/articles/920062/

[2] согласно данным The Verge: https://www.theverge.com/2023/10/18/23922062/microsoft-windows-11-400-million-active-devices-usage-data-leak

[3] CVE-2025-33053 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33053

[4] июньского Microsoft Patch Tuesday: https://avleonov.ru/2025/06/10/2381-ijunskij-microsoft-patch-tuesday/

[5] опубликованы: https://research.checkpoint.com/2025/stealth-falcon-zero-day/

[6] Stealth Falcon: https://attack.mitre.org/groups/G0038/

[7] WebDAV: https://ru.m.wikipedia.org/wiki/WebDAV

[8] добавило: https://www.cisa.gov/news-events/alerts/2025/06/10/cisa-adds-two-known-exploited-vulnerabilities-catalog

[9] CVE-2025-33073 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073

[10] сайтах компаний RedTeam Pentesting: https://blog.redteam-pentesting.de/2025/reflective-kerberos-relay-attack/

[11] Synacktiv: https://www.synacktiv.com/en/publications/ntlm-reflection-is-dead-long-live-ntlm-reflection-an-in-depth-analysis-of-cve-2025

[12] ликбез: https://t.me/ptescalator/389

[13] варианты эксплуатации: https://t.me/ptescalator/390?single

[14] информацию по методам детектирования: https://t.me/ptescalator/392?single

[15] принудительное требование: https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/overview-server-message-block-signing

[16] опубликован: https://github.com/mverschu/CVE-2025-33073

[17] CVE-2025-49113: https://nvd.nist.gov/vuln/detail/CVE-2025-49113

[18] Roundcube: https://roundcube.net/

[19] CWE-502: http://cwe.mitre.org/data/definitions/502.html

[20] выпустил: https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10

[21] воспроизвели уязвимость: https://t.me/ptswarm/236

[22] подробный write-up: https://fearsoff.org/research/roundcube

[23] сообщения: https://news.risky.biz/risky-bulletin-cock-li-gets-hacked-allegedly/

[24] хостинг-провайдера: https://www.reg.ru/?rlink=reflink-717

[25] Cock.li: http://Cock.li

[26] опубликован: https://github.com/fearsoff-org/CVE-2025-49113

[27] обнаружено: https://censys.com/advisory/cve-2025-49113

[28] выявлено: https://x.com/Shadowserver/status/1931792740616196222

[29] наблюдается: https://www.cyberok.ru/news.html

[30] 1.6.11: https://github.com/roundcube/roundcubemail/releases/tag/1.6.11

[31] 1.5.10: https://github.com/roundcube/roundcubemail/releases/tag/1.5.10

[32] на портале dbugs: https://dbugs.ptsecurity.com/

[33] Источник: https://habr.com/ru/companies/pt/articles/928908/?utm_campaign=928908&utm_source=habrahabr&utm_medium=rss