Обновление Microsoft от вторника октября 2025 г. устраняет 175 уязвимостей, включая 3 уязвимости нулевого дня

Вторник исправлений Microsoft в октябре 2025 года оказался масштабным: было выпущено более 170 исправлений безопасности, что сделало немедленную установку исправлений обязательной из-за объема и критического характера уязвимостей в облачных сервисах Windows, Office и Azure.

Были исправлены три уязвимости нулевого дня, которые, как было подтверждено, активно атаковались. В их число входили две критические ошибки повышения привилегий (EoP) в Windows и обход безопасной загрузки:

CVE-2025-24990 (драйвер модема Windows Agere EoP – CVSS 7.8, High): Эта активно эксплуатируемая уязвимость была устранена путём безвозвратного удаления устаревшего драйвера (ltmdm64.sys) из Windows. Факс-модемы, использующие этот драйвер, перестанут работать в обновлённых системах.

CVE-2025-59230 (Windows Remote Access Connection Manager EoP – CVSS 7.8, High): Неправильная ошибка управления доступом, которая позволяет локальному злоумышленнику, прошедшему аутентификацию, получить привилегии уровня SYSTEM в диспетчере подключений удаленного доступа (RasMan).

CVE-2025-47827 (обход безопасной загрузки в IGEL OS — CVSS 8.4, высокий уровень): эта сторонняя уязвимость нарушает цепочку доверия безопасной загрузки через модуль igel-flash-driver, позволяя вредоносной файловой системе полностью обойти защиту.

Администраторы серверов должны отдавать приоритет критическим уязвимостям RCE с близкими к идеальным оценками CVSS:

Критическая уязвимость RCE WSUS (CVE-2025-59287, CVSS 9.8, Критическая): Ошибка десериализации позволяет неаутентифицированному удаленному злоумышленнику полностью захватить контроль над сервером службы обновления Windows Server (WSUS), предоставляя себе широкий контроль над сетью.

Обход ASP.NET Core (CVE-2025-55315, CVSS 9.9, критический): уязвимость, позволяющая подделывать HTTP-запросы, которой может воспользоваться злоумышленник с низкими привилегиями, прошедший аутентификацию. Уязвимость может серьёзно нарушить конфиденциальность и целостность многопользовательских веб-приложений, затрагивая пакет Microsoft.AspNetCore.Server.Kestrel.Core (в некоторых версиях).

Компонент Windows Graphics (CVE-2025-49708, CVSS 9.9, критический): ошибка повреждения памяти, в частности уязвимость Use-After-Free, которая представляет собой удаленный путь для полного взлома системы на уровне ядра.

Были также устранены критически важные уязвимости в сервисах для конечных пользователей и предприятий:

Устранено несколько уязвимостей RCE. Высокоприоритетные уязвимости (CVE-2025-59234 и CVE-2025-59236, обе CVSS 7.8, High) позволяют выполнить код, открыв вредоносный файл. Уязвимость CVE-2025-59227 (CVSS 7.8, High) является критически важной, поскольку может быть эксплуатирована через панель предварительного просмотра без взаимодействия с пользователем.

Критические уязвимости EoP были исправлены в Azure Entra ID (CVE-2025-59246, CVSS 9.8, ошибка «Отсутствует аутентификация для критической функции»; и CVE-2025-59218, CVSS 9.6) и Azure Compute Gallery (CVE-2025-59292, CVSS 8.2). Также было исправлено состояние гонки, влияющее на целостность Azure Confidential Computing в процессорах AMD EPYC SEV-SNP (CVE-2025-0033).

Были выпущены исправления для нескольких уязвимостей спуфинга (например, CVE-2025-59252, CVSS 6.5), чтобы помешать злоумышленникам отображать вводящий в заблуждение или «поддельный» контент в интерфейсе помощника на основе искусственного интеллекта.

Это последний вторник обновлений безопасности для основных продуктов, включая Windows 10, Office 2016 и Exchange Server 2016. Организациям необходимо немедленно обновить Windows 10 до Windows 11 или зарегистрироваться в платной программе расширенных обновлений безопасности (ESU). Пользователям Office 2016/2019 и Exchange Server 2016/2019 необходимо перейти на современный пакет (например, Microsoft 365) или Exchange Online/Subscription Edition для поддержания безопасности.

НЕМЕДЛЕННЫЕ ДЕЙСТВИЯ: Поскольку несколько критических уязвимостей нулевого дня активно эксплуатируются в реальных условиях, установка этих обновлений является наиболее срочным и необходимым шагом для всех пользователей и администраторов.

Более подробную информацию можно найти здесь .

«Первая уязвимость нулевого дня — это серьезная уязвимость, приводящая к повышению привилегий в службе диспетчера подключений удаленного доступа Windows (RACMAN), которая управляет VPN и подключениями удаленного доступа», — сказал Майк Уолтерс , президент и соучредитель Action1, об уязвимости повышения привилегий в диспетчере подключений удаленного доступа Windows (CVE-2025-59230).

«Это происходит из-за ненадлежащего управления доступом (CWE-284), позволяющего аутентифицированному злоумышленнику с низким уровнем привилегий получить права уровня SYSTEM. Проблема, вероятно, связана с тем, как RACMAN проверяет и обрабатывает команды от пользователей с низким уровнем привилегий без надлежащей проверки авторизации», — добавил Уолтерс.

«Эта уязвимость особенно опасна, поскольку привилегии SYSTEM предоставляют злоумышленнику полный контроль над уязвимой машиной. В цепочках атак она может использоваться для повышения привилегий после первоначальной компрометации (например, посредством фишинга), обеспечения устойчивости, обхода контроля учётных записей и, в сочетании с горизонтальным распространением, для реализации более сложных атак на контроллеры домена», — предупредил он.