Эксплойты и уязвимости в первом квартале 2025 года

В первом квартале 2025 года продолжалась публикация уязвимостей, обнаруженных и исправленных в 2024 году, так как некоторые исследователи ранее не могли обнародовать подробности. Это частично сместило фокус с тех уязвимостей, которые получили свежие идентификаторы CVE-2025-NNNNN. Специфика регистрации уязвимостей такова, что порой между исследованием проблемы и выпуском патча возникает существенная задержка, которая компенсируется предварительным резервированием CVE-идентификатора. Что касается тенденций в эксплуатации уязвимостей, мы наблюдаем растущие показатели использования уязвимостей в старых версиях операционных систем. Это во многом обусловлено двумя причинами: несвоевременной установкой обновлений и активным выпуском новых версий ОС, в которых реализованы усовершенствованные механизмы и компоненты для предотвращения эксплуатации уязвимостей отдельных подсистем.

Статистика по зарегистрированным уязвимостям

Этот раздел содержит статистику по зарегистрированным уязвимостям. Данные взяты с портала cve.org.

Общее количество зарегистрированных уязвимостей и количество критических уязвимостей, Q1 2024 и Q1 2025 (скачать)

Первый квартал 2025 года, как и предыдущие, демонстрирует достаточно большое количество зарегистрированных уязвимостей. Динамика их регистрации во многом повторяет предыдущие годы, поэтому давайте сосредоточимся на новых данных, которые можно собрать по наиболее популярным платформам. В этом отчете мы изучим характеристики уязвимостей для операционной системы Linux и программного обеспечения Microsoft, в частности ОС Windows. Учитывая, что разработчики ядра Linux получили статус CVE Numbering Authority (CNA) и могут самостоятельно присваивать обнаруженным проблемам безопасности CVE-идентификатор, вся информация по уязвимостям теперь может быть получена из первых рук.

Рассмотрим уязвимости для ядра Linux, зарегистрированные в первом квартале 2025 года, в соответствии с их типами (CWE).

TOP 10 CWE для уязвимостей Linux-ядра, зарегистрированных в Q1 2025 (скачать)

Для Linux мы видим превалирующее количество CWE со следующими идентификаторами:

• CWE-476 — разыменование нулевого указателя (Null Pointer Dereference);
• CWE-416 — проблема использования ресурсов динамической памяти (Use After Free);
• CWE-667 — некорректная обработка доступа к ресурсу, с которым взаимодействуют несколько потоков или процессов (Improper Locking);
• CWE-125 — чтение за пределами буфера (Out-of-bounds Read);
• CWE-908 — использование неинициализированного ресурса, чаще всего относится к регионам оперативной памяти (Use of Uninitialized Resource).

Подобный набор типов уязвимостей достаточно популярен для системного программного обеспечения. Однако стоит отметить, что для эксплуатации уязвимостей указанных CWE злоумышленники используют нетривиальные примитивы на чтение и запись, поскольку в Linux реализованы эффективные механизмы защиты от эксплойтов, например KASLR (Kernel Address Space Layout Randomization) — технология рандомизации размещения адресного пространства ядра.

Давайте изучим аналогичную статистику для программного обеспечения Microsoft. Так как у этого разработчика достаточно много продуктов, мы отмечаем различные типы обнаруженных проблем безопасности — поэтому рассмотрим только самые часто встречающиеся CWE, к которым относятся опубликованные на протяжении первого квартала 2025 года уязвимости.

TOP 10 CWE для уязвимостей продуктов Microsoft, зарегистрированных в Q1 2025 (скачать)

Помимо описанных выше CWE, в первом квартале также часто регистрировались уязвимости следующих типов:

• CWE-122 — переполнение буфера в куче (Heap-based Buffer Overflow);
• CWE-787 — уязвимости повреждения памяти (Out-of-bounds Write).

В целом многие CWE из TOP 10 для программных решений Microsoft и ядра Linux совпадают или являются аналогичными, а значит, уязвимости основаны на схожих принципах. Поэтому мы часто сталкиваемся с «портированием» механизмов атак для Linux на Windows и наоборот: злоумышленники адаптируют рабочие эксплойты под другую операционную систему. Этот подход применяется и для различных решений одного вида программного обеспечения.

Отметим, что указанные CWE наблюдаются на протяжении достаточно долгого времени, несмотря на старания исследователей и разработчиков. Знание типов уязвимостей, которые чаще всего встречаются на конкретной платформе, позволяет понять, какие именно могут быть использованы инструменты для захвата системы.

