Апрельский «В тренде VM»: уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat

На связи Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста ^[1] мы добавили 11 трендовых уязвимостей:

Уязвимости в Microsoft

• Уязвимость повышения привилегий в Cloud Files Mini Filter Driver (CVE-2024-30085);

• Уязвимость спуфинга Microsoft Windows File Explorer (CVE-2025-24071)

• Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT (CVE-2025-24985);

• Уязвимость удаленного выполнения кода в файловой системе Windows NTFS (CVE-2025-24993);

• Уязвимость обхода функции безопасности консоли управления Microsoft (CVE-2025-26633);

• Уязвимость повышения привилегий подсистемы ядра Windows Win32 (CVE-2025-24983).

Уязвимости в VMware

• Уязвимость произвольной записи в VMware ESXi и Workstation (CVE-2025-22224);

• Уязвимость произвольной записи память в VMware ESXi (CVE-2025-2222);

• Уязвимость разглашения информации в VMware ESXi, Workstation и Fusion (CVE-2025-22226).

Уязвимость в Apache

• Уязвимость удаленного выполнения кода в Apache Tomcat (CVE-2025-24813) . Уязвимость в Kubernetes

• Уязвимость удаленного выполнения кода в компоненте Kubernetes Ingress NGINX Controller (CVE-2025-1974)

Разберем 6 уязвимостей в продуктах Microsoft.

Уязвимости в продуктах Microsoft

Уязвимости, описанные ниже, согласно данным The Verge ^[2], потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Начнём с самой старой, исправленной в рамках июньского Microsoft Patch Tuesday 2024 года ^[3].

Уязвимость повышения привилегий в Cloud Files Mini Filter Driver

💥 CVE-2024-30085 (оценка по CVSS - 7.8; высокий уровень опасности)

cldflt.sys – это драйвер минифильтра Windows Cloud Files Mini Filter, задача которого представлять хранимые в облаке файлы и папки, как если бы они находились в компьютере. Уязвимость этого драйвера позволяет атакующему получить привилегии SYSTEM. Причина уязвимости – Heap-based Buffer Overflow ^[4] (CWE-122).

🔻 Приватный эксплойт был представлен на конкурсе TyphoonPWN 2024 ^[5] 30 мая 2024 года. Его использовали в составе цепочки эксплоитов для осуществления побега из виртуальной машины под управлением VMware workstation (Guest-to-Host-Escape).

🔻 19 декабря 2024 года техническое описание и код эксплойта были опубликованы на сайте SSD Secure Disclosure ^[6].

🔻 3 марта в нашем блоге выходила статья ^[7], в котором рассматриваются корни уязвимости и техники эксплуатации.

Признаки эксплуатации: Microsoft на момент публикации дайджеста не отмечает ^[8] фактов эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован эксплойт ^[6].

Компенсирующие меры. Исследователи из Ogma в качестве компенсирующих мер предлагают ^[9]:

✅ сегментировать сеть;

✅ внедрить и реализовать принцип наименьших привилегий (PoLP);

✅ улучшить мониторинг для обнаружения подозрительной активности.

Теперь рассмотрим уязвимости 5 уязвимостей из мартовского Patch Tuesday ^[10].

Начнём с самой опасной, для которой есть публичные эксплойты:

Уязвимость спуфинга Microsoft Windows File Explorer

💥 CVE-2025-24071 (оценка по CVSS – 7.5; высокий уровень опасности)

Уязвимость из мартовского Microsoft Patch Tuesday ^[10]. В момент публикации Microsoft Patch Tuesday, 11 марта, VM-вендоры не выделяли её в своих обзорах. VM-вендоры не выделяли её в своих обзорах ^[11]. Спустя неделю, 18 марта, в блоге исследователя 0x6rss вышел write-up ^[12] по этой уязвимости и PoC эксплойта. По его словам, уязвимость активно эксплуатируется вживую и, возможно, эксплойт для этой уязвимости продавался в даркнете ^[13] с ноября прошлого года.

В чём суть? Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удалённую SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2 хеш, попробовать подобрать по нему пароль его или использовать в атаках pass-the-hash. Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно. Это может значительно повысит эффективность фишинговых атак злоумышленников 😱

Признаки эксплуатации: Microsoft на момент публикации дайджеста отмечает ^[14] факты эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован PoC ^[15].

Компенсирующие меры: специалисты из Freebuf рекомендуют ^[16] в качестве дополнительных мер защиты включать подписывание SMB и отключать NTLM там, где это возможно.

Теперь посмотрим на уязвимости, для которых нет публичных эксплойтов. Первые две уязвимости аналогичны по вектору эксплуатации, различаются только типом уязвимой файловой системы:

Уязвимость удаленного выполнения кода драйвера файловой системы Windows Fast FAT

💥 CVE-2025-24985 (оценка по CVSS – 7.8; высокий уровень опасности)

Целочисленное переполнение или циклический переход (Integer Overflow or Wraparound, CWE-190 ^[17]) в драйвере Fast FAT ОС Windows позволяет неавторизованному злоумышленнику выполнить произвольный код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск ^[18].

Признаки эксплуатации: Microsoft отмечает ^[19] факты эксплуатации уязвимости.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Уязвимость удаленного выполнения кода в файловой системе Windows NTFS

💥 CVE-2025-24993 (оценка по CVSS – 7.8; высокий уровень опасности)

Переполнение буфера в куче (Heap-based Buffer Overflow, CWE-122 ^[4]) в файловой системе Windows NTFS позволяет несанкционированному злоумышленнику выполнить код в локальной системе. Для этого злоумышленник должен убедить потенциальную жертву примонтировать специально созданный виртуальный жесткий диск.

Признаки эксплуатации: Microsoft отмечает ^[20] факты эксплуатации уязвимости.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Ещё одна уязвимость также требует открытия зловредного файла.

Уязвимость обхода функции безопасности консоли управления Microsoft

💥 CVE-2025-26633 (оценка по CVSS – 7.0; высокий уровень опасности)

Консоль управления Microsoft (MMC ^[21]) – компонент ОС Windows, который используется для создания, сохранения и открытия консолей администрирования для управления оборудованием, программным обеспечением и сетевыми компонентами Windows. MMC позволяет сохранять коллекцию настроек в виде файлов MSC ^[22]. Для эксплуатации уязвимости злоумышленник должен убедить потенциальную жертву открыть специально созданный MSC файл, что, согласно ZDI ^[23], приведёт к выполнению кода в контексте текущего пользователя. Для эксплуатации уязвимости злоумышленники могут использовать фишинг, отправляя электронные письма с вредоносными вложениями или ссылками, ведущими на подконтрольные им ресурсы. Исследователи Trend Micro связывают ^[24] случаи эксплуатации уязвимости с деятельностью группировки EncryptHub (также известной как Water Gamayun и Larva-208).

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Компенсирующие меры: эксперты с Cvecrowd советуют ^[25] блокировать .msc и .vhd файлы на средствах безопасности электронной почты, веб-прокси и межсетевом экране, а также производить мониторинг подозрительных действий в системе.

И, наконец, классическая уязвимость повышения привилегий.

Уязвимость повышения привилегий подсистемы ядра Windows Win32

💥 CVE-2025-24983 (оценка по CVSS – 7.0; высокий уровень опасности)

Для эксплуатации уязвимости аутентифицированному пользователю необходимо запустить специально созданную программу, которая в конечном итоге выполнит код с привилегиями SYSTEM. Для успешной эксплуатации уязвимости злоумышленнику необходимо выиграть «race condition». Уязвимость была обнаружена исследователями ESET. Они нашли эксплойт ^[26] для CVE-2025-24983 на системах, скомпрометированных с использованием бэкдора PipeMagic ^[27].

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.

Публично доступные эксплойты: на данный момент эксплойта нет в общем доступе.

Компенсирующие меры: специалисты из Feedly рекомендуют ^[28] минимизировать привилегии локальных пользователей.

Способ устранения описанных выше уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft – CVE-2024-30085 ^[8], CVE-2025-24983 ^[29], CVE-2025-24993 ^[20], CVE-2025-24985 ^[19], CVE-2025-26633 ^[30], CVE-2025-24071 ^[14].

Закончили с Windows, перейдем к уязвимостям VMware.

Уязвимости в продуктах VMware

Бюллетень безопасности вендора вышел 4 марта ^[31]. Все три уязвимости зарепортили эксперты из Microsoft Threat Intelligence Center. Для этих уязвимостей были признаки эксплуатации вживую и они были добавлены в CISA KEV ^[32].

По мнению исследователя Кевина Бомонта ^[33], эти уязвимости образуют цепочку уязвимостей, названную "ESXicape". Эксплуатируя её, злоумышленник, имеющий возможность запускать код на виртуальной машине, "может повысить уровень доступа к гипервизору ESX". Потенциально это позволяет скомпрометировать всю виртуализованную инфраструктуру организации.

Уязвимости касаются VMX процесса (Virtual Machine Executable ^[34]), который выполняется в VMkernel и отвечает за обработку ввода-вывода на устройствах, не критичных к производительности. VMX также отвечает за взаимодействие с пользовательскими интерфейсами, менеджерами снапшотов и удаленной консолью.

Уязвимость произвольной записи в VMware ESXi и Workstation

💥 CVE-2025-22224 (оценка по CVSS – 9.3; критический уровень опасности)

Уязвимость состояния гонки TOCTOU (Time-of-Check Time-of-Use ^[35]) в VMware ESXi и Workstation (CVE-2025-22224), приводящая к записи за пределами допустимого диапазона ("out-of-bounds write"). Злоумышленник с локальными административными привилегиями на виртуальной машине может выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).