Статистика по эксплуатации уязвимостей

Раздел содержит статистику по использованию эксплойтов за первый квартал 2025 года. Данные получены на основании открытых источников и нашей телеметрии.

Эксплуатация уязвимостей в Windows и Linux

В первом квартале 2025 года количество атак с эксплойтами для платформы Windows выросло по сравнению с аналогичным периодом прошлого года. Как и прежде, львиная доля обнаруженных эксплойтов была нацелена на продукты Microsoft Office. Несмотря на то что программы офисного пакета предоставляются на базе облака, среди пользователей по-прежнему популярны уязвимые локальные версии.

Чаще всего продукты «Лаборатории Касперского» традиционно срабатывали на эксплойты для платформы Windows к следующим старым уязвимостям:

• CVE-2018-0802 — уязвимость удаленного выполнения кода в компоненте Equation Editor;
• CVE-2017-11882 — еще одна уязвимость удаленного выполнения кода, также затрагивающая Equation Editor;
• CVE-2017-0199 — уязвимость в Microsoft Office и WordPad, позволяющая атакующему захватить контроль над системой.

Эти три уязвимости оставались самыми распространенными на протяжении 2024 года, и мы предполагаем, что такая тенденция сохранится и в дальнейшем.

За первой тройкой уязвимостей следуют не менее популярные проблемы в WinRAR и в самой операционной системе Windows:

• CVE-2023-38831 — уязвимость в WinRAR, которая заключается в некорректной обработке объектов, содержащихся в архиве;
• CVE-2024-35250 — уязвимость драйвера ks.sys, которая связана с разыменованием недоверенного указателя и позволяет выполнять произвольный код;
• CVE-2022-3699 — уязвимость драйвера Lenovo Diagnostics, позволяет вызывать обработчики драйвера без ограничений и тем самым работать с памятью напрямую в ядре.

Все перечисленные выше уязвимости могут использоваться для повышения привилегий, а те, что затрагивают ядро и драйверы, — для полной компрометации системы, поэтому мы рекомендуем регулярно устанавливать обновления для соответствующего программного обеспечения.

Динамика числа пользователей Windows, столкнувшихся с эксплойтами, Q1 2024 — Q1 2025. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2024 (скачать)

Для операционной системы Linux больше всего было обнаружено эксплойтов к следующим уязвимостям:

• CVE-2022-0847 — универсальная уязвимость, известная как Dirty Pipe, которая позволяет повышать привилегии и перехватывать управление запущенными приложениями;
• CVE-2019-13272 — уязвимость некорректной обработки наследования привилегий, которая может быть использована для их повышения;
• CVE-2021-3156 — уязвимость переполнения кучи в утилите sudo, позволяющая повысить привилегии в системе.

Динамика числа пользователей Linux, столкнувшихся с эксплойтами, Q1 2024 — Q1 2025. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2024 (download)

Любую операционную систему и программное обеспечение очень важно своевременно обновлять, в том числе устанавливать выпускаемые патчи. Однако для ядра Linux и приложений, которые поставляются в большинстве дистрибутивов, обновление становится критичным процессом, так как одна уязвимость может скомпрометировать всю систему.

Самые распространенные опубликованные эксплойты

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q4 2024 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q1 2025 (скачать)

В первом квартале 2025 года операционные системы, как самое сложное программное обеспечение, продолжают лидировать по количеству опубликованных эксплойтов. Это обусловлено существенным объемом кода и количеством компонентов ОС, а также ее критической значимостью для работы с устройством. Кроме того, мы отмечаем стабильный рост числа эксплойтов к браузерам — эта тенденция сохранялась и на протяжении всего прошлого года. Также увеличилась доля эксплойтов к уязвимостям в продуктах Microsoft Office.

Использование уязвимостей в APT-атаках

Мы изучили данные об атаках APT-групп и определили, какие уязвимости использовались в них чаще всего в первом квартале 2025 года. Представленный ниже рейтинг составлен на основе нашей телеметрии, исследований и открытых источников.

ТОР 10 уязвимостей, эксплуатируемых в APT-атаках, Q1 2025 (скачать)

В первую очередь большинство приемов злоумышленников в атаках направлено на получение доступа к локальной сети жертвы, поэтому самыми популярными всегда будут уязвимости пограничных устройств и программного обеспечения, которое может работать в качестве серверного.

Отметим, что в TOP 10 вернулась известная критическая уязвимость Zerologon, позволяющая получить доступ к контроллеру домена.