Уязвимость произвольной записи память в VMware ESXi

💥 CVE-2025-22225 (оценка по CVSS – 8.2; высокий уровень опасности)

Уязвимость произвольной записи в память (Arbitrary Write) в VMware ESXi (CVE-2025-22225). Злоумышленник, имеющий привилегии в процессе VMX, может записать произвольный код в область ядра, что приведёт к побегу из "песочницы".

Уязвимость разглашения информации в VMware ESXi, Workstation и Fusion

💥 CVE-2025-22226 (оценка по CVSS – 7.1; высокий уровень опасности)

Причина уязвимости чтение за пределами допустимого диапазона (out-of-bounds read) в HGFS. VMware HGFS (Host-Guest File System) – это функция, которая позволяет использовать общие папки между хостовой и гостевой операционными системами в виртуальной машине VMware. Злоумышленник с административными привилегиями на виртуальной машине может извлекать содержимое памяти процесса VMX.

Признаки эксплуатации: в Kubernetes не отмечают ^[36] факты эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован POC ^[37].

Потенциальные жертвы: согласно исследователям Wiz ^[38], уязвимость затрагивает более 6500 кластеров, находящихся в интернете.

Способы устранения, компенсирующие меры. Следуя рекомендациям Kubernetes ^[36],

✅ обновитесь до новой версии патча ^[39] Ingress-nginx

✅ отключите функцию проверки контроллера допуска ingress-nginx.

Осталось 2 уязвимости: в Apache Tomcat и Kubernetes.

Уязвимость удаленного выполнения кода в Apache Tomcat

💥 CVE-2025-24813 (оценка по CVSS - 9.8; критический уровень опасности)

Apache Tomcat ^[40] – открытое ПО, предоставляющее платформу для запуска веб-приложений, написанных на языке Java. Уязвимость позволяет удалённому неаутентифицированному злоумышленнику послать на сервер произвольный файл для его последующего выполнения. Причина уязвимости – ошибки в обработке загружаемых файлов сессий и механизме десериализации.

🔻 Бюллетень вендора вышел 10 марта ^[41]. В нём отмечается, что два условия, необходимые для эксплуатации ("writes enabled for the default servlet" и "file based session persistence with the default storage location") не выполняются в инсталляциях по умолчанию.

🔻 Разбор уязвимости на основе анализа патча и PoC эксплоита были опубликованы 11 марта. Полноценные эксплоиты доступны на GitHub с 13 марта.

🔻 С 17 марта есть признаки эксплуатации уязвимости вживую ^[42]. 👾 1 апреля уязвимость добавили в CISA KEV ^[43].

Уязвимость исправлена в версиях 9.0.99, 10.1.35 и 11.0.3.

Признаки эксплуатации: Apache отмечают ^[41] факты эксплуатации уязвимости.

Публично доступные эксплойты: в открытом доступе был опубликован POC ^[44].

Потенциальные жертвы: согласно исследованию Rapid7 ^[45] на github было обнаружено около 200 публично доступных уязвимых серверов.

Способы устранения, компенсирующие меры: согласно рекомендациям ^[41] Apache необходимо обновить системы до версий Apache Tomcat 9.0.99, Apache Tomcat 10.1.35, Apache Tomcat 11.0.3 или более поздних.

Уязвимость удаленного выполнения кода в компоненте Kubernetes Ingress NGINX Controller

💥 CVE-2025-1974 (оценка по CVSS – 9.8; критический уровень опасности)

Неаутентифицированный злоумышленник с доступом к сети подов ^[46] может выполнить произвольный код в контексте контроллера ingress-nginx ^[47]. Это может привести к утечке секретов, доступных контроллеру. А при стандартной установке контроллер имеет доступ ко всем секретам кластера.

🔹 24 марта в блоге компании Wiz ^[37]вышел write-up по этой уязвимости, названной IngressNightmare (наряду с CVE-2025-1097, CVE-2025-1098 и CVE-2025-24514). Исследователи Wiz зафиксировали 6500 уязвимых контроллеров, доступных непосредственно из Интернет 😱 Кроме того, в блоге Kubernetes сообщают ^[36], что сеть подов часто может быть доступна для всех рабочих нагрузок в частном облаке (VPC), или даже для всех, кто подключен к корпоративной сети. А сам ingress-nginx используется в 40% кластеров Kubernetes.

🔹 С 25 марта для этой уязвимости доступен публичный эксплойт на GitHub 😈 Обновите ingress-nginx до версий v1.12.1, v1.11.5 или выше ^[48]!

Признаки эксплуатации: Kubernetes не отмечают ^[36] факты эксплуатации уязвимости

Публично доступные эксплойты: в открытом доступе был опубликован POC ^[37]

Потенциальные жертвы: согласно исследователям Wiz, уязвимость затрагивает более 6500 кластеров, находящихся в интернете

Способы устранения, компенсирующие меры. Следуя рекомендациям ^[36] Kubernetes,

✅ обновитесь до новой версии патча Ingress-nginx;

✅ отключите функцию проверки контроллера допуска ingress-nginx.

Как защититься

🔐 Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM ^[49] информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.