Исключение из этой тенденции составляет только ПО, использующееся для доступа к информации: это приложения для редактирования текста и обмена файлами.

Интересные уязвимости

Этот раздел содержит наиболее интересные уязвимости, которые были опубликованы в первом квартале 2025 года.

ZDI-CAN-25373 — уязвимость нарушения отображения параметров lnk-файлов в ОС Windows

Первая уязвимость, попавшая в список самых интересных, применяется достаточно долгое время для проведения атак на пользователей, хотя до сих пор не получила CVE-идентификатора. Она затрагивает lnk-файлы в операционной системе Windows. Суть проблемы заключается в том, что стандартный проводник отображает данные, которые указаны в качестве параметров ярлыка приложения, не полностью. В поле «Объект» после легитимного пути, не вызывающего подозрения, злоумышленники помещают дополнительные символы, например пробелы или переносы строк, а затем — команды, которые могут привести к компрометации системы. При этом в свойствах ярлыка отображается только первая часть пути:

Пример свойства ярлыка с дополнительными символами, которые не отображаются целиком в проводнике

При открытии такого ярлыка выполняются скрытые от пользователя команды. Например, в конце строки «Объект» могут быть указаны аргументы для отправки запроса на скачивание полезной нагрузки через powershell.exe. Стоит отметить психологический фактор этой уязвимости: файл со скрытой таким образом вредоносной активностью вводит пользователя в заблуждение, так как жертва не видит основные действия, которые будут выполняться при открытии файла.

CVE-2025-21333 — уязвимость переполнения буфера в куче в драйвере vkrnlintvsp.sys

Уязвимость переполнения буфера в выгружаемом пуле памяти ядра (paged pool), которая была использована для атак нулевого дня на системы пользователей. Уязвимый драйвер vkrnlintvsp.sys, предназначенный для работы с Hyper-V, неправильно обрабатывает указатели на структуры пула. В результате драйвер записывает данные по адресу за пределами области памяти, выделенной в пуле, что дает злоумышленникам возможность выполнить произвольный код или повысить привилегии.

Примечательно, что эксплуатация уязвимости возможна при создании процесса в Windows Sandbox. Уязвимая функция имеет название VkiRootAdjustSecurityDescriptorForVmwp, что само по себе намекает: достаточным условием для триггера уязвимости может стать дескриптор безопасности (security descriptor), размер которого превышает допустимый. В таком случае счетчик для работы с памятью, использующийся для расчета длины дескриптора, будет переполнен, что позволит перезаписывать и читать произвольные данные размером 0xffff, а также выйти из песочницы.

CVE-2025-24071 — уязвимость утечки NetNTLM-хэша в индексаторе файловой системы

Функциональность, которая заложена в работу проводника любой операционной системы Windows, стала инструментом для похищения NetNTLM-хэшей. Злоумышленники рассылали вредоносный файл с расширением .library-ms, в котором прописана определенная директория. При попадании этого файла в файловую систему жертвы автоматически запускается механизм индексации. Он открывает указанную директорию, и операционная система без уведомления пользователя выполняет аутентификацию по протоколу NTLM, что приводит к раскрытию NetNTLM-хэшей.

Выводы и рекомендации

Количество уязвимостей, зарегистрированных в первом квартале 2025 года, может выглядеть обманчиво. Одна из возможных причин снижения их числа заключается в том, что результаты исследований безопасности или описания уязвимостей могут быть опубликованы спустя некоторое время после их обнаружения. Поэтому критически важно своевременно применять обновления любого программного обеспечения и любых устройств.

Чтобы оставаться в безопасности, необходимо оперативно реагировать на меняющийся ландшафт угроз, а также:

• отслеживать состояние своей инфраструктуры, проводить непрерывный мониторинг периметра;
• устанавливать исправления безопасности, как только они становятся доступными. Выстроить и автоматизировать грамотный процесс патч-менеджмента могут помочь такие решения, как Kaspersky Systems Management и Kaspersky Vulnerability Data Feed;
• использовать эффективные защитные решения для обнаружения и блокирования вредоносного ПО на корпоративных устройствах;
• обеспечивать безопасность корпоративных устройств с помощью комплексной системы, которая позволяет выявлять и останавливать атаки на ранних стадиях, повышать уровень киберграмотности сотрудников, а также использовать актуальную базу данных о кибератаках для проактивного поиска угроз и реагирования на сложные инциденты.